Los expertos alertan de los planes de acceso remoto improvisados de un día para otro y señalan que empresas medianas y pequeñas están más expuestas a estos agujeros.
Desde el pasado miércoles en Madrid cientos de miles de escolares y universitarios no tienen que acudir a clase. La razón, el Covid-19. Con el fin de crear un cortafuegos contra el coronavirus, que ya suma más de 2.000 casos en toda España, el Ejecutivo regional dirigido por Isabel Díaz Ayuso tomo una batería de medidas, entre las que estaba la suspensión de las clases durante al menos 15 días. Esta medida vino acompañada por la recomendación a varios niveles institucionales de facilitar el teletrabajo siempre que fuese posible.
Empresas no solo ya de poblaciones donde se concentran varios casos sino de todo el país han tomado medidas que sus empleados lleven a cabo su actividad desde casa. Planes que en muchos casos estaban bien previstos pero en otros se han realizado a contrarreloj, por las urgencias de padres que no saben qué hacer con los niños u otros motivos. Algo que puede hacer que partes críticas de la plataforma o información sensible queden al descubierto y sean susceptibles de sufrir un ataque informático.
«No todo es facilitar un buen acceso a las herramientas y documentos profesionales. Hay muchos aspectos de seguridad alrededor», explica el experto en ciberseguridad Miguel Ángel Arroyo, que publicaba un tuit en su cuenta que alertaba contra los ‘planes aliexprés’ de trabajo. «Me refiero a las empresas que optan por publicar su servidor en internet tal cual para que se pueda acceder remotamente, la solución más fácil», añade este auditor de sistemas de información y responsable de negocio de la división de seguridad en SEMIC. Una publicación que recogía como en 10 horas entre el martes y el miércoles varias empresas habían publicado 200 servidores a través del protocolo RDP (‘Remote Desktop Protocol’).
«Lo más seguro es hacerlo a través de una VPN. Eso garantizaría que solo los trabajadores con acceso y no cualquier persona puedan acceder a ese escritorio virtual y al sistema», añade este experto. Una VPN es una red virtual privada que lo que hace, grosso modo, es crear un túnel de datos de manera que en lugar de conectarnos directamente a internet lo hagamos a través de un servidor que nos dará cifrado y mayor privacidad. Ha sido tradicionalmente muy utilizado por activistas o periodistas en zonas de conflicto pero últimamente han ganado popularidad ya que sirven también para saltarse el bloqueo geográfico, entre otras cosas, de plataformas de ‘streaming’ o comercio online.
Conexiones vía VPN, credenciales fuertes y doble autenticación, las principales recomendaciones
«Para una persona que nunca haya trabajado con una, pues igual sí que necesita algo de formación o unas instrucciones. Pero también es cierto que la tecnología cada vez hace más fácil esa interacción previa que hay que hacer con la VPN antes de acceder a los servicios de la empresa sea más sencilla», añade Arroyo, que también alerta ante el problema que pueden generar credenciales débiles para aquellos que opten por la solución fácil. «No es lo mismo una clave solo con números en un entorno local que en un servidor publicado en internet. Hay que cuidar las contraseñas pero también implementar soluciones de doble autenticación». «Actualmente casi todas las compañías de cierto tamaño proveen a los empleados de herramientas de trabajo como portátil plataformados seguros, VPN, protección e infraestructura de acceso remoto», explica Yago Hansen, especialista en ciberseguridad. «Estas empresas como mucho tendrán problemas, cuando de forma no prevista muchos trabajen a distancia, de rendimiento, velocidad o ancho de banda», agrega.
Planificación, no reacción
Los problemas vienen cuando no se han definido «políticas, prácticas y metodologías» de acceso remoto y se tiene que enfrentar situaciones, como las de algunas firmas en Madrid estos días, que ven que en un corto plazo tienen que mandar sus empleados a casa a trabajar y se ven con una «multitud accediendo a su intranet». «Las políticas y arquitecturas de seguridad deben de ser preparadas con tiempo y probadas de antemano, al igual que tomar decisiones o legislar por impulso nunca es una buena idea», argumenta este experto.
Firmas medianas y pequeñas están peor preparadas para este cambio y quedan más expuestas
«Las empresas medianas y pequeñas están mucho peor preparadas para este cambio y se ponen en situaciones más vulnerables a nivel técnico y organizativo, dependiendo de programas de acceso inseguros y pesados», matiza Hansen, a la par que señala que en muchos casos la solución pasa por el ordenador personal en el domicilio del trabajador, lo que hace que el nivel de riesgo sea mayor por que la seguridad final dependa del cuidado que le pongan los trabajadores.
«La empresa debe tener en el radar garantizar lo que sea llaman posturas de seguridad. Requerir al usuario el portátil y comprobando que tengas un antivirus adecuado y un sistema operativo actualizado a los requisitos», analiza a este respecto Miguel Ángel Arroyo. Si al final diseñas una buena estructura y resulta que en su casa alguien utiliza un equipo con Windows XP para acceder a partes sensibles pues el peligro te viene por otro lado».
Protección de la información
«Regular y organizar el teletrabajo de hoy para mañana es complicado. Si no se ha diseñado antes un protocolo, puedes verte con situaciones de fuga o quiebra de información y no me extrañaría ver más de uno de estos episodios estos días», explica el letrado Juan Carlos Fernández, fundador del despacho Tecnogados especializado en nuevas tecnologías. Este experto recuerda una estampa más que habitual en muchas empresas: «¿Quién no ha visto ese momento en el que se baja información de una nube corporativa, que puede contener información sensible y personal, y se mete en dispositivo USB o en un móvil para trabajar en remoto».
Asegura que muchas empresas olvidan contemplar estos procesos en los planes de continuidad de negocio y eso aumenta el riesgo de fuga y quiebra de información. «Hay que medidas que por ley tienes que implementar. Llevar un control de los dispositivos que das a los empleados, identificar hasta un USB si tiene información sensible, cifrarla y anonimizarla…», resumen Fernández.
¿Si se produce una fuga de datos de quién sería el responsable? «Las empresas tienen que regular el uso de dispositivos de empresa. Equipos que pongo a disposición de los empleados que tengo que regular y prestarle atención porque puede afectar a los datos profesionales. Por ejemplo, se puede desautorizar cualquier uso de tipo personal por eso», explica. «También hay que prestar atención a las políticas BYOD (‘Bring Your Own Device’) y, preservando el derecho a la intimidad y la privacidad al ser un aparato particular, implementar medidas de protección de información y seguridad. Si tomas esas medidas, la responsabilidad de pérdida de los documentos o de ese USB con información sensible sería del trabajador. El problema es que no se presta atención y por eso surgen estos problemas».
Fuente: El Confidencial.
