Desde 2020, las organizaciones de todo el mundo han experimentado un cambio de paradigma en la forma en que organizan el trabajo y se comunican con su fuerza laboral. La pandemia obligó al mundo a repensar los viejos modelos de relación empleador-empleado de múltiples maneras. Trabajar desde casa, o desde cualquier lugar, se convirtió en la norma. Ahora, a medida que la normalidad se restablece lentamente en todo el mundo, vemos que las formas en que las personas abordan su relación con el trabajo en la oficina han cambiado, posiblemente de forma permanente.
El panorama global de ciberamenazas se modificó en consecuencia. Los empleados que abandonan las redes de oficinas amuralladas dejaron a muchas organizaciones luchando por la seguridad cibernética. De repente, en lugar de proteger una sola red, los profesionales de la ciberseguridad tenían que garantizar la integridad de las redes que se extendían por las oficinas domésticas y los espacios públicos de trabajo.
Con eso surgieron muchos desafíos de seguridad que los tomadores de decisiones comerciales se vieron obligados a abordar. Aquí, discuto algunos riesgos persistentes que, según lo que notamos mis colegas y yo al monitorear el entorno de ciberseguridad empresarial, seguirán obstaculizando la presencia de ciberseguridad de numerosas organizaciones en 2022 y más allá, y abordo cómo puede mitigar estos riesgos.
1. Redes y tráfico domésticos y públicos mal protegidos
Para los ciberdelincuentes, violar una red doméstica es, sin duda, más fácil que hacerlo en una red corporativa bien protegida. Más aún si la red doméstica carece de funciones básicas de seguridad. Considere el antiguo problema de los enrutadores Wi-Fi domésticos. Algunos de ellos, apenas puedo creer que todavía tengo que escribir esto, están protegidos con una simple contraseña de “administrador”. Antes de la pandemia, esto era un riesgo personal. Ahora, como la integridad de las redes personales se correlaciona directamente con la integridad de las corporativas, también es un problema comercial.
Lo mismo ocurre con el tráfico no encriptado o con métodos de encriptación Wi-Fi obsoletos como WEP y WPA1 que se pueden explotar en cuestión de minutos u horas, o con contraseñas simples basadas en diccionarios de Wi-Fi. Aunque usar una VPN no es una solución mágica, no hacerlo puede considerarse un comportamiento de riesgo, específicamente cuando se viaja o se usa Internet pública.
La solución para mitigar estos riesgos es doble. En primer lugar, si aún no lo han hecho, las empresas deberían adoptar los marcos de defensa más eficientes que existen, por ejemplo, la autenticación de confianza cero. Con él, aunque un solo usuario comprometido pudiera abrir el acceso a la red de la empresa, esto no podría causar daños en toda la empresa. En segundo lugar, existe la necesidad de educar más a la fuerza laboral sobre por qué es esencial proteger las redes domésticas y cómo se puede hacer de manera efectiva.
2. Aumento de los intentos de ingeniería social
La cantidad de intentos de ingeniería social se disparó en los últimos años: el FBI registró casi un cuarto de millón de quejas sobre phishing solo en 2020. Aunque aún no se dispone de datos de 2021, hay pocas bases para creer que los números serán más optimistas en cualquier medida. La ingeniería social sigue siendo uno de los vectores de ataque más eficientes para que los delincuentes exploten, y creo firmemente que seguirá siéndolo en el futuro previsible.
Mientras trabaja aislado, una persona que se enfrenta a un ataque de phishing es más susceptible debido a varios factores. Por un lado, no hay un colega, o especialista en seguridad cibernética, sentado al lado de la persona a consultar, y es menos probable que se comunique por correo electrónico u otro medio de comunicación digital que simplemente preguntar en persona. Además, el trabajo remoto aumenta la carga de información que recibimos a través de nuestros dispositivos, lo que puede dificultar la vigilancia del empleado.
Hay un puñado de soluciones antiphishing, y ese podría ser el camino a seguir si los recursos de la empresa lo permiten. Sin embargo, la primera línea de defensa es una capacitación adecuada y continua de concientización sobre seguridad cibernética. La fuerza laboral debe estar al tanto de los posibles métodos de ataque de ingeniería social y saber con precisión cómo responder una vez atacados.
3. Múltiples dispositivos personales
Todos sabemos que cada dispositivo conectado a Internet es un peligro potencial para la seguridad de las redes domésticas y corporativas. Al igual que los dos riesgos mencionados anteriormente, administrar una flota de dispositivos se convirtió en un desafío aún mayor con el trabajo híbrido estableciéndose como norma. En un entorno ideal de ciberseguridad, solo se utilizarían para el trabajo los dispositivos protegidos esenciales para llevar a cabo tareas relacionadas con el trabajo. Lamentablemente, rara vez tenemos un entorno perfecto para operar, especialmente cuando la fuerza laboral está dispersa.
Mientras trabajan desde casa, los empleados tienden a escribir correos electrónicos de trabajo, acceder a los recursos de la nube de la empresa y comunicarse con colegas a través de chats, no solo en sus dispositivos de trabajo sino también en los personales. A veces, esos dispositivos personales ni siquiera tienen un simple bloqueo de pantalla, lo que permite a los actores de amenazas acceder a cualquier información que contengan. El uso compartido de dispositivos también es un problema actual, ya que los empleados tienden a dejar que otros miembros del hogar usen sus dispositivos de trabajo, lo que crea riesgos adicionales de ciberseguridad.
Para gestionar este riesgo, las empresas deben insistir en que sus empleados solo usen dispositivos de trabajo y también los usen únicamente para tareas relacionadas con el trabajo. Además, se debe recordar constantemente a los empleados que actualicen regularmente el software de sus dispositivos.
Según el tamaño de su empresa y la postura de ciberseguridad, algunos de los riesgos mencionados aquí ya se han abordado. Para esos lectores, tomen esto como un recordatorio para repasar brevemente sus políticas y ver qué tan lejos ha llegado su empresa para abordar las preocupaciones esenciales de seguridad; tal vez haya margen de mejora. Recuerde que la ciberseguridad es un proceso perpetuo compuesto por muchos ajustes menores ejecutados en sucesión. Aborde primero las partes críticas y construya a partir de ahí.
