Quan l'anell feble té nom i cognoms

Vivim en ple 2025, en una època on la seguretat perimetral ja no es defineix per murs, sinó per microsegmentació, autenticació adaptativa i anàlisi de comportament. On els EDR ja no es limiten a detectar, sinó que prediuen i bloquegen de forma autònoma. On els XDR enriqueixen la telemetria amb IA generativa i els SOC són híbrids, distribuïts i 24x7. Tot i així, en plena era post-zero trust, el vector d'entrada més recurrent continua tenint rostre humà.

Els atacants ho saben. Per això, cada cop més campanyes APT i RaaS (Ransomware-as-a-Service) comencen no per una vulnerabilitat tècnica, sinó per una debilitat cognitiva: un correu amb aparença legítima, una trucada convincent, un enllaç que no es va verificar. El clic que ho va canviar tot. O, més precisament, el clic que es repeteix cada dia en milers d'organitzacions.

El precedent continua sent humà: de Lapsus$ a les campanyes BEC del 2025

Tot i que l'atac de Lapsus$ a NVIDIA el 2022 va marcar un punt d'inflexió —amb més de 71.000 credencials robades després d'un simple accés via enginyeria social—, els patrons no han canviat, només s'han sofisticat. En el que portem de 2025, grups com Storm-1811 i Octo Tempest han explotat tècniques de MFA fatigue i QR phishing per infiltrar-se en empreses tecnològiques, sanitàries i del sector públic europeu. L'ús de deepfakes en temps real per suplantar identitats en videotrucades ja no és anecdòtic, sinó part de l'arsenal ofensiu observat en els últims informes d'ENISA i CISA.

El primer pas del kill chain —segons ATT&CK— continua sent Initial Access (TA0001), i les tècniques més usades continuen lligades al Phishing (T1566), Spearphishing Link (T1566.002) o Valid Accounts (T1078). En tots aquests casos, l'enllaç compromès no va ser un firewall ni una API: va ser una persona.

Tanmateix, culpar un empleat per no identificar una suplantació de domini o caure davant d'un deepfake de veu és tan ineficaç com retreure a un operari que no sàpiga llegir un log d'esdeveniments. El problema no és l'humà. És no haver-li donat les eines, la formació i els reflexos necessaris per actuar amb criteri i confiança. Quants treballadors sabrien avui identificar un QR maliciós, un domini homoglyph o una tècnica de pretexting per WhatsApp Business?

La ciberseguretat, si no es viu, no s'interioritza. I si no s'interioritza, no protegeix.

Els plans de sensibilització tradicionals, basats en cursos genèrics una vegada l'any, estan tan obsolets com els antivirus sense anàlisi heurístic. Un programa de ciberconsciència modern ha de ser:

• Personalitzat per rol: no necessita el mateix un desenvolupador que un administratiu o un membre del consell.

• Interactiu i continu: no es tracta de formar una vegada, sinó de reforçar hàbits al llarg del temps.

• Mesurable i retroalimentat: cada campanya de phishing simulat ha d'anar acompanyada de mètriques, anàlisi de comportament i feedback immediat.

A més, ha d'incloure escenaris reals com a part de l'entrenament: suplantació de Microsoft 365, campanyes de QakBot camuflat, missatges per LinkedIn amb arxius compartits via OneDrive, i ara també la manipulació d'assistents de veu amb prompts dissenyats per filtrar informació corporativa.

Una cultura de ciberseguretat sòlida no neix de la tecnologia ni es decreta per política interna. Es construeix dia a dia amb lideratge, coherència i exemple. Passa quan els empleats informen d'un intent de phishing sense haver fet clic, quan el comitè directiu pregunta si els accessos estan auditats o quan un comercial sap que compartir una proposta amb un tercer requereix xifrat i signatura digital.

Passar del “no sabia” al “no caic” implica transformar la percepció de la seguretat: de fre burocràtic a palanca de confiança.

Què fer a partir d'avui?

Si lideres un equip IT, treballes com a CISO o simplement formes part de l'engranatge que protegeix la teva empresa, aquí tens algunes accions crítiques:

• Audita el teu programa actual de sensibilització: està actualitzat a les amenaces actuals? És específic per perfil?

• Introdueix gamificació, simulacions i exercicis de crisi: aprèn fent, no només escoltant.

• Implica els líders de cada àrea: la cultura comença a la direcció, no als PowerPoints.

• Adapta la formació a la realitat digital d'avui: treball híbrid, dispositius personals, mobilitat, IA generativa i aplicacions SaaS descontrolades.

Recorda que el millor tallafocs continua sent un empleat format, conscient i compromès. Perquè l'enllaç més feble també pot ser el primer escut si li donem les eines adequades.

I tu, continuaràs apostant només per la tecnologia... o també entrenaràs els que l'utilitzen?

Beatriz Díaz, Responsable de Formació i Sensibilització a Grupo Cybertix.