Ciberseguridad, una “área gris” del Home Office que puede vulnerar a las empresas
La pandemia por COVID19 trajo consigo consecuencias que hasta la fecha son palpables. Una de ellas es el trabajo remoto, que se ha construido como una nueva manera de trabajar, debido a sus múltiples beneficios.
En México, según los resultados de una encuesta realizada por Statista en abril de 2020 con la participación de reclutadores, el teletrabajo ha demostrado ofrecer varias ventajas notables en el país. Entre los tres principales beneficios mencionados, el ahorro de tiempo y dinero en desplazamientos hacia la oficina fue señalado por casi el 74% de los encuestados. Además, más de la mitad (53%) afirmó que el trabajo a distancia fomenta la responsabilidad individual de los empleados.
Aunque después de la pandemia muchos trabajadores volvieron a la oficina, el trabajo de manera híbrida se mantuvo como el nuevo “contrato laboral”. Según Owl Labs, en su estudio, State Of Hybrid Work 2023, la dinámica laboral en el entorno de oficina y trabajo remoto ha experimentado una transformación significativa en el transcurso de un año. El trabajo híbrido se ha consolidado como la norma anualmente.
La transición hacia un modelo de trabajo híbrido planteó uno de los desafíos cruciales para las empresas, que consistió en definir el significado de "híbrido" y encontrar el equilibrio más eficiente para el trabajo a distancia. En nuestro país, recientemente se publicó la NOM-037, que aborda cuestiones relacionadas con el teletrabajo como complemento a los primeros esfuerzos vistos en 2021. Aunque esta norma ha recibido elogios por su intención de establecer estándares de seguridad y salud para los teletrabajadores, hay todavía un área desatendida: los riesgos de ciberseguridad que representa trabajar desde casa.
Para Helder Ferrao, Gerente de Estrategia de Industria LATAM en Akamai Technologies, el tema de ciberseguridad en el home office, debe ser abordado debido a que los ciberataques están en aumento y las empresas deben proteger sus activos de información. “Es muy importante que este tipo de información se mantenga segura porque los cibercriminales pueden hacer uso de la información privada, pero también pueden ingresar en la estructura para comprometer la información o la operación de la empresa”, dijo en entrevista.
El teletrabajo ha expuesto puntos débiles, especialmente porque los empleados se conectan a través de sus dispositivos personales y utilizan redes domésticas que, en muchos casos, carecen de las medidas de seguridad necesarias para prevenir fugas de datos.
El informe titulado Más allá de los Límites: El Futuro de la Ciberseguridad en el Nuevo Mundo del Trabajo, elaborado por Forrester y Tenable, resalta un dato preocupante: en el segundo trimestre de 2021, el 74% de los ataques cibernéticos se debieron a fallos en los sistemas implementados durante la pandemia, y el 69% de estos ataques tuvo como objetivo a trabajadores remotos.
La adopción del trabajo desde casa ha abierto la puerta para que los empleados realicen sus labores y accedan a información empresarial desde la comodidad de sus hogares. Aunque esto ha mejorado la experiencia de los empleados, también ha creado un entorno con riesgos significativos.
“Hay una serie de ataques con los que se puede comprometer el equipo con el que las personas hacen su trabajo remoto, y el acceso a los sistemas de una empresa. Son distintas, y se basan en los objetivos para comprometer. Por ejemplo, el ataque a un equipo remoto para implementar un archivo de malware que es propagado y enviado para afectar la estructura de tecnología de la empresa”, señala Ferrao. “El tipo de ataque más evidente en los últimos dos años son los ataques de ransomware. Se puede utilizar un equipo remoto para implementar un malware. El equipo remoto es una guía de acceso para acceder y propagar para comprometer la estructura”.
Además, algunos teletrabajadores han utilizado configuraciones de red por defecto proporcionadas por sus proveedores de servicios de Internet, lo que los hace vulnerables a la interceptación del tráfico de datos por parte de terceros. En este contexto, ¿cómo hacer para asegurar que el trabajo desde casa no se convierta en un arma de doble filo?
Ciberseguridad a medias
Los proveedores de ciberseguridad, como Cisco, Palo Alto Networks y Fortinet, ya desempeñaban un papel importante en la inteligencia empresarial antes del brote de la pandemia de COVID-19. Sin embargo, su papel se ha vuelto esencial para la supervivencia de las empresas, especialmente debido a las nuevas amenazas y vulnerabilidades de seguridad que surgieron con las configuraciones de trabajo remoto.
A partir de 2022, el software de seguridad de terminales y las redes privadas virtuales (VPN) se convirtieron en las tecnologías más utilizadas por las empresas para proteger el trabajo desde casa y los entornos de trabajo híbridos. Según cifras de Statista, la tecnología fundamental empleada por empresas a nivel global en 2022 para asegurar un ambiente de trabajo seguro desde el hogar fue el software antivirus o de seguridad para dispositivos terminales. Cerca del 50% de los encuestados utilizó una red privada virtual (VPN), mientras que un 34.5% ya había adoptado el enfoque de acceso a la red de confianza cero (ZTNA).
Las redes VPN son una tecnología que permite crear una conexión segura y encriptada a través de internet, que permite a los usuarios acceder a recursos y datos de una red privada de manera remota. Su función principal es proteger la privacidad y la seguridad de la información transmitida a través de una conexión pública, como Internet, al cifrar los datos y ocultar la dirección IP del usuario, lo que garantiza la confidencialidad y la integridad de la comunicación, así como la autenticación de los participantes.
Sin embargo, a medida que se incrementan los ciberataques, la protección puede quedarse corta. Según opina Ferraro, experto en ciberseguridad empresarial, “cuando la pandemia comenzó, la oferta de servicios de computación se agrandó, y con ello las amenazas. Lo que entendíamos en el pasado como un “perímetro de seguridad”, cambió cuando comenzó a tener accesos remotos para hacer el home office. El concepto de un perímetro seguro se vino abajo”
Por esa razón, los accesos por VPN, por ejemplo, no son suficientes para garantizar este acceso seguro. “Se está abriendo una puerta entre el equipo remoto y la estructura de tecnología de una empresa. No hay un control que garantice que los accesos de VPN respalden la información”, dice el experto.
Para garantizar ese acceso seguro, pueden encontrarse medidas y soluciones de ciberseguridad, sin embargo, sigue en la mira un factor muy importante: las personas.
El “área gris” de la regulación
Una de las razones por las que el trabajo desde casa pone en vulnerabilidad el activo de información de las empresas, es porque muchas veces el medio para acceder a ellas son las personas.
“En cualquier estructura de seguridad de una compañía, hay siempre un hilo de la cadena que es el más frágil: las personas. Los cibercriminales siempre van a utilizar a las personas para poder entrar a una compañía, por lo que las empresas deben entrenar a las personas para orientarlas en torno a los ciberataques y el tipo de técnicas que utilicen”, asegura Ferrao.
Aunque ésta es una "área gris", aún incipiente, sobre todo en cuestión de regulación. La NOM-037 se queda muy al margen de las cuestiones de seguridad cibernética. En gran medida porque en México no existe una regulación de ciberseguridad, y por ende, no existe una regulación específica para el teletrabajo.
“No estamos hablando de una regulación específica de una industria. Estamos hablando de cómo se debería tratar la información. No son regulaciones que determinan los tipos de ciberseguridad, sino que son regulaciones que tratan de cómo se debe proteger la información, cualquier tipo de información que identifique a un individuo: información de contacto, nombre, etc. Las regulaciones hablan siempre de activos de información, no determinan una técnica de protección de seguridad”, asegura Ferrao.
La carente Ley de Ciberseguridad, que apenas ha sido tocada por polémicas propuestas y “probaditas”, todavía no establece aquel estándar necesario para los teletrabajadores, sin embargo, aún hay acciones que pueden llevarse a cabo para proteger tanto a los trabajadores, como a las empresas.
Ciberseguridad, sinónimo de dinamismo
Para sobrevivir a los ataques cibernéticos, las empresas deben optar por soluciones que garanticen el acceso seguro de manera remota. Además de cambiar la manera en la que se hacen los accesos, garantizar que los accesos sean del mínimo necesario para que una persona pueda trabajar de manera adecuada, sin que interfieran en su trabajo.
Tal como asegura Ferrao, entrenar a las personas debe ser una actividad continua. “Una compañía es un organismo vivo, porque la compañía tiene objetivos de crecimiento, por lo que debe haber una planeación constante, y dinámica, porque los ataques también evolucionan. Esto no va a garantizar el 100% de protección, pero va a garantizar que las personas tengan la información adecuada de la estructura tecnológica y de las técnicas de ciberataques”, dice.
La constante evolución de ciberataques también traerá consigo la implementación de nuevas técnicas de protección, pero sin duda, mirar hacia la inversión en seguridad para protección de la información, deberá ser una de las prioridades de las empresas, por el bien de los empleados y de sí mismas.