• ASCENDE

Ciberseguridad en el teletrabajo

Por Cristian Salas Hoernig

Abogado


Ya cumplimos tres semanas de cuarentena voluntaria. Afortunadamente, podemos realizar teletrabajo debido a, como una medida de protección de los documentos, siempre hemos digitalizado las carpetas de nuestros clientes, almacenándolas en una nube. Trabajar a distancia no ha sido un problema.

Para reuniones virtuales, algunos de nuestros clientes prefieren la aplicación Zoom, la cual ha sido muy criticada en los últimos días por distintas razones, como por ejemplo, la falta de encriptación punto a punto (a pesar que la empresa señaló lo contrario), entrega de información a Facebook, “misteriosos” desvíos de comunicaciones a servidores ubicados en China, publicación en Internet de conversaciones realizadas en esta plataforma, etc. Incluso, el “Equipo de Respuesta ante Incidentes de Seguridad Informática” dependiente del Ministerio del Interior y Seguridad Pública emitió un informe al respecto.

Si bien en Chile existe una ley que sanciona los delitos informáticos, ésta se encuentra desactualizada, por lo que a partir de octubre de 2018 se encuentra en tramitación una nueva ley al respecto (Boletín 12192-25), además de otros proyectos de ley de similar naturaleza producto de los ciberataques que sufrieron algunos bancos.

Teniendo en consideración lo expuesto, y siendo que el teletrabajo y las distintas herramientas para llevarlo a cabo serán parte de nuestro día a día, nos contactamos con Roger Brecht, fundador de la empresa Stega, consultora en ciberseguridad y seguridad de la información. Aplicando la máxima “es mejor prevenir que curar”, le pedimos a Roger que nos explique cómo podríamos abordar los temas de la seguridad informática y ciberseguridad frente a la pandemia, y qué gestiones y cuidados debemos adoptar para evitar ser víctimas de delincuentes informáticos.


¿Las empresas deberían preocuparse de la ciberseguridad o es una exageración?

Sí, deberían preocuparse. La superficie de exposición de una empresa a ataques o incidentes de seguridad es bastante amplia y actualmente no se requiere ser de un sector atractivo para los ciberdelincuentes, como podría ser la banca, retail o e-commerce, para ser objeto de ataques. Basta con que la empresa esté mínimamente expuesta a internet para que sea objeto de ataques, sumado a que parte importante de los incidentes de seguridad involucran a lo que se conoce como “insiders” o personal interno, sea por ataques malintencionados o errores humanos.


¿Cómo podemos iniciar el camino de la seguridad en la empresa?

Un buen punto de partida, es identificar e inventariar los activos de la información de la empresa, detectar las vulnerabilidades existentes en ellos y los riesgos asociados a estas vulnerabilidades. Posterior a esto, se definen los controles o capas de seguridad a aplicar y como se tratará el riesgo. Por ejemplo; una aplicación web corporativa expuesta a internet se conecta con una base de datos de información de clientes, se realiza un análisis de seguridad a esta aplicación y se detecta una vulnerabilidad crítica. Esta vulnerabilidad debe ser remediada por la persona que desarrolló la aplicación, o en su defecto, establecer una protección para que la vulnerabilidad, aún cuando esté presente, no pueda ser aprovechada por un atacante.


¿Aumentó la ciberdelincuencia producto de la pandemia por el Covid-19?

En los foros en los que participamos, es conocido que en el escenario actual se han incrementado considerablemente las campañas de phishing. Mas de un 70% de los ciberataques han tenido como punto de partida esta modalidad de ataque.

Los ciberdelincuentes se han aprovechado del Covid-19 para lanzar sus campañas de phishing, pero en el pasado han sido navidades, cyberdays, juegos olímpicos, mundiales de fútbol y muchos otros escenarios. Los ciberdelincuentes adaptan sus ataques a los escenarios del momento, donde la efectividad de sus ataques depende de tomar desprevenida a la víctima, o directamente explotar vulnerabilidades en sistemas y/o aplicaciones.


¿A qué se puede exponer una empresa vulnerada o hackeada?

A mucho, incluso una paralización completa de la operación en la empresa: se exponen a problemas de índole operativo, económico e incluso daño a la imagen o reputación. El impacto está definido básicamente por el tipo de ataque, los activos comprometidos y por quienes sean sus clientes o partners de negocio involucrados.

El peor escenario es el de aquellas empresas que han sido objeto de ataques y lo desconocen, debido a que no cuentan con las medidas de control o monitoreo que permitan detectar efectivamente la ocurrencia de un incidente de seguridad. Difícilmente puedes mitigar o gestionar el impacto de un ataque u ocurrencia de un incidente, si lo desconoces. Aún cuando pareciera un escenario remoto, esto ocurre con mucha frecuencia en las Pymes, que son reactivas a los ataques.


¿Qué medidas mínimas debe tomar la empresa para protegerse de la ciberdelincuencia?

Como empresa, primero debes conocer cuáles son tus superficies de exposición a ataques y las vulnerabilidades que podrían facilitar los ataques. En nuestro campo, se dice que “no puedes proteger lo que desconoces”. Conociendo lo anterior, puedes implementar los controles y remediar o parchar las vulnerabilidades existentes, mitigando así los riesgos asociados, transferirlos o asumirlos, según sea el caso.


En el caso que el sistema informático de una empresa haya sido secuestrado ¿recomiendas pagar lo que pide el secuestrador o existen otras formas de solucionarlo?

En estos casos, la postura de Stega es dejar al criterio del cliente la decisión de pagar recompensa o no. Siempre les dejamos saber a nuestros clientes que están tratando con un delincuente y que, el hecho de pagar recompensa, no garantiza la desencriptación y recuperación del archivo secuestrado (en este caso encriptado por ataque de ransomware).


Una medida eficaz para superar de forma efectiva este tipo de ataques, es implementar sistemas de respaldos o backups. En el caso de los activos críticos, sugerimos contar además con sistemas en alta disponibilidad, de forma que, si se encripta y secuestra el activo, esta alta disponibilidad permita seguir operando sin impactar la continuidad del negocio.


¿Recomiendas utilizar el correo electrónico de la empresa como una forma de comunicación interna en modalidad teletrabajo?

Sí, por supuesto, pero tomando precauciones:

  • Si su correo corporativo ofrece algún segundo factor de autenticación (2FA), actívelo o pida al administrador del servicio de correo que lo haga por usted.

  • Utilice el correo corporativo única y exclusivamente para asuntos de la empresa.

  • Sea bien cuidadoso y desconfiado respecto a los correos que recibe, evitando abrir correos con enlaces o archivos descargables de emisores que no son de su confianza, que son la forma más común de ataques de phishing.

  • Si recibe de un compañero de trabajo algún correo que no le hace sentido o le genera sospecha, indistintamente del rol de quien le envió el correo, comuníquelo al emisor por otra vía para validar la autenticidad de este correo. Podría estar siendo objeto de un CEO Scam o CEO Fraud.

  • No deje su computador expuesto al uso por parte de terceros, si se aparta del computador aun por pocos minutos, bloquéelo. Usualmente los sistemas operativos permiten configurar tiempos de bloqueo automático, pero siempre es una buena práctica bloquearlo tan pronto usted se aparte del equipo.


¿Cuáles son las formas más usadas para vulnerar la seguridad de un computador del teletrabajador?

En muchos casos, la información almecenada en los equipos de usuarios no cuenta con mecanismos de encriptación, por lo cual, ante pérdida o robo del equipo, se ve expuesta la información corporativa y de clientes.

Otros ataques van enfocados a vulnerabilidades en el sistema operativo del equipo de usuario o alguna de las aplicaciones instaladas en él. Un atacante con las habilidades suficientes, podría tomar provecho de estas vulnerabilidades para tomar control del equipo, filtrar información o pivotearse desde este equipo a la red corporativa, cuando haya conectividad entre ambos.


Si se vulneró la seguridad del teletrabajador, ¿puede afectarse con ello el sistema informático de la empresa?

Sí, absolutamente. Por ejemplo, en el 2018 una institución del sector financiero fue objeto de un ataque que le costó varios millones de dólares y que tuvo como factor determinante un equipo de usuario. Este ataque fue realizado por medio de Emotet, un malware creado específicamente para el sector financiero latinoamericano y consistió básicamente en los siguientes:

  1. El usuario recibió un correo de phishing, del cual fue víctima instalando el malware en su equipo de usuario corporativo.

  2. El malware tomó provecho de una vulnerabilidad del Microsoft Office, utilizando al equipo como pivote para extender el ataque a la red corporativa.

  3. Estando en la red corporativa, a su vez se pivoteó a la red SWIFT, que es la red por la cual la banca realiza movimientos de fondos a nivel mundial.

  4. Por esta red extrajeron cuantiosas cantidades de dólares. La institución informó que se sustrajeron USD$2.000.000, pero en la industria de ciberseguridad afirman que la cifra fue bastante superior.


¿Qué medidas debe tomar la empresa para evitar que el teletrabajador sea vulnerado?

Si vemos al teletrabajador como un activo de la información y objetivo de ataque, considerando también que el usuario es el eslabón más débil en ciberseguridad y/o seguridad de la información, sugerimos a las empresas realizar campañas de concientización y sensibilización de usuarios en lo relativo a temas de seguridad de la información y ciberseguridad. También aconsejamos proveer al teletrabajador de controles de seguridad que deba implementar en su equipo, con el objetivo de mitigar los riesgos asociados a las vulnerabilidades existentes en el equipo, así como ante posibles robos o extravíos de éste.


¿Nos puedes dar 5 recomendaciones que las empresas y teletrabajadores podemos adoptar gratuitamente para evitar ser víctimas de un ataque?

  • Aplique el 2FA para su acceso a correo y, de ser posible, a cualquier recurso de la empresa que esté expuesto a internet o disponible en la red interna corporativa.

  • Mantenga su sistema operativo actualizado, aplique todos los parches de seguridad del SO y aplicaciones o software instalado.

  • No instale en su equipo de trabajo software o aplicaciones gratuitas y/o que no sean estrictamente necesarias para el desarrollo de sus funciones. En seguridad de la información y ciberseguridad decimos: “Si el producto es gratis, es porque el producto eres tú”.

  • Implemente soluciones como Prey Project, que, en su versión gratuita, le permite proteger y monitorear hasta 3 dispositivos de usuario, sean notebooks o smartphones. Prey es una solución de desarrollo chileno y de world-class que permite rastrear, bloquear y formatear su equipo ante extravío o robo. De esta forma puede eliminar información sensible del equipo y facilitar a las autoridades la ubicación geográfica del equipo y su poseedor, con imágenes tomadas por la cámara web, inclusive.

  • Por último, aplique el sentido común en el uso de su equipo de usuario y cualquier recurso corporativo, así como en su ámbito personal. Para proteger un activo de la información, es primordial identificarlo, asuma que usted lo es y aplique el sentido común.


Recuérdelo, usted es el eslabón más débil y en la mayoría de los casos, el punto de partida de los ciberataques.


Como una referencia del impacto que puede tener para una empresa el extravío o robo de un equipo de usuario, en el año 2006 un agente de una financiera europea extravió su equipo, en el cual almacenaba datos personales de 13.000 clientes.


Este equipo de usuario no contaba con protección de passwords ni encriptación de datos, por lo cual la financiera tuvo que incurrir en gastos por el orden de los USD$3.000.000, solo en notificaciones por correo y otras vías a cada uno de sus clientes cuya data fue expuesta a causa de este incidente. No se incluyen los posibles daños por demandas por parte de sus clientes cuya información fue expuesta. Si desea más información sobre este tipo de incidentes, puede buscar en Google “Laptops Hall of Shame”.





En lo que respecta a medidas de tipo legal y normativa que puede aplicar en la empresa, ASCENDE le recomienda:


  1. Seguir las pautas de la ISO/IEC 27.001:2013, la cual establece un estándar para la seguridad de la información. Puede implementar los procedimientos y documentos de manera voluntaria en la empresa, sin certificarse (por los costos que ello implica).

  2. Establecer como una obligación del trabajador tomar las medidas que el empleador le indique para el resguardo de los equipos. Esto lo debe hacer en los contratos de trabajo y en el Reglamento Interno.

  3. Establecer en los contratos con sus proveedores y clientes deberes de confidencialidad y secreto, pactando expresamente que la información almacenada en los equipos de éstos debe encontrarse cifrada o protegida por contraseña.

  4. Verifique que los sistemas operativos y programas cuentan con las licencias adecuadas y en cantidad suficiente. Así asegurará que, además de no estar infringiendo las normas de propiedad intelectual, los programas se actualizarán de manera correcta.

En ASCENDE podemos implementar estas recomendaciones, inclusive las de proveer a nuestros clientes la documentación de políticas, metodologías y procedimientos que les permitan establecer, entre otros, las obligaciones y compromisos requeridos por la norma ISO/IEC 27.001:2013.


Con la finalidad de mantenerlo informado, suscríbase a nuestro newsletter. Cualquier duda, requiere mayores antecedentes o necesita implementar alguna de las recomendaciones, escríbanos a contacto@ascende.cl

Contáctanos:

Av. Del Valle Sur nº 576, oficina 505

Ciudad Empresarial - Huechuraba

Región Metropolitana

+56 232504502

contacto@ascende.cl

© 2020 diseñado para Ascende.