El precio de la comodidad - Seguridad Informática para emprendedores

Jorge se encuentra trabajando como todos los lunes en la cafetería que está frente a su casa, su favorita. Le gusta porque los sillones son cómodos, la vista ayuda a que la creatividad fluya y ni mencionar cuánto disfruta su café. Hoy se está encargando de pagar unas nóminas y llenar unos reportes mensuales. Al terminar, recoge sus cosas como de costumbre y se retira. No hay nada fuera de lo normal. Una semana después, la startup donde trabaja es hackeada y todas las cuentas son vaciadas. Nadie sabe cómo ocurrió, tampoco se imaginaban que la causa de todo fue Jorge.

Hay una actividad en tendencia que se populariza cada vez más, ofreciendo a las empresas mayores ganancias y comodidad a sus empleados. ¿Cuál podría ser esta práctica mágica?, la respuesta es, el Home Office. La capacidad de poder trabajar a distancia se ha vuelto vital, ya sea porque eres el representante de ventas de un gran corporativo que tiene que viajar constantemente, o porque eres parte de un equipo pequeño que apenas va iniciando. Según COPARMEX, el Home Office ha demostrado aumentar la productividad hasta un 28% en empresas de la Ciudad de México. En adición, ayuda a reducir la congestión vehicular y la contaminación (Forbes Staff, 2016). Estos son beneficios para todos, entonces ¿dónde está el problema?

La parte que se ve dañada por esta práctica es la ciberseguridad de la organización. El riesgo yace en que al estar la víctima fuera de la red perimetral de la empresa, esta se encuentra sin la protección de la infraestructura utilizada para defender los datos confidenciales de la institución. En consecuencia, se encuentra altamente vulnerable. Para ejemplificar lo anterior podemos pensar en Ataques de Hombre en el Medio (MiTM). En los que el criminal se posiciona en medio de dispositivos que se están comunicando para manipular la información que reciben o capturar datos sensibles, como contraseñas. Este tipo de ataques normalmente ocurren en redes públicas, como en el caso de Jorge. Otro ejemplo es cualquier método de ingeniería social. El más común, Phishing.

Cuando una víctima se encuentra sola, es más difícil que corrobore información. Imaginemos que Karen recibe un correo de alguien haciéndose pasar por el equipo de soporte técnico de donde trabaja. Se le pide que instale un programa en su laptop, diciendo que es un nuevo software que la compañía acaba de adquirir, cuando en realidad es un archivo infectado creado por un atacante para tomar control de su dispositivo. Esto puede resultar de dos maneras. Si ella se encuentra en las oficinas de la institución, rodeada de sus compañeros, fácilmente puede preguntarles si también recibieron el mensaje y si este no es el caso, ella puede asegurarse de que es un correo falso, reportarlo y salvar a la institución de grandes pérdidas. Cambiando el contexto, imaginemos que recibe el mismo correo mientras trabaja en su casa. Al estar sola es más difícil que compruebe si el mensaje es real, por lo tanto es más susceptible a caer en el fraude.

Existen dos tipos de trabajadores a distancia, los que algunos días trabajan a distancia y otros en la oficina y los que siempre lo hacen por fuera. El más peligroso es el primero. Al encontrarse su equipo fuera de la protección de la organización pudo haber sido infectado y al llevarlo a su área de trabajo, puede infectar a los demás dispositivos de la empresa. Esto es llamado infección lateral. Funciona igual que con las personas, cuando alguien se enferma se convierte en un vector para la enfermedad y al convivir con otros, existe riesgo de contagio y propagación.

Ya se habló de los riegos, es momento de hablar de la prevención, enfocada a organizaciones pequeñas, con el fin de que las medidas de seguridad sean lo más accesibles posibles. Primeramente, es necesario aclarar un punto; Es imposible salvaguardar toda la información de tu compañía, por lo que es imperativo saber las prioridades y tener claro qué estamos dispuestos a perder. Empezaremos con el User Behavior Analytics (UBA). Esta medida implementada en forma de software permite monitorear la conducta promedio de los empleados y en el caso que se detecte una anormalidad se disparan alertas, dando así tiempo para reaccionar. Si Jorge solamente se conecta a la plataforma empresarial entre semana y en la mañana, se crea un patrón. Cuando dicho patrón se modifique, el software levantará una alerta. Otra solución es la implementación de autenticación por medio de dos factores (TFA), ya sabes, esa función que TODOS deberíamos tener activada en nuestro correo, redes sociales y básicamente en cualquier cuenta que se pueda.

La inversión en un antivirus de nueva generación (NGAV) debería ser obligatoria,dado que los convencionales no son suficiente. Para poder tener una mejor idea de las opciones, podemos basarnos en la siguiente fuente: https://www.tecnozero.com/antivirus-y-anti-ransomware/informe-nss-labs-test-grupal-de-soluciones-de-proteccion-avanzada-aep-2019/ . Una opción gratuita es el uso de Cannary Tokens. A grandes rasgos podemos describirlos como una trampa. Son programas que se hacen pasar por archivos importantes y cuando son abiertos mandan un correo de advertencia al usuario. Yo puedo crear uno de estos y hacerlo pasar por un documento de Excel llamado “Cuentas bancarias”, el cual es un nombre tentativo para cualquier atacante. En caso de que mi laptop fuera infectada o robada y alguien más tuviera acceso a ella y abriera ese archivo, inmediatamente recibiría una alerta ¡donde se incluiría hasta la ubicación del dispositivo! Esta opción es útil dado que el lapso para que una empresa descubra que ha sido hackeada va de 9 a 12 meses.

Podemos nombrar muchas soluciones más, como el uso de VPNs, la implementación de Network Access Controls, SSL Sockets, Data Loss Prevention Software, etc. Pero si lo que buscas es lo más efectivo, lo que más ayudará a tu equipo y la mejor inversión, entonces lo que necesitas es entrenar a tu personal. Esto es solucionar el problema desde raíz, debido a que los humanos somos el eslabón más débil en la cadena de seguridad. Capacitar a tu equipo, concientizar, repartir boletines internos con medidas de protección, difundir alertas, redactar políticas de seguridad claras y la clasificación explícita de usuarios, puede ser lo que salve tu empresa.

Al ritmo al que crecen los ataques cibernéticos ya no se trata de preguntarte qué hacer si te llega a pasar, ahora se trata de saber que hacer cuando te pase, porque va a suceder y debes estar preparado. De igual manera la respuesta no está en odiar la tecnología y negarse a los cambios, al contrario, debes apoyarte de ellos para crecer, estando consciente de los riesgos a los que te enfrentas y teniendo planes para saber reaccionar a estos.

Forbes Staff. (2016). Home office aumenta 28% la productividad de las empresas. Recuperado de: https://www.forbes.com.mx/home-office-aumenta-28-la-productividad-de-las-empresas/ El precio de la comodidad - Seguridad Informática para emprendedores

2 Me gusta