De la noche a la mañana. Con prisas. Sin protocolos que seguir. Sin formación ni concienciación en los empleados. Muchas veces sin equipos informáticos apropiados. Así se hizo en España (y en otros muchos lugares del mundo) la mayor migración profesional de la Historia. Millones de empleados se convirtieron en unas horas en teletrabajadores por causa de la pandemia de la Covid-19. A mediados de marzo el país entró en estado de shock por las noticias e imágenes que llegaban de hospitales abarrotados de enfermos. Y las empresas, también en estado de shock, salvaron los muebles como pudieron mandando a casa a sus plantillas.
De repente, todo el mundo empezó a teletrabajar en un país donde el teletrabajo no ha sido nunca bien visto (antes de la Covid-19 lo hacía menos del 5% de los empleados, según datos oficiales). Hay quien dice que en estos meses hemos tenido más digitalización que en cinco años. Es posible. Pero también es verdad que se ha hecho deprisa, y mal en muchos aspectos. Uno de esos flecos por cortar es el de la seguridad.
En marzo, el teletrabajo masivo se hizo de la noche a la mañana. Con prisas. Sin protocolos que seguir. Sin formación de los empleados
Los expertos consultados por CHANNEL PARTNER reconocen que en un primer momento los españoles trabajaron casi de cualquier manera en casa y se comunicaron con el primer equipo a mano, sin importar si era en algunos casos un viejo portátil o el PC de los hijos. Y eso abrió un mundo de posibilidades a los ciberdelincuentes, que se encontraron con muchas puertas para acceder a las aplicaciones empresariales o engañar a través del correo electrónico.
De repente, las compañías dejaron el perímetro controlado de sus redes internas y esa línea de protección histórica empezó a desdibujarse y a tener importantes agujeros. “Durante los primeros días del estado de alarma decretado en marzo hubo mucha confusión y gran parte de las empresas se adaptaron al teletrabajo como buenamente pudieron”, reconoce Josep Albors, responsable de investigación de Eset España.
“En líneas generales las empresas no están preparadas para hacer frente a los retos y peligros que supone la combinación del trabajo presencial y telemático”, explica Eusebio Nieva, director técnico de Check Point. Para Iván Mateos, ingeniero de ventas de Sophos, “muchas empresas se dejaron llevar por la urgencia de mantener la producción, sin tener en cuenta los riesgos a los que se estaban exponiendo, y por eso la transición no se hizo de la forma más segura”. “Equipos desactualizados o no protegidos, conexiones no seguras, escasez de protocolos básicos de ciberseguridad…”. Este era el panorama en marzo, insiste Alfonso Ramírez, director general de Kaspersky.
Índice de temas
Las cosas han mejorado, pero…
Pero pasadas las semanas o meses de la gran pesadilla, ya durante el verano y a la vuelta de vacaciones, la situación se ha normalizado en líneas generales, aunque todavía quedan temas pendientes. Josep Albors, de Eset, confirma que las grandes empresas han hecho los deberes, mientras que en las pymes la situación varía mucho de una a otra compañía. Eusebio Nieva también dice que la situación ha mejorado, aunque todavía queda “camino por recorrer”. Y es que, según una de las últimas encuestas de Check Point, la migración al teletrabajo ha sido el mayor desafío en materia de TI para el 86% de los responsables de informática.
Iván Mateos está convencido de que la mejoría es ostensible en septiembre, con la vuelta de las vacaciones. En los últimos meses, millones de trabajadores han añadido a su vocabulario de todos los días la sigla VPN. Y es que, como dice Eusebio Nieva, de Check Point, “desplegar una VPN de forma correcta es clave para trabajar en remoto con seguridad”. Pero también lo es mantener un antivirus en el puesto cliente, o contar con soluciones EDR para monitorizar y gestionar equipos en remoto, o con soluciones DLP para evitar la sustracción de información confidencial en esos mismos equipos, o implantar sistemas de autenticación de doble factor para proteger los accesos desde casa.
En los últimos meses, millones de trabajadores han añadido a su vocabulario de todos los días la sigla VPN
Es parte del escenario tecnológico que deja el boom del teletrabajo y con el que todos nos hemos familiarizado desde marzo. Pero, como recuerda Iván Mateos, de Sophos, puede haber mucho más: soluciones anti-ransomware de nueva generación, software de protección para los móviles, o seguir medidas tan sencillas como tener los sistemas operativos actualizados o evitar compartir contraseñas o el equipo del trabajo con un familiar.
Guillermo Fernández, sales engineer de WatchGuard, también dice que hay que prestar atención a la wifi doméstica, el canuto por donde se están conectando los trabajadores en remoto, porque hay hasta seis categorías conocidas de amenazas contra estos puntos. Alfonso Ramírez, de Kaspersky, añade un matiz inquietante. Aunque está convencido de que gran parte de los problemas de seguridad que ocasiona el teletrabajo se pueden subsanar con una VPN, un estudio de su compañía demuestra que a estas alturas que sólo un 56% de los empleados de este país usa esta herramienta que cifra y protege la conexión del puesto remoto a la red corporativa.
Ola de ataques en lo peor de la pandemia
Todo es poco para parar a unos ciberdelincuentes que, aprovechando la confusión y la ansiedad generada por la pandemia, han trabajado más que nunca para sacar partido a sus ataques. Los malos están siendo más perversos que nunca. Han intensificado, por ejemplo, el volumen de ataques de phishing que buscaban credenciales de los sistemas de colaboración, como Office 365, Google Apps o Zoom, que tan populares se han vuelto estos meses.
Desde WatchGuard, por ejemplo, ha reportado miles de campañas maliciosas que utilizaban la enfermedad de la Covid-19 y su posible cura como señuelo. Se puede decir que el phishing de toda la vida ha sido el arma con la que los criminales han fustigado a una población perpleja, acongojada. Porque en estos meses ha habido un consumo intenso de información o pseudoinformación médica y científica sobre mejores métodos para protegerse de la Covid-19, y sobre tratamientos y curas. “Para atraer la atención, los estafadores falsificaron correos electrónicos y sitios web de organizaciones cuyos productos o servicios podían ser adquiridos por las potenciales víctimas”, explica Alfonso Ramírez, desde Kaspersky.
Los responsables de TI conocen los riesgos del teletrabajo, pero muchas veces no cuentan con presupuesto
También ha habido muchas campañas de ransomware. Los malos no tuvieron reparo en atacar los hospitales españoles en los peores momentos de la pandemia, cuando los servicios sanitarios y las UCI estaban literalmente colapsadas. Se valieron del ransomware Netwalker. Eusebio Nieva también recuerda las campañas de phishing suplantando al Ministerio de Trabajo a través de un correo electrónico que alertaba de una inspección, o a Correos, donde se solicitaba 1,40 euros por desinfectar los paquetes que se envían a domicilio. Iván Mateos, de Sophos, dice que en estos meses han podido ver incidentes de seguridad “en un porcentaje muy superior al habitual” originados por usuarios que utilizaban su ordenador para conectarse a la empresa.
Lo de siempre: falta formación
Como resultado de esta ola de ataques, al día de hoy se puede decir que las empresas y los empleados en remoto son más conscientes de su vulnerabilidad, aunque aún quedan millones de compañías, sobre todo pequeñas, que siguen sin tomar medidas y en muchos casos sin saber a qué se exponen. Eusebio Nieva vuelve a las metáforas y afirma que “queda camino por recorrer” porque sigue habiendo falta de conocimiento sobre los riesgos que implica el teletrabajo.
Ivan Mateos, de Sophos, está convencido de que los responsables de TI conocen estos riesgos, pero muchas veces no cuentan con presupuesto para hacerles frente, o el tiempo para concienciar a sus plantillas. Kaspersky, por ejemplo, ha hecho cursos con empleados de empresas y se ha dado cuenta de que, además de concienciación, las plantillas necesitan mucha formación. En muchos casos, los trabajadores creen estar actuando correctamente cuando en realidad están equivocados. Kaspersky ha detectado en sus formaciones mucha confusión en torno al uso del e-mail, los servicios de mensajería, el almacenamiento en la nube o las actualizaciones de software. Para José de la Cruz, director técnico de Trend Micro, el problema está en que la prioridad de trabajadores y empresarios en un momento económico tan complejo es “sacar adelante sus negocios, aunque esto implique dejar la seguridad en segundo plano”.
El usuario debe ser la primera capa de seguridad
Todos los expertos consultados insisten en la necesidad de revertir esta situación de falta de conciencia y conocimientos. Y para ello la solución es formación, formación, formación. Aunque, como asegura Josep Albors, de Eset, sin caer en “el discurso del miedo”. El objetivo debe ser convertir a los propios usuarios en una capa de seguridad adicional a las tecnologías que sus empresas tengan desplegadas. Iván Mateos, de Sophos, también dice que la industria tiene una misión, que es hacer que las capas de seguridad sean compatibles con el trabajo del día a día, y transparentes para el empleado. Para ello, el preventa de Sophos propone “un enfoque único de seguridad sincronizada”.
En cuestión de ciberseguridad y teletrabajo quedan muchas preguntas por responder, mientras los malos siguen trabajando día y noche
José de la Cruz propone evaluar la respuesta de cada empleado ante ataques de phishing, y contarle a la plantilla a lo que se expone, pero con información de ataques reales que se hayan hecho públicos. Desde WatchGuard, recomiendan a las compañías documentar y compartir muy bien la política de trabajo remoto. “Los profesionales de la seguridad corporativa, lo primero que deben hacer es esbozar los comportamientos de seguridad adecuados y las reglas que sus empleados y usuarios deben seguir en sus situaciones de trabajo diarias”, explica Guillermo Fernández.
Y establecer esas políticas es una labor que, en el mejor de los casos, la mayoría de las empresas han tenido que desarrollar deprisa y corriendo en los últimos meses porque el teletrabajo era una práctica inusual en el tejido productivo español. “La pandemia ha forzado a muchas organizaciones a averiguar rápidamente sus políticas y metodologías de seguridad TI. ¿Está permitiendo que sus empleados utilicen sus propios equipos? Si es así, ¿les está exigiendo que instalen algún software de seguridad? ¿Deben usar solo dispositivos de trabajo? ¿Cómo consiguen ayuda cuando tienen problemas con esos dispositivos? ¿Cómo deben conectarse de forma segura a los diversos recursos corporativos?”. Son preguntas que formula el ingeniero de WatchGuard y que conviene responder cuanto antes. Los malos siguen trabajando día y noche.
Muchos trabajadores en remoto se saltan las reglas
Según una macroencuesta reciente de Trend Micro, hasta un 89% de los trabajadores en este país afirma que se toma en serio las instrucciones de su equipo TI desde que empezó la crisis sanitaria. Sin embargo, también son muchos los que no siguen las reglas. Concretamente en España, la mitad de los empleados admite haber utilizado una aplicación que no es de trabajo en un dispositivo corporativo. Y un 26% de ellos ha cargado datos corporativos en esa aplicación. Hasta un 85% confiesa que usa su portátil de trabajo para la navegación personal, y solo un tercio restringe totalmente los sitios que visitan. Incluso un 7% de los teletrabajadores de este país reconoció a Trend Micro que acceden a contenido pornográfico a través de su portátil de trabajo, y un 8% dijo que se sumergen en la dark web.