No hay conciencia entre empleados y pymes sobre el riesgo tecnológico de llevarse el trabajo a casa
Estamos en la era de la flexibilidad. De las fronteras difusas entre lo profesional y lo privado. Un dispositivo sirve para todo. Ya sea un portátil o –cada vez más– un smartphone. “Me voy y acabaré esto esta noche desde casa”. Cuantas veces no habremos dicho esto. Y no somos –o sí– conscientes de que en el mismo móvil tenemos los correos personales y los que llevamos de la empresa, con información que puede ser relevante. Las empresas –pymes sobre todo– no ejercen ningún tipo de control sobre este aspecto, lo que las lleva a incurrir en riesgos muy altos. Todo ello es porque no hay una alta concienciación entre los empleados y las pymes sobre los peligros y riesgos tecnológicos; y tampoco se poseen recursos para contratar sofisticados sistemas de ciberseguridad, por lo que la entrada en un ordenador o móvil y de allí alcanzar toda la red, puede resultar bastante accesible. No debe olvidarse que las pymes suelen almacenar datos relevantes de los clientes que pueden oscilar entre información legal, económica, de salud o incluso contenidos de propiedad intelectual. Nivel de seguridad “Si envío un correo electrónico desde la oficina a casa, los dispositivos de la red hogareña no tienen el mismo nivel de seguridad que los de la oficina y estoy propiciando que haya miradas ajenas sobre una información que puede ser confidencial. Es un evidente fallo en la política de seguridad, ya que si los piratas lo hacen bien, la víctima ni se da cuenta”, dice Samuel de Tomás, product senior manager del European Delivery Center de Deloitte. Y añade, “se presta mucha atención a los portátiles y se les protege, pero, en cambio se olvidan los móviles y hoy, con el móvil vamos a todas partes. Por ello, los ataques se centran cada vez más en estos dispositivos”. En realidad, las aplicaciones nuevas que salen se hacen pensando más en los móviles que en los ordenadores. ¿Qué pasa cuando nos conectamos en los wifi de los hoteles o de los aeropuertos, por poner dos ejemplos? Pues que el dispositivo móvil busca redes disponibles y puede ser que alguien haya creado puntos de acceso falsos que les engañen. “Simplemente con un router que se lleva en una mochila se puede hacer sentado cómodamente en el hall de un hotel o en un aeropuerto”, prosigue De Tomás. Y en el momento en que se establece conexión se puede espiar y preparar un ataque posterior, ya que ha tomado el control. “El gran peligro está en entrar una red en la que no haya contraseña”, advierte.
Para Xavier Gracia, socio de Cyber Risk Services de Deloitte, otro de los grandes riesgos está en los pen drive. “Es algo habitual que personas poco informadas en las TIC puedan causar un estropicio en la empresa al conectarlo a diferentes ordenadores, por ejemplo, para llevarse trabajo a casa”. Advierte del riesgo que conllevan algunos dispositi- vos que se regalan en promociones. Puede darse el caso que lleven incorporado un malware (programa malicioso), que infecte los ordenadores y alguien pueda ejercer un control remoto con los datos que ha robado el pen drive cuando ha sido conectado a un ordenador. Los antivirus El siguiente punto que abordan los expertos de Deloitte, es el de los antivirus y, a pesar de que los consideran absolutamente necesarios, advierten que cuando estos identifican un fichero malicioso, el atacante lo modifica un poco y ya no lo pueden identificar. “El antivirus va por detrás. Cada mes aparecen cientos de miles de variantes”, afirman. Las pymes aseguran que son reactivas, es decir, que no reaccionan hasta que son atacadas, mientras las grandes compañías –que son atacadas cada día– gracias a la protección adicional ajena que se procuran, “son capaces de reaccionar en cuestión de segundos y evitan males mayores, un nivel de reacción que las pymes no tienen”.
De todos modos, insisten en la necesidad de educar a los empleados. “Para ver el nivel existente, en ocasiones, cuando nos contrata una compañía hacemos campañas falsas de phishing (suplantación de personalidad), por ejemplo, enviando correos electrónicos adjuntando un documento en el que se deja entrever que se habla de despidos o de nóminas. Un 80% de la gente pica y luego ve que el documento no dice nada de lo imaginado al ver su nominación. Pero la infección ya se habría causado. La curiosidad les puede...”, dice Gracia. “Lo curioso del caso es que a nadie se le ocurre llamar a seguridad cuando lo recibe... y eso pasa constantemente”, añade.