Coronavirus y teletrabajo: C贸mo preservar la ciberseguridad durante la pandemia

Para poder ofrecer r谩pidamente al mayor n煤mero posible de empleados un f谩cil acceso a los sistemas y programas operativos, algunas empresas han descuidado los est谩ndares de seguridad inform谩tica, dando lugar a potenciales riesgos de seguridad cibern茅tica.

Ahora que un gran n煤mero de personas teletrabajan a causa de la pandemia de coronavirus, crece el n煤mero de incidentes cibern茅ticos, ya que piratas y estafadores inform谩ticos, as铆 como emisores de spam, buscan explotar vulnerabilidades en su intento de sustraer informaci贸n de valor. En respuesta a esta amenaza, los expertos de Allianz Global Corporate & Specialty (AGCS) se帽alan diversas medidas que pueden ayudar a los trabajadores a protegerse mejor frente a las amenazas cibern茅ticas que surgen en la estela de la COVID-19.

El coronavirus est谩 cambiando la forma de trabajar e interactuar a diario de las personas. Son muchas las empresas que se han visto en la necesidad de ampliar 鈥攃asi siempre en un plazo muy breve 鈥 su capacidad de teletrabajo como consecuencia de la pandemia. En algunos casos, para poder ofrecer r谩pidamente al mayor n煤mero posible de empleados un f谩cil acceso a los sistemas y programas operativos, se han rebajado, o bien suspendido, los est谩ndares de seguridad inform谩tica, dando lugar a potenciales riesgos de seguridad cibern茅tica para las empresas.

Una consecuencia de esta posible relajaci贸n de la seguridad es que puede resultar m谩s f谩cil para ciberdelincuentes y piratas inform谩ticos el penetrar en sistemas corporativos que antes contaban con una protecci贸n eficaz y provocar as铆 violaciones de la seguridad de los datos, intrusiones con intenci贸n de extorsi贸n cibern茅tica y fallos en los sistemas inform谩ticos. Desgraciadamente, los teletrabajadores que acceden a redes corporativas empleado una conexi贸n VPN (red privada virtual) son un objetivo apreciado por los ciberdelincuentes, los recientes incidentes as铆 lo demuestran.

Las campa帽as de phishing asociado al coronavirus, en las que se enviaban enlaces o documentos adjuntos maliciosos en correos electr贸nicos o mensajes de WhatsApp, empezaron a circular en enero de 2020 y no han dejado de proliferar. La Comisi贸n Europea ha indicado que la ciberdelincuencia ha aumentado en la UE desde el inicio de la pandemia, mientras que la Organizaci贸n Mundial de la Salud (OMS) ha alertado recientemente acerca de correos electr贸nicos sospechosos que buscan aprovechar la emergencia de la COVID-19 para sustraer dinero o informaci贸n sensible de los destinatarios. En algunos pa铆ses, los datos indican que el n煤mero de tentativas de ataques cibern茅ticos se multiplic贸 por cinco entre mediados de febrero y mediados de marzo.

Los empleados pueden vestir de manera m谩s informal cuando trabajan desde casa, pero eso no significa que deban relajarse cuando se trata de mantener los est谩ndares de seguridad inform谩tica.

Por ejemplo, ciertos est谩ndares de seguridad inform谩tica son requisito indispensable para que una empresa pueda suscribir un seguro de riesgos cibern茅ticos. Por este motivo, AGCS ha elaborado el siguiente compendio de consejos y medidas que deben considerarse para protegerse frente a ataques por Internet. Estos consejos y medidas se basan en las medidas b谩sicas de la Oficina Federal de Seguridad de la Informaci贸n de Alemania y en las directrices del Charter of Trust (asociaci贸n de empresas que promueven en todo el mundo la seguridad inform谩tica, y de la que Allianz es miembro) y son aplicables a todos los dispositivos, incluidos los que las empresas proporcionan a sus empleados.

Medidas b谩sicas de seguridad inform谩tica en la oficina dom茅stica

— Mantener el software actualizado: deben utilizarse siempre versiones actualizadas de los sistemas operativos y programas instalados. Cuando sea posible, debe utilizarse la opci贸n de actualizaci贸n autom谩tica que, a menudo, est谩 activada por defecto. En caso contrario, deben instalarse de inmediato las actualizaciones de seguridad del software y, en especial, las del navegador y el sistema operativo.

— Utilizar protecci贸n antivirus y cortafuegos: debe activarse la protecci贸n antivirus y el cortafuegos, aunque hay que tener presente que esta medida solo es efectiva si va acompa帽ada de otros procedimientos de seguridad. La aplicaci贸n de esta medida no reduce la importancia de los dem谩s consejos que se mencionan en este documento.

— Crear distintas cuentas de usuario: los programas maliciosos tienen en el sistema los mismos privilegios que la cuenta de usuario a trav茅s de la cual hayan accedido al ordenador. Por lo tanto, 煤nicamente debe trabajarse con privilegios de administrador cuando ello sea absolutamente necesario.

— Tomar precauciones cuando se compartan datos personales: los estafadores por Internet aumentan sus posibilidades de 茅xito dirigi茅ndose individualmente a sus v铆ctimas. As铆, utilizan datos objeto de espionaje previo como, por ejemplo, h谩bitos de navegaci贸n o nombres personales y de este modo inspiran confianza. Hoy en d铆a, los datos personales son moneda de cambio en la red y se comercia con ellos. Siempre que sea posible, debe utilizarse una VPN conectada a la red dom茅stica cuando se conecte a redes de 谩rea local inal谩mbricas (WLAN). De lo contrario, la informaci贸n que se transmita sin cifrar podr谩 ser le铆da por terceros. Asimismo, una VPN tambi茅n protege frente una variedad de ataques contra el PC y los datos almacenados en este.

Medidas adicionales de seguridad inform谩tica en la oficina dom茅stica

— 脷nicamente deben llevarse a casa los dispositivos y datos que sean absolutamente necesarios: la mejor manera de evitar la p茅rdida de informaci贸n o dispositivos pasa, en primer lugar, por no sacarlos de su entorno corporativo normal. As铆, no se perder谩n cuando est茅n en tr谩nsito o en casa. Solo debe llevarse a casa los dispositivos y la informaci贸n que realmente se necesite.

— Utilizar navegadores web actualizados: deben deshabilitarse, en la configuraci贸n del navegador, los componentes y complementos. En primer lugar, debe introducirse manualmente en la barra de direcciones del navegador la direcci贸n de las p谩ginas web especialmente cr铆ticas en t茅rminos de seguridad como, por ejemplo, las de banca on-line y despu茅s debe guardarse la direcci贸n as铆 introducida como marcador, que posteriormente se puede utilizar para un acceso seguro.

— Utilizar distintas contrase帽as, que pueden cambiarse si es necesario: deben mantenerse los nombres de usuario y las contrase帽as protegidos, y deben cambiarse tan pronto como sea posible las contrase帽as que puedan haber ca铆do en malas manos. Hay que utilizar contrase帽as distintas y no reconocibles para las diferentes aplicaciones, y las contrase帽as predefinidas por el fabricante deben ser cambiadas antes del primer uso. Es importante que las contrase帽as puedan ser f谩cilmente recordadas. Como norma general: cuanto m谩s largas, mejor. Las contrase帽as deben tener, como m铆nimo, ocho caracteres; no deben ser palabras que figuren en el diccionario y deben incluir letras may煤sculas y min煤sculas, as铆 como n煤meros y caracteres especiales.

— Autenticaci贸n con doble factor: siempre que se ofrezca la posibilidad, debe utilizarse autenticaci贸n con doble factor para proteger el acceso a las cuentas. Un administrador de contrase帽as puede facilitar el manejo de las distintas contrase帽as. No deben compartirse las contrase帽as con terceros.

— Proteger, mediante cifrado, los datos: los correos confidenciales deben protegerse mediante cifrado. Cuando se utilice una WLAN, debe prestarse especial atenci贸n al cifrado de la red inal谩mbrica. En el router, hay que seleccionar el est谩ndar de cifrado WPA3 o, si no estuviera disponible, el WPA2, hasta nuevo aviso. Debe escogerse una contrase帽a compleja, que cuente con un m铆nimo de veinte caracteres.

— Descargar datos solo de fuentes de confianza: debe tenerse cuidado cuando se descarguen contenidos o archivos de Internet. Antes de descargar un programa, hay que verificar que la fuente sea de confianza. Si es posible, debe acudirse a la p谩gina web del fabricante para su descarga.

— Realizar peri贸dicamente copias de seguridad: si, a pesar de las medidas de protecci贸n, el ordenador resulta infectado, puede perderse informaci贸n importante. Para minimizar el da帽o, deben realizarse peri贸dicamente copias de seguridad de los archivos en discos externos, en dispositivos de memoria USB o en DVD.

— Desactivar los dispositivos inteligentes activados por voz presentes en la oficina dom茅stica y tapar la webcam cuando no se utilice: los asistentes por voz escuchan todo lo que se dice en la habitaci贸n y lo transmiten al proveedor del servicio. No hay garant铆a de que estas grabaciones no puedan caer en las manos equivocadas. El usuario debe asegurarse de mantener tapada la webcam del ordenador cuando no se utilice y tener cuidado con lo que se transmite a trav茅s de v铆deo.

— No mezclar los usos personal y laborales: debe establecerse una clara distinci贸n entre los dispositivos y la informaci贸n para uso laboral y para uso personal, y no deben transferirse datos de trabajo a los dispositivos para uso personal. As铆 se previenen las p茅rdidas accidentales de informaci贸n. Adem谩s, esto ayuda a separar mentalmente el tiempo de 芦trabajo禄 del tiempo 芦personal禄.

— Identificar a todos los participantes en sesiones on-line: para las personas no autorizadas que hayan tenido acceso a los datos de conexi贸n, resulta especialmente f谩cil colarse en grandes reuniones on-line con muchos participantes. Por esta raz贸n, todos los participantes en la reuni贸n deben identificarse brevemente, en especial cuando se traten asuntos sensibles o se compartan presentaciones en pantalla.

— Cerrar la sesi贸n cuando no se utilicen los dispositivos y mantener estos protegidos: aunque sea para un breve descanso, deben bloquearse las pantallas del ordenador y los dispositivos m贸viles, al igual que se hace en el trabajo, para que no est茅n accesibles a terceros. Y, por supuesto, mientras se encuentren en casa los dispositivos deben estar protegidos frente a un uso no autorizado o incluso robo.

— Observar pr谩cticas de seguridad en la impresi贸n y manejo de documentos confidenciales: no deben dejarse documentos confidenciales sobre la mesa. El 芦uso no autorizado禄 puede llegar a incluir el que los ni帽os utilicen documentos de trabajo para dibujar. Los documentos confidenciales deben guardarse bajo llave cuando no sean necesarios para el trabajo. Los documentos internos o confidenciales no deben tirarse junto con la basura dom茅stica, hay que triturar los documentos internos o confidenciales antes de ser desechados. Cuando no se disponga de una trituradora de papel, hay que recoger todos los documentos internos o confidenciales y llevarlos al trabajo para su correcta y segura destrucci贸n una vez terminado el teletrabajo.

— Ser especialmente cuidadoso ante correos o adjuntos sospechosos, sobre todo cuando el remitente sea un desconocido: en el entorno familiar de la oficina dom茅stica, debe prestarse especial atenci贸n a los correos sospechosos. Por otra parte, no debe cederse a la presi贸n de los correos que urjan al usuario a tomar medidas inmediatas o que se refieran a la vigente crisis de la COVID-19, por ejemplo. Deber谩 tomarse el tiempo necesario para comprobar detenidamente cada correo antes de abrirlo.

Informaci贸n adicional:

Directrices del Charter of Trust (asociaci贸n de empresas que promueven en todo el mundo la seguridad inform谩tica).

Servicios especializados para ayudar a identificar los riesgos cibern茅ticos de las empresas.


Evento 15/12 驴C贸mo prepararse para un futuro que abre tantas posibilidades? Un selecto panel de visionarios del sector explorar谩 el potencial que ofrece 5G.
Evento 1/12 驴Cu谩nto costar铆a en el mercado negro un sistema de autoconducci贸n completamente desarrollado? Panel de expertos liderado por Mauricio S谩nchez de Dell'Oro Group aborda el imperativo de proteger los activos de TI e IA.

驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.