Los riesgos del teletrabajo: ¿es seguro trabajar en la red?

Por David Arroyo, Víctor Gayoso y Luis Hernández (CSIC)*

El confinamiento ha sido uno de los principales elementos de contención de la COVID-19 desde el inicio de la crisis pandémica. Para mantener la actividad laboral y educativa ha sido necesario desplegar un conjunto de soluciones tecnológicas que han hecho que el teletrabajo y la enseñanza online cobren un peso muy significativo en nuestra sociedad. Así, por ejemplo, se ha estimado que entre marzo y septiembre de 2020 hubo un incremento del 84% en el uso de herramientas de teletrabajo. En paralelo, sin embargo, también han proliferado los ciberataques y los cibercrímenes: a lo largo de 2020, se estima que hubo un incremento del 6.000% en ataques por spam, ransomware (programas de secuestro de datos) y phishing (suplantación de la identidad de un tercero –persona, empresa o servicio– para que un usuario proporcione datos confidenciales creyendo que trata con un interlocutor de confianza).

Un ejemplo de los riesgos que trae consigo el teletrabajo es el de las aplicaciones de videoconferencia, como Zoom, Skype o Teams, que nos han permitido seguir manteniendo reuniones. El uso de herramientas como estas, desarrolladas por terceros, puede hacer mucho más vulnerable la seguridad de la información intercambiada; sobre todo, cuando se recurre a ellas con urgencia y no son debidamente auditadas y verificadas.

La amenaza del espionaje afecta también a las reuniones presenciales, pero acceder maliciosamente a la información que se comparte en estos encuentros supone que los atacantes pongan en marcha procedimientos y técnicas de alto coste y específicos para cada situación. En el caso de las videoconferencias, si existen vulnerabilidades de seguridad en una aplicación, todas las reuniones celebradas usando ese software estarán afectadas por un riesgo de interceptación de la información intercambiada. Esto es, existiría una vulnerabilidad matriz que puede ser explotada de modo generalizado.

El software que se emplea en videoconferencias solo es una pieza dentro del complejo del teletrabajo, que constituye un verdadero reto para las políticas de ciberseguridad. Lo es en situaciones de normalidad, pero mucho más en escenarios de crisis similares al deparado por la COVID-19. En este contexto, el teletrabajo se ha adoptado en la mayor parte de los casos de modo improvisado, sin una política de seguridad previamente definida y debidamente evaluada. Baste mencionar como ejemplo de ello los recientes ataques contra el Servicio Público de Empleo Estatal (SEPE) y el Ayuntamiento de Castellón, o los mensajes fraudulentos relacionados con el ofrecimiento de servicios a domicilio para la vacunación contra la COVID-19.

Ciberhigiene y ciberseguridad

Sin duda, es deseable que todas las personas que teletrabajan sigan unas buenas prácticas de ciberhigiene, como evitar la instalación de software no recomendado por los responsables de cibersegu­ridad, no conectarse a redes wifi públicas o no responder correos sospechosos de phishing. Ahora bien, una buena política de seguridad no asume sin más que esas normas de ciberhigiene se vayan a cumplir, sino que establece mecanismos de control para salvaguardar la seguridad, o al menos paliar las consecuencias de posibles ataques, en caso de incumplimiento.

Pues bien, en la crisis de la COVID-19 el teletrabajo se ha desplegado, en muchos casos, sin que las plantillas tengan arraigada esa disciplina de ciberhigiene y sin que su empresa haya diseñado una política de seguridad adecuada. Es más, en muchas situaciones los teletrabajadores han tenido que utilizar ordenadores y dispositivos propios. Dada la situación de confinamiento generalizado y la limitación de recursos tecnológicos en el hogar, es de suponer que en muchos domicilios los ordenadores han sido compartidos entre varios integrantes de la unidad familiar. Esta práctica tiene que ser considerada como un riesgo de seguridad adicional, ya que cada miembro del hogar tiene, a priori, una cultura de ciberseguridad distinta y usa la tecnología para objetivos diferentes.

Por ello, es preciso formar de modo adecuado a las personas que potencialmente van a teletrabajar para que tomen conciencia de los riesgos de ciberseguridad asociados a entornos de trabajo fuera del perímetro de seguridad de su empresa. En este sentido, sería de alto interés la planificación de simulacros y ciberejercicios en los que la interacción con las personas responsables de la ciberseguridad permitiera fortalecer rutinas de ciberhigiene, así como establecer pautas para la resolución de problemas de seguridad con el apoyo telemático de especialistas.

Si se ejecutan de modo correcto y de forma regular, estos ejercicios pueden servir para disminuir el impacto de los ciberataques al mejorar las competencias tecnológicas de la plantilla y la gestión de factores psicológicos que pueden ser explotados por ciberatacantes en periodos de crisis. Es el caso del estrés, la ansiedad o la falta de concentración motivada por las distracciones que se dan en un entorno distinto del laboral. Aquí conviene tener presente que la cadena de ataque habitual incluye estrategias de ingeniería social y phishing mediante las que los usuarios pueden bajar la guardia e instalar software sin evaluación de seguridad, acceder a sitios web asociados a campañas de malware y ser víctimas de robo de información o de ciberacoso.

Fomentar una cultura de ciberseguridad y ciberresiliencia puede y debe contribuir a reducir el impacto de estos ataques en posibles crisis futuras.

* David Arroyo, Víctor Gayoso y Luis Hernández son investigadores del CSIC en el Instituto de Tecnologías Físicas y de la Información “Leonardo Torres Quevedo” y autores del libro Ciberseguridad (CSIC-Catarata). Este post es un extracto del mismo.

Los comentarios están cerrados.