Teletrabajo: cómo debés prepararte en este 2021 y no ser víctima de los ciberdelincuentes
¿El teletrabajo llegó para quedarse? Si bien el teletrabajo no es algo nuevo, la pandemia del coronavirus provocó un aumento sin precedente a nivel mundial de personas trabajando en esta modalidad.
Varios informes en distintos países muestran que muchas empresas y organizaciones que no tenían personal trabajando a distancia previo a la pandemia planean continuar con alguna forma de teletrabajo una vez que se termine la situación sanitaria. Algunas de las que ya implementaban teletrabajo consideran aumentar la cantidad de días que se podrá trabajar remotamente.
El teletrabajo, una opción que crece
Según datos de una encuesta reciente realizada por la empresa de seguridad informática Eset, el 86% consideró que el teletrabajo pasará a ser algo fijo luego de la pandemia, pero bajo una modalidad mixta en la que se trabajará algunos días a distancia y otros días de forma presencial. Apenas un 4,68% consideró que una vez superada la pandemia se volverá a la antigua normalidad y no aplicará teletrabajo.
Si bien algunas personas prefieren trabajar de forma presencial, el mayor porcentaje elije el teletrabajo. Empresas como Twitter, por ejemplo, anunciaron que permitirán que algunos trabajadores que lo deseen puedan hacer teletrabajo de forma permanente desde su casa.
Aumento de la productividad por el teletrabajo
La productividad que lograron mantener o incluso mejorar las empresas a lo largo del 2020, así como la reducción de algunos costos, fueron otros de los factores que demostraron a las organizaciones que esta modalidad de teletrabajo es viable y positiva.
A esto se suma que muchas personas vieron en el teletrabajo una oportunidad para mejorar el balance entre su vida personal y la laboral, lo que representa una mejor calidad de vida. Por todo esto y mucho más es que una gran cantidad de empresas evalúan continuar con alguna modalidad de teletrabajo.
Una pregunta clave sobre el teletrabajo
Pero una pregunta que deberán responderse es la siguiente: ¿están lo suficientemente preparadas para hacer teletrabajo de manera segura? Según datos de esa encuesta, el 86% considera que las empresas deberán cambiar su enfoque de seguridad si establecen alguna modalidad de teletrabajo fija luego de la pandemia.
En esta misma línea, solo el 13% opinó que la mayoría de las empresas está lo suficientemente preparada en términos de seguridad y tecnología para una modalidad de teletrabajo seguro, mientras que el 46% opinó que solo algunas.
El teletrabajo y los riesgos desde el punto de vista de la seguridad
Trabajar desde casa implica que nuestra comunicación con nuestro entorno de trabajo se realice a través del correo, el chat o aplicaciones de videoconferencias. También implica usar nuestra red hogareña de Internet para conectarnos a la red corporativa, la misma red de Internet a la que está conectado el Smart TV, nuestro "smartphone", la tableta, computadora y tal vez algún otro dispositivo inteligente. Todas estas tecnologías podrían ser la puerta de entrada que utiliza un atacante sobre alguien que realiza teletrabajo.
El teletrabajo también implica que algunas personas deban utilizar su computadora personal para desempeñar su actividad, o bien que utilicen la computadora que les brinda la empresa para trabajar, pero también para realizar actividades personales.
Actividades que tal vez en la oficina no harían o al menos no con la misma frecuencia, como realizar compras, utilizar las redes sociales o acceder a servicios personales como el correo electrónico.
Si no se toman las medidas necesarias para asegurar el teletrabajo, todo este contexto puede ser peligroso si se combina con el hecho de que desde que comenzó la pandemia los criminales han estado intentando aprovecharse del auge del teletrabajo para intentar comprometer a usuarios y empresa de todo tipo. Los ciberdelincuentes se han abalanzado sobre las vulnerabilidades que se desprenden del teletrabajo y los sistemas de TI para encontrar grietas por donde filtrarse.
El ransomware y los ataques dirigidos a los trabajadores remotos
Uno de los desafíos que desde el punto de vista de la seguridad trajo la pandemia ha sido evitar los ataques que buscan aprovecharse de las computadoras inseguras de aquellos que hacen teletrabajo desde casa para utilizarlas como punto de entrada a redes corporativas.
En este sentido, el uso del protocolo de escritorio remoto (RDP) ha sido uno de los mecanismos más utilizados para lanzar ataques de ransomware, aprovechando también el uso de contraseñas débiles en el teletrabajo. De hecho, a mediados de 2020 se publicaron datos sobre el crecimiento a nivel global de los intentos de ataque al RDP y los accesos remotos en general en el teletrabajo.
Se trató de un crecimiento que en América latina durante el tercer trimestre de 2020 significó un aumento del 141% de los intentos de ataque de fuerza bruta al RDP. Los atacantes detrás de los distintos grupos de ransomware utilizan diferentes vectores de ataque para distribuir la amenaza.
Ataques de ingeniería social sobre el teletrabajo
Un importante crecimiento se registró durante 2020 con respecto al año previo en cuanto a los ataques de ingeniería social. Con el oportunismo de siempre, los criminales han aprovechado el temor por la pandemia, el teletrabajo y ahora el lanzamiento y distribución de la vacuna contra la Covid-19 para engañar a los usuarios.
Y probablemente lo seguirán intentando durante este 2021 aprovechando temas que acaparen la atención de los medios y de los usuarios del teletrabajo, por lo que debemos estar atentos y aprender de lo que ocurrió en 2020. A través de los ataques de ingeniería social los criminales distribuyen distintos tipos de campañas maliciosas con foco en el teletrabajo.
Algunas que buscan engañar a los usuarios con falsas promesas para distribuir publicidad invasiva, mientras que otras más peligrosas buscan distribuir malware suplantando la identidad de alguna marca, entidad gubernamental o aplicación de videoconferencia, por mencionar algunos ejemplos.
¿Cómo podemos proteger a quienes hacen teletrabajo?
Como siempre, el eslabón más débil de la cadena es siempre el factor humano, y también en el teletrabajo. Para comprometer a una compañía, los atacantes ahora no dependen solo de enviar un correo a direcciones corporativas, sino que pueden hacerlo lanzando ataques a los correos personales, ya que en caso de que la víctima sea un trabajador que hace teletrabajo, esto probablemente pueda permitirles tener acceso a una red corporativa.
Si bien muchos teletrabajadores son conscientes, tal como lo demuestra una encuesta de Eset en la que un 87% de los participantes considera que los cibercriminales han visto una oportunidad en el incremento del trabajo remoto. Sin embargo, esto no puede caer solo en la responsabilidad de los teletrabajadores. Las empresas y organizaciones deben hacer su parte.
Responsabilidad de las empresas en el teletrabajo
Para operar de manera eficiente se requiere contar con una excelente gestión corporativa, así como políticas de seguridad perfectamente integradas. Para que las empresas funcionen sin problemas con una interrupción mínima, deben darles la misma importancia a las prácticas de gestión y a las de seguridad, lo que a su vez protege al personal y a la empresa.
La capacitación puede resultar muy útil para proteger al personal y funciona mejor cuando se imparte con frecuencia y en pequeñas dosis. Las empresas deben prepararse para el teletrabajo y crear equipos y sistemas de TI que sean capaces de evitar los daños financieros y a la reputación que los ataques ocasionan.
Entender la fuerza laboral tiene un papel fundamental en la estrategia de ciberseguridad de cualquier negocio, ya que permite mejorar la eficacia de la capacitación y a su vez ayuda a incentivar a los empleados para que inviertan más en su propia formación y habilidades.
El eslabón humano en el teletrabajo
Si comprendemos que el elemento humano en la seguridad cibernética es tan importante como el técnico, habremos dado el primer paso en la construcción de protocolos holísticos que tengan en cuenta las fortalezas individuales y los puntos débiles.
Las empresas deben buscar la forma de crear entornos seguros para quienes trabajan desde su casa. Esto va desde exigir que implementen el doble factor de autenticación en todos los sistemas y tecnologías que ofrezcan esta opción, así como el uso de una solución VPN para acceder a redes corporativas.
También lograr que los teletrabajadores habiliten las actualizaciones automáticas y que evalúen la seguridad de sus redes Wi-Fi, ya que por aquí también pueden entrar los cibercriminales.
No menos importante, en la medida de lo posible los teletrabajadores deberán utilizar equipos brindados por la empresa para sus labores, y sobre todo, estar alertas e informados sobre las formas más comunes que tienen los atacantes de comprometer a sus víctimas.
Diferencias entre gigantes y pymes en cuanto al teletrabajo
Las grandes compañías, como Google y Microsoft, alientan u ordenan a sus empleados que trabajen de manera remota desde sus casas. Para las empresas tecnológicas modernas, la infraestructura y las políticas necesarias para el trabajo remoto ya están establecidas y probablemente la mayor parte de los trabajadores sean usuarios de computadoras portátiles.
Sin embargo, para muchas empresas y organizaciones, fundamentalmente las Pymes, es probable que la situación sea muy diferente. Trabajar desde la casa es una opción que se limita a unos pocos y principalmente para quienes utilizan solamente el correo electrónico y otros sistemas que no son operativos.
El ejemplo de la educación para el teletrabajo
El sector educativo es un buen ejemplo: las universidades han estado ofreciendo educación a distancia como una opción desde hace ya algún tiempo, mientras que las escuelas primarias y secundarias son más dependientes de la presencia del docente y de los alumnos para llevar adelante las tareas de aprendizaje.
Este escenario también debe considerar el personal administrativo y de operaciones de la escuela, ya que probable sean trabajadores con menos capacidad de movilidad y que usen dispositivos de escritorio en lugar de computadoras portátiles.
Dividir para asegurar el teletrabajo
Dividir la organización en unos pocos grupos con diferentes requisitos y el tratamiento de las necesidades de cada uno para lograr el éxodo masivo puede parecer un enfoque simplista, pero probablemente sea esencial dada la urgencia en algunos casos.
Usando la educación como ejemplo, hay estudiantes (los clientes), docentes, personal de administración y de operaciones. La escuela no puede funcionar sin una participación significativa de estudiantes, los maestros necesitan herramientas para realizar conferencias virtuales y los equipos de administración necesitan acceso a la red, y esto es solo lo mínimo.
Requisitos para el teletrabajo
Para ser productivo, hay requisitos comunes que todos los trabajadores remotos necesitan. Como alguien que ha trabajado de forma remota durante la mayor parte de su vida laboral, puedo dar fe de los dos últimos:
- Una computadora.
- Una buena conexión a Internet.
- Aplicaciones de chat y para realizar videoconferencia.
- Un espacio de trabajo dedicado (preferiblemente).
- Un teléfono (opcional).
- Automotivación y disciplina.
- Una rutina estricta.
¿Por qué el teléfono es opcional? En el entorno actual puede no ser necesario, especialmente porque la mayoría de las aplicaciones de chat permiten realizar llamadas directas. La necesidad de un teléfono puede ser más un requisito comercial y no tanto un dispositivo esencial.
Es importante destacar que las empresas y organizaciones también deben prepararse a sí mismas y a sus empleados para enfrentar los riesgos vinculados a la ciberseguridad con el trabajo remoto.
Seguridad física de los dispositivos de la empresa
Los empleados estarán exponiendo a un mayor riesgo los dispositivos de la empresa en la medida que no tengan presente la seguridad del lugar de trabajo. Los dispositivos deben protegerse contra pérdidas y robos con opciones como:
- El cifrado de disco completo garantiza que, incluso si el dispositivo cae en las manos equivocadas, no se puede acceder a los datos de la compañía.
- Cierre sesión cuando no esté usando la computadora, tanto en casa como en lugares públicos. Que un niño curioso envíe accidentalmente un correo al jefe es algo que puede evitarse fácilmente, ya que al cerrar sesión limitamos la oportunidad de que alguien acceda a la máquina mientras le damos la espalda.
- Política de contraseña segura: aplique contraseñas en el arranque, establezca tiempos para la suspensión del equipo según el tiempo de inactividad y prohíba las notas con contraseñas pegadas al equipo: ¡la gente todavía hace esto!
- Nunca pierda de vista su dispositivo o lo deje a la vista pública. Si está en el auto, entonces debería guardarlo en el baúl.
¿Qué hay del entorno tecnológico del hogar?
Lo ideal sería solicitar a los empleados que auditen las vulnerabilidades de su propio entorno doméstico antes de conectar los dispositivos de trabajo. Hay revelaciones continuas sobre dispositivos vulnerables de Internet de las cosas (IoT), y este es un excelente momento para que los empleados tomen medidas para asegurarlos con contraseñas seguras y actualizando tanto el firmware como el software a las últimas versiones disponibles.
Considere la posibilidad de promocionar, o incluso exigir, el uso de una aplicación de monitoreo antes de permitir que los dispositivos de trabajo se conecten a las redes domésticas.
El escaneo o monitoreo resaltará los dispositivos con vulnerabilidades conocidas, la existencia de software o firmware obsoleto o la presencia en uso de contraseñas predeterminadas que deberían cambiarse.
Establezca si el empleado necesita acceso a la red interna de la organización o simplemente acceso a servicios y correo electrónico basados en la nube. Y tenga en cuenta si debe otorgarse el mismo nivel de acceso a los datos confidenciales disponibles en el sitio cuando el empleado está trabajando de manera remota.