Ahula den kateestua izena eta abizenak dituenean

2025eko garai honetan bizi gara, non perimetro segurtasuna ez den hormek definitzen, baizik eta mikrosegmentazioak, autentikazio adaptatiboak eta portaera analisiak. Non EDR-ek ez diren detektatzera mugatzen, baizik eta autonomoki aurreikusi eta blokeatzen duten. Non XDR-ek telemetria aberasten duten IA generatiboarekin eta SOC-ak hibridoak, banatuak eta 24x7 diren. Hala ere, zero trust aroan, sarrera bide nagusia oraindik ere pertsona baten aurpegia du.

Erasotzaileek badakite hori. Horregatik, gero eta gehiago dira APT eta RaaS (Ransomware-as-a-Service) kanpainak ez teknologia ahultasun baten bidez hasten direnak, baizik eta ahultasun kognitibo baten bidez: itxura legezko posta elektroniko bat, konbentzitzeko deia, egiaztatu gabeko esteka bat. Klik hori izan zen dena aldatu zuena. Edo, zehazkiago esanda, egunero milaka erakundetan errepikatzen den klik hori.

Aurrekaria oraindik ere gizakia da: Lapsus$-etik 2025eko BEC kanpainetara

Lapsus$-en 2022ko NVIDIA erasoa mugarri bat izan zen —71.000 kredentzial baino gehiago lapurtu ziren ingeniaritza sozial bidezko sarrera sinple baten ondoren—, baina patroiek ez dute aldatu, soilik sofistikatu egin dira. 2025eko lehenengo hilabeteetan, Storm-1811 eta Octo Tempest bezalako taldeek MFA fatigue eta QR phishing teknikak erabili dituzte teknologia, osasun eta Europako sektore publikoetako enpresetan infiltratzeko. Identitateak bideo-deietan ordezkatzeko denbora errealean deepfakeak erabiltzea ez da anekdotikoa, azken ENISA eta CISA txostenetan ikusi den erasoko arsenalaren parte da.

Kill chain-aren lehen urratsa —ATT&CK arabera— oraindik ere Initial Access (TA0001) da, eta gehien erabiltzen diren teknikak Phishing (T1566), Spearphishing Link (T1566.002) edo Valid Accounts (T1078) lotuta daude. Kasu hauetan guztietan, lotura kaltetuena ez zen firewall bat edo API bat: pertsona bat izan zen.

Hala ere, langile bati errua leporatzea domeinuaren ordezkapen bat ez identifikatzeagatik edo ahots deepfake baten aurrean erortzeagatik, ez da eraginkorragoa operario bati ekitaldi-log bat irakurtzen ez jakiteagatik kritikatzea bezainbeste. Arazoa ez da gizakia. Arazoa da ez zaizkiola eman beharrezko tresnak, prestakuntza eta erreakzioak, irizpide eta konfiantzaz jarduteko. Zenbat langilek jakin dezakete gaur egun QR kaltegarri bat, domeinu homoglyph bat edo WhatsApp Business bidezko pretexting teknika bat identifikatzea?

Zibersegurtasuna bizitzen ez bada, barneratzen ez da. Eta barneratzen ez bada, ez du babesten.

Urtean behin ikastaro orokorretan oinarritutako kontzientziazio plan tradizionalak antivirus heuristikorik gabekoak bezain zaharkituak daude. Ziberkontzientzia programa moderno batek honako hauek izan behar ditu:

• Rolaren arabera pertsonalizatua: garatzaile batek ez du administrari edo kontseiluko kide batek bezalako beharrik.

• Interaktiboa eta jarraia: ez da behin prestatu behar, ohiturak denboran zehar indartu behar dira.

• Neurgarria eta feedback-ekin: phishing simulatu kanpaina bakoitzak metrika, jokabide analisia eta berehalako feedbacka izan behar ditu.

Gainera, benetako eszenatokiak sartu behar dira prestakuntzan: Microsoft 365 ordezkatzea, QakBot kamuflatu kanpainak, LinkedIn bidez mezuak OneDrive bidez partekatutako fitxategiekin, eta orain ahots laguntzaileen manipulazioa ere, informazio korporatiboa iragazi dezaketen prompt diseinatuak erabiliz.

Zibersegurtasun kultura sendoa ez da teknologiatik jaiotzen, ezta barne politika batek agintzen ere. Egunero eraikitzen da lidergo, koherentzia eta adibidearekin. Langileek klik egin gabe phishing saiakera bat jakinarazten dutenean, zuzendaritza batzordeak sarbideak auditatuak ote dauden galdetzen duenean edo saltzaile batek hirugarren bati proposamen bat partekatzeko zifratzea eta sinadura digitala behar direla dakienean gertatzen da.

"Ez nekien"-etik "ez naiz erortzen"-era pasatzeak segurtasunaren pertzepzioa aldatzea dakar: burokratiko oztopotik konfiantzaren palankara.

Zer egin gaurtik aurrera?

IT taldea zuzentzen baduzu, CISO bezala lan egiten baduzu edo zure enpresa babesten duen mekanismoaren parte bazara, hona hemen ekintza kritiko batzuk:

• Auditatu zure kontzientziazio programa egungo: eguneratua al dago mehatxuekin? Profilaren arabera bereizita dago?

• Sartu gamifikazioa, simulazioak eta krisi ariketak: ikasi egiten, ez entzuten bakarrik.

• Inplikatu arlo bakoitzeko liderrak: kultura zuzendaritzan hasten da, ez PowerPointetan.

• Egokitu prestakuntza gaur egungo errealitate digitalera: lan hibridoa, gailu pertsonalak, mugikortasuna, IA generatiboa eta SaaS aplikazio kontrolik gabeak.

Gogoratu firewall onena langile bat dela, prestatu, kontziente eta konprometitua. Izkinik ahulena ere lehenengo babesa izan daiteke tresna egokiak ematen badizkiogu.

Eta zu, teknologian bakarrik jarraituko duzu apustua egiten... ala erabiltzen dutenak ere prestatuko dituzu?

Beatriz Díaz, Prestakuntza eta Kontzientziazio arduraduna Grupo Cybertix-en.