En la guerra contra el coronavirus, el teletrabajo vuelve a surfear entre olas. Más allá de todas sus ventajas a la hora de reducir desplazamientos y, por ende, riesgos de contagio; entraña algunas amenazas para las empresas, entre las que destacan los ataques informáticos dirigidos, sobre todo a quienes utilizan sus propios ordenadores, no los corporativos, para trabajar desde casa.
Grandes compañías, como Telefónica, ya han lanzado un aviso a navegantes. Porque si antes de la pandemia los empleados conformaban el eslabón más débil de las empresas frente a los ciberdelincuentes, esta vulnerabilidad se agrava en esta nueva era.
Los ataques informáticos más frecuentes que están recibiendo los teletrabajadores se apoyan en ingeniería social, como el clásico phishing, que aprovecha el miedo y la búsqueda de información relacionada con la COVID-19 para engañar al empleado.
Confidencialidad e integridad
Los expertos advierten de que el acceso a información y sistemas corporativos con ordenadores personales pone en riesgo la confidencialidad e integridad de los sistemas de la empresa. Y es que dichos equipos seguramente no cuenten con las mismas medidas de protección (cifrado, DLP, antivirus, EDR, autenticación centralizada, monitorización, VPN…) que tienen los ordenadores de empresa.
De esta manera, aumenta la amenaza de infección, robo de información, negación de servicio, suplantación de identidad, etc., que podrían atentar incluso contra la supervivencia de la compañía.
La pandemia pilló a medio mundo con el pie cambiado. Y aunque el grado de digitalización varía significativamente entre empresas y sectores, lo cierto es que muchas compañías se vieron abocadas a implantar el teletrabajo de manera acelerada e imprevista, sin dotar a sus plantillas de los equipos informáticos necesarios para trabajar desde casa de forma segura.
Redes wifi no seguras
Gianluca D’Antonio, socio de Risk Advisory especializado en ciberseguridad de Deloitte, alerta de los peligros de utilizar redes wifi no seguras o de compartir dispositivos entre familiares.
Y explica que la necesidad de acceder de forma remota a la infraestructura de sistema de la empresa sin mecanismos de seguridad robustos puede generar otros riesgos relevantes, como la suplantación de usuarios legítimos y el consecuente acceso a los sistemas por personal no autorizado.
Asimismo, señala que el uso masivo de sistemas de videoconferencia supone otra amenaza si no se aplican las debidas políticas de seguridad para evitar, por ejemplo, que personal no identificado pueda acceder a reuniones virtuales.
Los ciberdelincuentes utilizan economías de escala y buscan continuamente nuevas fuentes de ingresos en torno a los puntos negros y a las debilidades de las compañías.
Campañas de spam y estafas
Marco A. Lozano, responsable de ciberseguridad para empresas de INCIBE, recuerda que nos hemos visto en situaciones provocadas por la alarma y el miedo a lo desconocido, con la necesidad de informarnos del avance de la pandemia, de los decretos del confinamiento y de las medidas de alivio de las distintas situaciones (ayudas, ERTES,…), y de todo lo relativo al cuidado de nuestra salud.
“Ello ha suscitado el interés de los ciberdelincuentes en monetizar estas necesidades en sus acciones fraudulentas, incrementándose las campañas de spam y estafas a través del email o en redes sociales, pero también por teléfono”.
Además, junto con el acceso remoto, la principal amenaza son los ataques cuyo origen se encuentra en el correo electrónico. Los ciberdelincuentes saben que es el medio de comunicación predilecto en entornos corporativos, por lo que enfocan sus esfuerzos mediante campañas de phishing, adjuntos o enlaces maliciosos o suplantaciones de identidad. “También este tipo de campañas afecta a otros sistemas de mensajería en los dispositivos móviles como WhatsApp”.
En cuanto a las videoconferencias, el experto de INCIBE explica que tratan de explotar fragilidades no parcheadas o configuraciones de seguridad deficientes. Su objetivo es comprometer la seguridad de la empresa y lograr el robo de información confidencial, que puede ser utilizada para lanzar nuevos ataques dirigidos o ser vendida al mejor postor en los mercados de la deep web.
Aplicaciones de trabajo colaborativo
Las aplicaciones de trabajo colaborativo también se encuentran en el punto de mira de los ciberdelincuentes, dadas las vulnerabilidades en el software o las configuraciones de seguridad deficientes como vectores de ataque. Durante el confinamiento, Zoom fue objeto de noticia por su vulnerabilidad. De ahí que se recomendara utilizar otras plataformas más seguras como Teams, de Microsoft.
De cara al futuro, Lozano prevé que continuarán las estafas en línea, el phishing y el fraude con suplantación de identidad. Y que seguirán los riesgos asociados al uso de las tecnologías que permiten el teletrabajo: VPN, teleconferencias, herramientas colaborativas en la nube…
“Estas infraestructuras están siendo objetivo de los delincuentes, explotando vulnerabilidades en VPN y en el protocolo de acceso remoto RDP, atacando plataformas de teleconferencia con emails de phishing con ficheros maliciosos, websites falsas para descarga de estas aplicaciones o secuestro de sesiones de conferencia, si no se establecieron con criterios de seguridad”, apostilla.
Menos seguros que los ordenadores de empresa
Luis Enrique Oliveri, director de estrategia de Seguridad de Mnemo, asegura que un ordenador corporativo es mucho más fácil de proteger que uno personal. Al ser considerado una herramienta de trabajo, es la empresa la que puede definir tanto los controles de seguridad que se han de implantar como el uso aceptable que el empleado debe hacer del mismo.
En cambio, con sus equipos particulares, los empleados no están obligados a cumplir con todas las medidas de seguridad impuestas por la compañía. Aunque con la tendencia de BYOD (Bring Your Own Device) -aclara Oliveri- se ha buscado lograr un equilibrio donde el trabajador pone el ordenador, tablet, smartphone… y se adecua a una serie de requerimientos de la empresa.
De alguna forma, “el empleado cede la gestión del dispositivo, pero debe ser capaz de terminar en cualquier momento dicha cesión. La empresa tiene que, por un lado, proteger la información corporativa que pudiera estar en dicho dispositivo y, por el otro, garantizar que el empleado puede recuperar el control total del mismo”.
Definición de políticas de seguridad
Para lograrlo, el director de estrategia de Seguridad de Mnemo apunta que se requiere introducir nuevas tecnologías como MDM (Mobile Device Management) y hacer un esfuerzo alto en la definición de políticas que, a su vez, han de ser compatibles con el dispositivo.
“Como cada empleado puede querer un dispositivo distinto, la empresa debe proporcionar al menos un catálogo de los que puede dar soporte, lo que implica un mayor coste de definición y mantenimiento”, puntualiza.
En resumidas cuentas, es cierto que un ordenador corporativo será más seguro que uno personal en la medida en que la empresa haya invertido en protegerlo. Y la experiencia y las estadísticas muestran que, como particulares, gastamos menos en seguridad que una compañía. De ahí, quizás, la mayor debilidad frente a los cibercriminales.
Pymes versus grandes empresas
Muchos cibercriminales han desplazado su objetivo desde los particulares y las pequeñas empresas hacia las medianas y grandes compañías, precisamente por la implantación del teletrabajo.
Lozano remarca que la seguridad es un proceso continuo, y que las organizaciones tienen que incluirla en sus políticas como antes hicieron con la responsabilidad corporativa, por ejemplo.
Desde INCIBE indican las grandes diferencias existentes entre pymes y grandes compañías en la adopción de medidas de ciberseguridad.
Aunque las comparaciones sean odiosas y pese a la imposibilidad de generalizar, mientras las grandes empresas son conscientes de los riesgos y disponen de más medios y recursos para implementar mecanismos eficaces de protección y monitorizar su actividad, en las pymes resulta habitual una cierta inconsciencia al respecto.
Virus informáticos
A esta falta de concienciación se suma en estos momentos una -en muchos casos- crítica situación económica, lo que obliga a las pymes a reducir -cuando no a eliminar- los recursos destinados a implementar mecanismos de ciberseguridad.
No obstante, en términos de importancia, “para las pymes la ciberseguridad debería ser como su propia contabilidad”, puntualiza Lozano. Máxime ahora, cuando el teletrabajo predomina entre olas y olas de un virus que, además de epidemiológico, también es informático.