Salvo algunas excepciones, sobre todo en los sectores más sensibles, es frecuente que las personas utilicen su puesto de trabajo para determinados fines personales, máxime cuando se trata de un teléfono móvil. Sin embargo, son estos dispositivos el vector más “eficaz” de los ataques maliciosos contra los SI de las organizaciones. Por tanto, ¿es posible imaginar un mundo en el que los usos digitales profesionales y personales estén estrictamente separados?
Por principio, los ataques malintencionados contra las empresas o las administraciones tienen generalmente dos objetivos, a menudo asociados: el dinero y la información. Y en todos los casos, se llevan a cabo utilizando métodos industriales, lo que garantiza la eficacia y la replicabilidad para los atacantes.
Entre estas técnicas, el hackeo de redes WiFi no protegidas es efectivo, pero requiere de un acceso físico, mientras que los ataques a servidores mal protegidos, aunque pueden causar daños, se limitan comúnmente a sus entornos de aplicación. También es posible atacar la VPN-SSL de la organización, si esta es vulnerable. Sin embargo, nada es comparable con el éxito que tiene dirigir este ataque a los usuarios, ya sea por correo electrónico (phishing) o navegando (instalando malware en los ordenadores a través de sitios web corruptos).
Incluso cuando está bien protegido, el puesto de trabajo del usuario sigue siendo, con diferencia, el eslabón más vulnerable ya que, por definición, está conectado al directorio activo de la empresa (la herramienta de directorio más común del mercado). Y esta herramienta, a pesar de los esfuerzos de los desarrolladores, sigue siendo objeto de numerosas vulnerabilidades que permiten el acceso remoto y la elevación de privilegios desde una cuenta de usuario. Esto abre la puerta al famoso «acceso de administrador» y a todos los datos de la empresa.
Ciberseguridad proactiva y transparente para el usuario
Para protegerse al máximo contra estos riesgos, además de un software de ciberseguridad dedicado, bastaría con mantener los puestos de trabajo actualizados, para evitar la explotación de los fallos conocidos. Sin embargo, y aunque esta estrategia es correcta, es necesario tener en cuenta las vulnerabilidades de Día Cero, en las que los ciberatacantes son cada vez más productivos.
Para contrarrestar estos peligros la implementación de soluciones capaces de bloquear las acciones no rutinarias de las aplicaciones o del sistema es una práctica eficaz y proactiva. En esencia, el malware tiene comportamientos muy específicos, buscando cualquier tipo de apertura para entrar y modificar los sistemas.
Sin embargo, en todos los casos, estas herramientas deben ser lo más transparentes posible para el usuario, a fin de que este pueda realizar sus tareas diarias con tranquilidad y sin perder productividad debido a bloqueos permanentes. Esto no debe impedirle en absoluto permanecer vigilante.
¿Hacia un uso estrictamente profesional de los puestos de trabajo?
Además de algunos sectores que manejan datos sensibles, y donde los puestos de trabajo están altamente bloqueados y su uso está limitado al mínimo estricto, muchos usuarios utilizan sus puestos de trabajo para fines personales. Es más, a menudo, incluso permiten que sus hijos los utilicen o jueguen a través de ellos en red. Esta situación se ve agravada por el incremento del teletrabajo, y por la decisión de algunas empresas de animar a sus empleados a utilizar sus dispositivos personales para no tener que adquirir uno profesional.
Aunque algunas organizaciones han puesto en marcha manuales de usuario y herramientas informáticas para sus empleados, en la práctica son pocas las que aplican sanciones en caso de comportamientos imprudentes, incluso si estos dan lugar a situaciones especialmente graves para el conjunto del sistema de información (pérdida, robo de datos o ransomware, etc.).
Con el desarrollo de la informática doméstica (teléfonos inteligentes, tabletas, ordenadores, acceso a Internet), asociada a riesgos digitales cada vez mayores para las organizaciones, tal vez haya llegado el momento de que éstas limiten estrictamente las herramientas digitales puestas a disposición de sus empleados a los usos profesionales.
Se hablaría por tanto de herramientas digitales de servicio (para uso profesional exclusivamente) y ya no de herramientas digitales de función (para uso «global» del empleado). Esto no resolverá todos los problemas de ciberseguridad, pero al menos podría contribuir a que los empleados sean más ciberresponsables y, por tanto, a mejorar su uso.
Sébastien Viou
Ciber-evangelista de Stormshield