La empresa sueco-estadounidense Yubico, reconocida como líder global en el desarrollo de soluciones de autenticación y seguridad cibernética, dio que hablar hace unas semanas con su informe State of Global Authentication Survey 2024, debido a que pinta un panorama preocupante en el ámbito de la ciberseguridad global.
El problema principal es la entrada de la inteligencia artificial (IA) en el ámbito del ciberdelito, lo que ha vuelto más sofisticados los ataques. Esto ha hecho que surja una brecha importante entre las medidas de seguridad que implementan las organizaciones y las prácticas personales de sus empleados.
Con más de 20.000 respuestas de todo el mundo, el informe revela una baja adopción de métodos efectivos como la autenticación multifactor (MFA) y el enfoque reactivo ante las amenazas. Estos hallazgos confirman la necesidad urgente de una estrategia de ciberseguridad integrada que combine métodos de autenticación avanzados con una visión realista sobre las amenazas, tanto en el ámbito personal como en el profesional. Analicemos a continuación las principales conclusiones de este trabajo.
Como señalamos, el informe de Yubico pone de manifiesto cómo la IA está transformando el panorama de la ciberseguridad, al aumentar la sofisticación y efectividad de los ataques. Según el estudio, el 72% de los encuestados cree que los fraudes en línea y los ataques de phishing han evolucionado debido al uso de IA, y el 66% afirma que estos ataques tienen mayor éxito ahora que antes. Además, un 58% expresa preocupación por el impacto de la IA en la seguridad de sus cuentas personales y corporativas. Un ejemplo alarmante es el uso de IA para generar ataques de phishing personalizados y técnicas avanzadas como la clonación de voz y video. Esto no solo dificulta la identificación de potenciales fraudes, sino que también abre la puerta a vulnerabilidades que las organizaciones y los individuos suelen subestimar.
A pesar de su importancia, el uso de la autenticación multifactor sigue siendo limitado. El 58% de los encuestados depende únicamente de nombres de usuario y contraseñas para proteger sus cuentas personales, mientras que sólo el 22% usa aplicaciones de autenticación móvil. Este retraso se debe en parte a la falta de formación: el 40% de los empleados no recibe ningún tipo de capacitación en ciberseguridad. Además, existen percepciones incorrectas: un alarmante 39% cree todavía que los nombres de usuario y contraseñas son la opción más segura. También hay barreras relacionadas con la usabilidad, como la resistencia a usar dispositivos personales para trabajar o la percepción de que la autenticación multifactor es compleja de implementar. Estas actitudes terminan por exponer todavía más a empresas y usuarios individuales.
El informe de Yubico propone una serie de medidas para abordar las brechas que existen hoy y que pueden funcionar como un buen punto de partida. Entre las principales recomendaciones destaca la adopción de una autenticación multifactor que sea resistente a phishing, como las claves de seguridad basadas en hardware. Además, sugiere implementar programas de formación obligatoria para empleados que sean actualizados periódicamente con información sobre amenazas emergentes, especialmente las impulsadas por IA. Otro punto fundamental es fomentar una cultura de seguridad que integre prácticas consistentes tanto en el trabajo como en la vida personal. Por ejemplo, las empresas pueden extender recursos para proteger dispositivos personales, realizar evaluaciones regulares de seguridad y promover comportamientos proactivos, en lugar de reactivos.
En última instancia, para Yubico de lo que se trata es de construir una cultura de concientización ante la seguridad. Fomentar una mayor conciencia entre los empleados es esencial para enfrentar el aumento de estas amenazas. Es que el 23% de las organizaciones encuestadas implementó capacitaciones obligatorias tras haber sufrido uno o varios ataques cibernéticos, mientras que el 20% actualizó sus protecciones de endpoint. Sin embargo, estos esfuerzos suelen ser reactivos. El informe pone el énfasis en la importancia de mantener canales de comunicación activos, como boletines de ciberseguridad, y usar métodos educativos dinámicos, como simulaciones de ataques. La creación de una cultura organizacional que priorice la seguridad -y extienda estas prácticas al ámbito personal de los empleados- es una estrategia fundamental para fortalecer la resiliencia frente a los ciberataques.
En un entorno donde las amenazas evolucionan al ritmo de la tecnología, adoptar un enfoque integral y preventivo no es solo una opción, sino una necesidad. El futuro de la ciberseguridad dependerá de la capacidad de organizaciones e individuos para mantenerse un paso adelante.