Podríamos definir una campaña como un conjunto de actividades, trabajos o tareas que se realizan con el objetivo de conseguir un fin concreto y dentro de un periodo de tiempo determinado.
Dentro del contexto de la ciberseguridad existen dos grandes tipos de campañas que se pueden tener en cuenta en función del objetivo que persiga cada una de ellas: las campañas de ciberataques y las campañas de concienciación.
El primer tipo serían las campañas de ciberataques, que es una agrupación de comportamientos adversos en forma de actividades o ataques maliciosos (a veces llamados oleadas) que ocurren durante un período de tiempo contra un conjunto específico de objetivos. Estas campañas son llevadas a cabo por los llamados actores de la amenaza y suelen tener objetivos bien definidos pudiendo formar parte de un conjunto de intrusiones. Los actores de la amenaza pueden reutilizar una infraestructura ya conocida por haber sido utilizada en una campaña anterior o pueden configurar una nueva infraestructura específica para llevar a cabo esa campaña.
Las campañas de ciberataques se pueden caracterizar por sus objetivos y las incidencias que provocan, por las personas o los recursos a los que se dirigen y por los recursos que utilizan (infraestructura, inteligencia, malware, herramientas, etc.).
Un ejemplo de campaña de ciberataques sería el conjunto de acciones que realiza una organización delictiva para dañar la reputación de una empresa mediante la inclusión de contenido falso en su web corporativa o incluso impedir el acceso a la misma. Para ello, podrían planificar una serie de oleadas de ataques dirigidos, en primer lugar, a comprometer la web mediante ataques de ingeniería social a los usuarios administradores de la misma. Seguidamente, lanzarían una búsqueda de vulnerabilidades en el código utilizado en la web y, por últimos, bloquearían el acceso a la misma para los usuarios legítimos (ataque de tipo DDoS).
En relación con el segundo tipo, las campañas de concienciación en ciberseguridad, el objetivo es completamente opuesto ya que se busca que las personas de la organización que pueden ser objetivo de los ataques estén concienciadas sobre el tipo de amenaza, el riesgo que supone y la importancia de las medidas de seguridad aplicadas, así como de mantener un comportamiento seguro como usuario para reducir la probabilidad de que un posible ataque tenga éxito.
Las campañas de concienciación son muy importantes tanto a nivel personal como corporativo ya que la persona que en su ámbito personal utiliza medidas de seguridad y además adopta un comportamiento ciberseguro también será más propensa a actuar con prudencia de forma automática en el ámbito corporativo.
Un ejemplo de campaña de concienciación sería el propuesto por una organización para su plantilla donde:
- Se realicen acciones como sesiones de concienciación, cursos online con ejercicios prácticos o talleres de detección de amenazas. Dentro de las acciones prácticas podrían incluirse campañas de ciberataques éticos que buscarían como objetivo entrenar a la plantilla y recabar datos relacionados con la evolución de su capacidad para detectar ciberataques.
- Se compartan públicamente contenidos didácticos como infografías, artículos o vídeos mostrando tanto las posibles amenazas como la importancia del comportamiento ciberseguro para evitarlas y poder disfrutar de la tecnología evitando en gran medida dichos riesgos.
