Teletrabajo, un nuevo escenario con viejas amenazas

¿Quién nos iba a decir, hace no mucho tiempo, que lo que muchas empresas consideraban un 'plus' para sus empleados, una ventaja para la conciliación familiar, se convertiría en una necesidad?

Los datos lo corroboran. Según un estudio de Randstad, sólo en España los datos evidencian el impacto del teletrabajo: frente a las 915.000 personas ocupadas que teletrabajaban habitualmente en 2019, -que representaban el 4,8% de la población activa-, se ha pasado a 3.015.200 en 2020, lo que supone un 16% de la población activa. Y es que, el porcentaje de personas que teletrabajan se ha disparado a un 216,8%. con respecto al año anterior a la pandemia.

La necesidad de recurrir al teletrabajo, que ha mantenido a flote a muchas empresas, -gracias al esfuerzo y tesón de muchos responsables y técnicos de sistemas que lo han puesto en marcha en un tiempo récord-, también ha supuesto un nivel de riesgo con el que, en muchos casos, no se estaba acostumbrado a lidiar, si tenemos en cuenta las cifras anteriores.

Sin embargo, esto ha tenido un alto coste, y no sólo técnico, ya que según datos de Google, ha supuesto unos 35.000 euros de media por ciberataque, que ha puesto en un brete todo el esfuerzo realizado, llevándonos a preguntarnos: ¿son también seguros nuestros sistemas en esta “nueva normalidad”?

Para poder conocer en profundidad y desde el punto de vista de la seguridad cómo es la situación del binomio teletrabajo – ciberseguridad, tenemos que analizar las siguientes cuestiones:

Las amenazas

Tomando como referencia las tendencias reseñadas por el Centro Criptológico Nacional (CCN) en 2020, los objetivos que más han sufrido ciberataques durante la actual pandemia han sido:

• Ataques a redes domésticas y dispositivos IoT (Internet de las cosas)
• Ataques a farmacéuticas y laboratorios de investigación
• Ataques a herramientas y soluciones durante el teletrabajo
• Ataques a servicios en la nube

Y en el último informe de este organismo, ‘Cyberamenazas y Tendencias 2020’ se analizan cuáles han sido las amenazas:

• Ramsonware y robo de datos / extorsión económica para recuperarlos.
• Operaciones de ciberespionaje
• Operaciones disruptivas y de control
• Operaciones de desinformación (redes sociales)
• Operaciones delincuenciales
• Brechas de datos

Materializadas mediante el uso de distintos tipos de ataque, como puede ser el ransomware, las botnets, malware, intentos de acceso no autorizado a sistemas remotos, ataques web, de ingeniería social, a los sistemas industriales y a la cadena de suministro. Estos últimos muy preocupantes, pues son puerta de entrada a los sistemas de los clientes.

Fundamentalmente, han cambiado las ‘fronteras’ hasta ahora seguras y que constituían tanto la ubicación física de la empresa como la estructura lógica de sus sistemas. Ahora se han ‘ensanchado’ y con ello la ‘superficie de exposición’ a los riesgos de seguridad TI, o ciberseguridad. El perímetro de seguridad ahora llega hasta los hogares de los empleados donde se ubican los puestos de usuario que se conectan a la red corporativa o a los recursos en la nube.

En este nuevo escenario es necesario poner el foco en una serie de medidas necesarias, dada la nueva ampliación del perímetro 'defensivo':

• Poner énfasis en la cualificación de los roles de IT con respecto a las tecnologías de acceso y securización que impone el teletrabajo. Un perímetro más extenso implica reforzar las tecnologías de acceso y la seguridad que debe acompañarlas, y ello conlleva formación adicional a quienes tienen que configurarlas. La seguridad de las WiFi locales en conjunción con el uso de VPNs para el acceso remoto deberá estar en la planificación de la formación de estos roles.
• Relacionado con lo anterior, El uso de sistemas de teleconferencia debe restringirse a aquellas aplicaciones, debidamente aprobadas, que ofrezcan la seguridad necesaria. Máxime si en dichas reuniones se van a transmitir datos o mensajes considerados confidenciales.
• Antes, la formación y concienciación de los usuarios era importante, ahora resulta crítica. Si los empleados, en esta nueva situación, no son conscientes de los riesgos que les aplican, nos quedaremos sin su colaboración y no conseguiremos que haya efectividad en las medidas que tomemos.
• Impedir que los empleados utilicen sus equipos personales para el trabajo en remoto. Los equipos de trabajo de los empleados han de tener configuraciones probadas y aprobadas para el acceso a los sistemas de explotación. Se han de bastionar los sistemas adecuadamente, estructurando y documentando bien todos los requerimientos para ello.
• Revisar adecuadamente toda la normativa y procedimientos relativos a la seguridad de los sistemas. Y principalmente los que tienen que ver con los procesos operativos para la conectividad con el entorno de trabajo.
• Aplicar una política de contraseñas seguras y que los usuarios se vean obligados a tenerlas en cuenta para poder acceder a los sistemas.

Todo esto acompañado de políticas que refuercen los sistemas de respaldo de la compañía, asociados a planes de contingencia actualizados, que se nutran de los correspondientes análisis de riesgos y de impacto en el negocio. Así como una sólida y distribuida política de gestión de incidencias.

Sin olvidar que la protección del dato debe ser el objetivo fundamental, puesto que la RGPD es muy clara al respecto. De hecho, la Agencia Española de Protección de Datos (AEPD) recibió hasta diciembre del pasado año un total de 1.206 notificaciones de brecha de seguridad de datos personales, con sus correspondientes consecuencias. Tanto el cumplimiento en las medidas indicadas en la norma, como la documentación de actividades y observación de las responsabilidades, no sólo de protección sino de comunicación en caso de que aquellas no funcionen, han de regir las actividades, máxime cuando los datos personales puedan circular fuera de las fronteras de la propia compañía.

Enviar a nuestros usuarios más allá de los límites de la empresa debe ponernos en guardia. Y como decía un viejo sargento de policía a sus compañeros, en una antigua serie de televisión: “Tengan cuidado ahí fuera … “.