En ciberseguridad, existen algunos mitos que pueden poner en riesgo la seguridad de nuestros dispositivos y sistemas. El pasado mes de octubre se celebró el mes de la Concienciación sobre Ciberseguridad, una iniciativa global dirigida a reforzar nuestros hábitos seguros en el entorno digital. Pero, aún queda mucho trabajo por delante. Tan sólo en latinoamerica, una de cada cuatro empresas, ha sufrido ya un ciberataque en este último año. Por ello, vamos a analizar en este post, cuales son los mitos más comunes, por qué se siguen creyendo, qué peligros pueden entrañar y cómo adoptar medidas que nos protejan como usuario o empresa.
Cometemos un grave error, si pensamos que sólo las empresas son vulnerables. Las campañas masivas de phishing, buscan enganchar al público general. Por ejemplo, simulan mensajes de empresas de correos o paquetería, con supuestos problemas de entregas u organismos gubernamentales, que nos comunican multas inexistentes o citaciones judiciales, bloqueo de nuestras cuentas bancarias, entre tantos otros intentos de engaño, generando con ello urgencia para que actuemos bajo presión. Cualquier persona usuaria de servicios en línea, puede ser blanco de este tipo de ataques.
Por ello, es necesario tratar algunos mitos que persisten en torno a la seguridad digital y que pueden poner en riesgo tanto a usuarios como a sistemas corporativos.
No somos un objetivo, porque no tenemos tanto valor
Es muy frecuente, encontrar personas que piensan que los ciberataques sólo apuntan a las grandes empresas o figuras públicas. La realidad, es muy diferente: cualquier dato personal puede tener valor para los ciberdelincuentes, desde información bancaria hasta las credenciales de acceso a cuentas de correo electrónico o redes sociales. Las estafas digitales, llegan a millones de usuarios comunes, a diario, independientemente de su perfil o relevancia en línea.
Por ello, subestimar el riesgo, crea una falsa sensación de seguridad y nos conduce a comportamientos arriesgados, como puede ser el no habilitar la autenticación multifactor, usar contraseñas débiles o hacer clic en enlaces sospechosos. Estas debilidades, son una oportunidad única para llevar a cabo ataques cuyo resultado es el robo de datos, clonado de tarjetas, apropiación de cuentas o incluso, extorsión digital, a usuarios que se consideraban no ser objetivo de ataques.
El antivirus, no nos protege contra todo
El antivirus, resulta ser una pieza muy importante en la defensa, pero no cubre todos los vectores de ataque. La ingeniería social, fallos en los procesos, mala administración de privilegios, ataques a la cadena de suministro y brechas de visibilidad operativa, son vulnerabilidades que un antivirus por sí solo, no puede resolver.
Un ejemplo muy ilustrativo, se dio en Brasil y muestra cómo los problemas de los procesos pueden causar enormes pérdidas incluso cuando existen controles técnicos: es el caso de C&M Software, que expuso cómo las lagunas en los procedimientos, la falta de controles y las fallas en la gestión de terceros, permitieron el desvío de recursos y comprometieron la seguridad operativa de dicha organización. Este ejemplo, ilustra que la seguridad no requiere sólo el uso de cierta tecnología, sino que también requiere un proceso y gobernanza.
Otro punto a tener en cuenta, es que muchos ataques explotan credenciales filtradas, debilidades humanas o flujos de autorización inseguros, escenarios en los que una solución antivirus, no evita la intrusión inicial o la escalada de privilegios de acceso. Por lo tanto, la estrategia de defensa actual debe establecerse en capas.
Autenticación multifactor: una barrera clave
La autenticación multifactor (MFA), cuya adopción no nos cansamos de recomendar, es una defensa altamente efectiva contra la apropiación de cuentas, por parte de terceros. Agregar un segundo factor de autenticación, es de gran eficacia contra «casi todos» los ataques automatizados, reduciendo drásticamente el éxito de las campañas de phishing masivas.
Sobre este aspecto, Google ha indicado que los desafíos basados en dispositivos o códigos, nos ayudan a prevenir el 100% de acción de los bots automatizados. Microsoft, afirma que la adopción de el protocolo 2FA, puede evitar más del 99,9% de los ataques automatizados que pueden comprometer nuestras cuentas. Por ello, controlar el acceso, es tan importante como detener el malware.
Nuestra contraseña puede ser segura, pero no debemos usarla en todas nuestras cuentas
Aunque una contraseña cuente con un alto grado de seguridad, reutilizarla en múltiples servicios presenta un gran riesgo. En la práctica, los ciberdelincuentes se especializan en ataques automatizados, como el relleno de credenciales (credential stuffing), donde utilizan diferentes combinaciones de correo electrónico y contraseñas filtradas, para intentar acceder a otras cuentas automáticamente. Si nuestra contraseña es la misma para todas las cuentas, el acceso será más fácil y silencioso.
Por otra parte, la reutilización de contraseñas hace que estafas como el phishing y la apropiación de cuentas, sea más sencilla y efectiva, ya que los ciberdelincuentes pueden combinar la información recopilada de diferentes servicios, para engañar al usuario de una manera más convincente. Incluso, si una plataforma tiene una protección sólida, si se usa la misma contraseña que en un sitio web con una seguridad débil, el riesgo se ve replicado.
Por ello, confiar exclusivamente en contraseñas seguras y únicas crea también una falsa sensación de seguridad, que deja a los usuarios vulnerables ante intrusiones, robo de identidad y fraude financiero. La protección eficaz, requiere no sólo el uso de contraseñas seguras, sino también una combinación de autenticación multifactor, monitorización de actividades sospechosas y buenas prácticas en la administración de credenciales.
«En nuestros días, una de las contraseñas más utilizadas, sigue siendo 12345. Con ello, nos podemos hacer una idea de la falta de concienciación existente, en la protección de nuestras cuentas e información personal».
Aunque un dispositivo sea seguro, no sólo debemos preocuparnos de nuestro ordenador
Muchas personas piensan que sus teléfonos inteligentes o tabletas están protegidos, por ser dispositivos más pequeños o modernos, y que los ciberataques sólo se realizan contra las computadoras. La realidad es muy distinta, ya que los dispositivos móviles son objetivos frecuentes de estafas sofisticadas, y el riesgo aumenta, a medida que acumulamos información personal, financiera o profesional en ellos.
En el caso de Brasil, como ejemplo, los ataques mediante SMS están aumentando. Una encuesta de Serasa Experian reveló que, en mayo de 2025, el país había registrado un volumen de intentos de fraude evitados con éxito de 1.106.846 (un ataque evitado cada 2,4 segundos), mientras que en marzo de 2025 la cifra de ataques consumados era de 1.222.550 (un intento consumado cada 2,2 segundos).
Los teléfonos inteligentes, son el principal objetivo de ataque para el vishing, donde los delincuentes se hacen pasar por personal de banca u otras empresas, para obtener información financiera o personal. Este tipo de estafa se ha vuelto muy común, aprovechando la confianza de las personas en llamadas telefónicas, que aparentan ser legítimas.
A parte de estos casos de ingeniería social, dispositivos tanto Android como Apple, y otros, son blanco de distribución de malware, con aplicaciones falsas y explotación de vulnerabilidades del sistema, que pueden llegar a comprometer los dispositivos, incluso sin necesitar la interacción directa por parte del usuario.
Los dispositivos móviles, no son inmunes a amenazas complejas y como ejemplo, se ha identificado como apps maliciosas han permanecido en las tiendas oficiales de Google, por un tiempo considerable, sin ser detectadas. Sobre este aspecto, ya hablamos en una publicación anterior.
Por lo tanto, la protección de nuestro móvil implica también el uso de contraseñas seguras y autenticación multifactor, tener cuidado con las aplicaciones y enlaces sospechosos, así como realizar las actualizaciones periódicas y prestar atención ante llamadas telefónicas inesperadas.
La ciberseguridad, no sólo es responsabilidad del sector TI
Mucha gente sigue creyendo, que la seguridad digital es una tarea exclusiva del sector de las Tecnologías de la Información (TI), pero en realidad, todos tenemos un papel esencial en la protección de datos y sistemas. Cada usuario que adopta buenas prácticas, está contribuyendo a fortalecer la seguridad de toda la organización o comunidad en línea. Hábitos tan simples como verificar enlaces antes de hacer clic, mantener contraseñas seguras y únicas, habilitar la autenticación multifactor y reportar actividades sospechosas, crean barreras muy efectivas, que complementan la tecnología y políticas, de las Tecnologías de la Información .
Cuando nos involucramos todos, la conciencia colectiva se convierte en una poderosa defensa, capaz de prevenir estafas, fraudes, proteger la información personal y corporativa, de lo que se beneficia la comunidad digital, en su conjunto. Cuanta más conciencia adquirimos, más resistente es el ecosistema digital.
«La ciberseguridad es responsabilidad de todos, y los pequeños hábitos marcan una gran diferencia».
STI 2020 ® 
Deja un comentario