Con la llegada del coronavirus hemos visto como muchas empresas han tenido que migrar a un modelo de trabajo a distancia, o híbrido, que cambia enormemente la forma en al que funciona la seguridad en las empresas. Donde antes existía una red central y dispositivos internos, ahora cada empleado se conecta a múltiples redes; a las de su hogar y a las del entorno de trabajo, desde los mismos dispositivos.
El numero de ciber-ataques aumenta, y la vulnerabilidad de las empresas que transicionan lentamente a una modalidad digital se mezcla con el estrés del cambio y la incertidumbre que la pandemia ha traído consigo. En este ambiente los empleados son más propensos a cometer errores, y aunque no todo el tiempo es posible prever o controlar todo lo que sucederá, siempre podemos aprender y buscar alternativas para aumentar la seguridad de las empresas y empleados.
Múltiples redes y dispositivos personales
Uno de los principales problemas del trabajo remoto es que el trabajador utiliza sus dispositivos personales, los cuales son más propensos a virus, para acceder a las redes del hogar y de la empresa, e incluso otras. Si el dispositivo no está correctamente protegido y el propietario no tiene los cuidados necesarios, podría infectarse e infectar la red de la empresa o comprometer información delicada que posea el trabajador.
Una acción que se puede tomar para solucionar este problema es proveer al trabajador con dispositivos específicos para el trabajo. Pero no todas las empresas tienen esta capacidad, de modo que la mejor apuesta es educar y entrenar constantemente a los trabajadores en las bases de la ciber-seguridad.
Contraseñas vulnerables
Los ciber-criminales saben que la mayoría de personas usan contraseñas cortas, fáciles de recordar, que sean alegóricas a alguna fecha especial, a alguna persona, o a animales o cosas favoritos, y que generalmente estas personas utilizan las mismas contraseñas para diferentes cuentas.
Los atacantes pueden usar programas especiales y listas prefabricadas de contraseñas comunes, e incluso investigar el gusto e historia personal del objetivo, y de esta manera dar con sus contraseñas. Una vez tienen la contraseña de un trabajador, les es posible acceder no solo a información delicada, tanto de empleado como de empresa, sino también a las multiples cuentas que maneje la persona en cuestión.
Idealmente, una contraseña fuerte debe contener de diez a catorce caracteres, y deben ser una mezcla de letras, números y símbolos. No deben estar completamente basadas (aunque pueden estarlo parcialmente) en eventos importantes para el usuario, gustos y nombres de allegados que sean fácilmente identificables, a través de internet o fuera de él. El nombre de los hijos, mascota, o la fecha de sus cumpleaños no es por sí sola una contraseña fuerte. Se pueden, sin embargo, usar en conjunto con otras palabras, caracteres o símbolos para hacerlas menos vulnerables.
Una mala práctica común es tener las contraseñas anotadas cerca del dispositivo de trabajo. Sin embargo, el especialista en ciber-seguridad Kevin D. Mitnick comenta en su libro “El arte de la invisibilidad” una técnica interesante: anotarlas incompletas. De ese modo el usuario podrá tener una pista que le recuerde a la contraseña, pero esta no estará disponible para cualquiera.
Otro punto importante es asegurarse de que las preguntas de la opción de “recuperar contraseña” sean igualmente seguras y privadas. Algunos ciber-atacantes podrían optar por cambiar su contraseña en vez de vulnerarla si la pregunta de seguridad es fácil de predecir o si es información pública.
Dispositivos vulnerables e información no encriptada
Otro punto importante es mantener la información segura y encriptada. No solo la información que está en la red interna, sino también la que se transmite entre los trabajadores. Existen correos electrónicos que permiten la encriptación de los mensajes, archivos y audios enviados, y en cuanto a la transmisión de datos, es importante ver si la plataforma tiene un protocolo de file-sharing seguro.
Los VPN, o Virtual Private Network, es otra herramienta que ayudan a este fin, y mantienen encriptada la información independientemente de a la red a la que se esté conectado.
Es fundamental tener backups encriptados con los datos y archivos, a la vez que utilizar y mantener actualizados los antivirus, firewalls e incluso los protocolos de los routers, para mantener protegida las redes domésticas.
Ingeniería social y phishing
Otro ámbito en el que es importante concientizar a los trabajadores es el phishing. Muchos problemas de seguridad se deben a que los trabajadores suministran erróneamente información delicada o accesos a ciber-criminales que se hacen pasar por autoridades. Puede ser desde un correo hasta una llamada del “mánager” o “supervisor” pidiendo las contraseñas o información interna. Cada vez es más difícil identificar el phishing, pero no es imposible, y hay que estar atentos. Es importante entrenar y concientizar a los trabajadores en pos de evitarlo.
En síntesis, si la ciber-seguridad era importante en la época anterior a la pandemia y a la transformación digital, ahora más que nunca es fundamental mantener a los empleados informados y entrenados para mantener la integridad y seguridad de las empresas con modalidades de trabajo remoto.