Para poder ofrecer rápidamente al mayor número posible de empleados un fácil acceso a los sistemas y programas operativos, algunas empresas han descuidado los estándares de seguridad informática, dando lugar a potenciales riesgos de seguridad cibernética.
Ahora que un gran número de personas teletrabajan a causa de la pandemia de coronavirus, crece el número de incidentes cibernéticos, ya que piratas y estafadores informáticos, así como emisores de spam, buscan explotar vulnerabilidades en su intento de sustraer información de valor.
En respuesta a esta amenaza, los expertos de Allianz Global Corporate & Specialty (AGCS) señalan diversas medidas que pueden ayudar a los trabajadores a protegerse mejor frente a las amenazas cibernéticas que surgen en la estela de la COVID-19.
El coronavirus está cambiando la forma de trabajar e interactuar a diario de las personas. Son muchas las empresas que se han visto en la necesidad de ampliar —casi siempre en un plazo muy breve — su capacidad de teletrabajo como consecuencia de la pandemia.
En algunos casos, para poder ofrecer rápidamente al mayor número posible de empleados un fácil acceso a los sistemas y programas operativos, se han rebajado, o bien suspendido, los estándares de seguridad informática, dando lugar a potenciales riesgos de seguridad cibernética para las empresas.
Una consecuencia de esta posible relajación de la seguridad es que puede resultar más fácil para ciberdelincuentes y piratas informáticos el penetrar en sistemas corporativos que antes contaban con una protección eficaz y provocar así violaciones de la seguridad de los datos, intrusiones con intención de extorsión cibernética y fallos en los sistemas informáticos. Desgraciadamente, los teletrabajadores que acceden a redes corporativas empleado una conexión VPN (red privada virtual) son un objetivo apreciado por los ciberdelincuentes, los recientes incidentes así lo demuestran.
Las campañas de phishing asociado al coronavirus, en las que se enviaban enlaces o documentos adjuntos maliciosos en correos electrónicos o mensajes de WhatsApp, empezaron a circular en enero de 2020 y no han dejado de proliferar.
La Comisión Europea ha indicado que la ciberdelincuencia ha aumentado en la UE desde el inicio de la pandemia, mientras que la Organización Mundial de la Salud (OMS) ha alertado recientemente acerca de correos electrónicos sospechosos que buscan aprovechar la emergencia de la COVID-19 para sustraer dinero o información sensible de los destinatarios.
En algunos países, los datos indican que el número de tentativas de ataques cibernéticos se multiplicó por cinco entre mediados de febrero y mediados de marzo.
Los empleados pueden vestir de manera más informal cuando trabajan desde casa, pero eso no significa que deban relajarse cuando se trata de mantener los estándares de seguridad informática.
Por ejemplo, ciertos estándares de seguridad informática son requisito indispensable para que una empresa pueda suscribir un seguro de riesgos cibernéticos.
Por este motivo, AGCS ha elaborado el siguiente compendio de consejos y medidas que deben considerarse para protegerse frente a ataques por Internet. Estos consejos y medidas se basan en las medidas básicas de la Oficina Federal de Seguridad de la Información de Alemania y en las directrices del Charter of Trust (asociación de empresas que promueven en todo el mundo la seguridad informática, y de la que Allianz es miembro) y son aplicables a todos los dispositivos, incluidos los que las empresas proporcionan a sus empleados.
Medidas básicas de seguridad informática en la oficina doméstica
— Mantener el software actualizado: deben utilizarse siempre versiones actualizadas de los sistemas operativos y programas instalados. Cuando sea posible, debe utilizarse la opción de actualización automática que, a menudo, está activada por defecto. En caso contrario, deben instalarse de inmediato las actualizaciones de seguridad del software y, en especial, las del navegador y el sistema operativo.
— Utilizar protección antivirus y cortafuegos: debe activarse la protección antivirus y el cortafuegos, aunque hay que tener presente que esta medida solo es efectiva si va acompañada de otros procedimientos de seguridad. La aplicación de esta medida no reduce la importancia de los demás consejos que se mencionan en este documento.
— Crear distintas cuentas de usuario: los programas maliciosos tienen en el sistema los mismos privilegios que la cuenta de usuario a través de la cual hayan accedido al ordenador. Por lo tanto, únicamente debe trabajarse con privilegios de administrador cuando ello sea absolutamente necesario.
— Tomar precauciones cuando se compartan datos personales: los estafadores por Internet aumentan sus posibilidades de éxito dirigiéndose individualmente a sus víctimas. Así, utilizan datos objeto de espionaje previo como, por ejemplo, hábitos de navegación o nombres personales y de este modo inspiran confianza.
Hoy en día, los datos personales son moneda de cambio en la red y se comercia con ellos. Siempre que sea posible, debe utilizarse una VPN conectada a la red doméstica cuando se conecte a redes de área local inalámbricas (WLAN). De lo contrario, la información que se transmita sin cifrar podrá ser leída por terceros.
Asimismo, una VPN también protege frente una variedad de ataques contra el PC y los datos almacenados en este.
Medidas adicionales de seguridad informática en la oficina doméstica
— Únicamente deben llevarse a casa los dispositivos y datos que sean absolutamente necesarios: la mejor manera de evitar la pérdida de información o dispositivos pasa, en primer lugar, por no sacarlos de su entorno corporativo normal. Así, no se perderán cuando estén en tránsito o en casa. Solo debe llevarse a casa los dispositivos y la información que realmente se necesite.
— Utilizar navegadores web actualizados: deben deshabilitarse, en la configuración del navegador, los componentes y complementos.
En primer lugar, debe introducirse manualmente en la barra de direcciones del navegador la dirección de las páginas web especialmente críticas en términos de seguridad como, por ejemplo, las de banca on-line y después debe guardarse la dirección así introducida como marcador, que posteriormente se puede utilizar para un acceso seguro.
— Utilizar distintas contraseñas, que pueden cambiarse si es necesario: deben mantenerse los nombres de usuario y las contraseñas protegidos, y deben cambiarse tan pronto como sea posible las contraseñas que puedan haber caído en malas manos. Hay que utilizar contraseñas distintas y no reconocibles para las diferentes aplicaciones, y las contraseñas predefinidas por el fabricante deben ser cambiadas antes del primer uso.
Es importante que las contraseñas puedan ser fácilmente recordadas. Como norma general: cuanto más largas, mejor. Las contraseñas deben tener, como mínimo, ocho caracteres; no deben ser palabras que figuren en el diccionario y deben incluir letras mayúsculas y minúsculas, así como números y caracteres especiales.
— Autenticación con doble factor: siempre que se ofrezca la posibilidad, debe utilizarse autenticación con doble factor para proteger el acceso a las cuentas. Un administrador de contraseñas puede facilitar el manejo de las distintas contraseñas. No deben compartirse las contraseñas con terceros.
— Proteger, mediante cifrado, los datos: los correos confidenciales deben protegerse mediante cifrado. Cuando se utilice una WLAN, debe prestarse especial atención al cifrado de la red inalámbrica. En el router, hay que seleccionar el estándar de cifrado WPA3 o, si no estuviera disponible, el WPA2, hasta nuevo aviso. Debe escogerse una contraseña compleja, que cuente con un mínimo de veinte caracteres.
— Descargar datos solo de fuentes de confianza: debe tenerse cuidado cuando se descarguen contenidos o archivos de Internet. Antes de descargar un programa, hay que verificar que la fuente sea de confianza. Si es posible, debe acudirse a la página web del fabricante para su descarga.
— Realizar periódicamente copias de seguridad: si, a pesar de las medidas de protección, el ordenador resulta infectado, puede perderse información importante. Para minimizar el daño, deben realizarse periódicamente copias de seguridad de los archivos en discos externos, en dispositivos de memoria USB o en DVD.
— Desactivar los dispositivos inteligentes activados por voz presentes en la oficina doméstica y tapar la webcam cuando no se utilice: los asistentes por voz escuchan todo lo que se dice en la habitación y lo transmiten al proveedor del servicio.
No hay garantía de que estas grabaciones no puedan caer en las manos equivocadas. El usuario debe asegurarse de mantener tapada la webcam del ordenador cuando no se utilice y tener cuidado con lo que se transmite a través de vídeo.
— No mezclar los usos personal y laborales: debe establecerse una clara distinción entre los dispositivos y la información para uso laboral y para uso personal, y no deben transferirse datos de trabajo a los dispositivos para uso personal.
Así se previenen las pérdidas accidentales de información. Además, esto ayuda a separar mentalmente el tiempo de «trabajo» del tiempo «personal».
— Identificar a todos los participantes en sesiones on-line: para las personas no autorizadas que hayan tenido acceso a los datos de conexión, resulta especialmente fácil colarse en grandes reuniones on-line con muchos participantes. Por esta razón, todos los participantes en la reunión deben identificarse brevemente, en especial cuando se traten asuntos sensibles o se compartan presentaciones en pantalla.
— Cerrar la sesión cuando no se utilicen los dispositivos y mantener estos protegidos: aunque sea para un breve descanso, deben bloquearse las pantallas del ordenador y los dispositivos móviles, al igual que se hace en el trabajo, para que no estén accesibles a terceros. Y, por supuesto, mientras se encuentren en casa los dispositivos deben estar protegidos frente a un uso no autorizado o incluso robo.
— Observar prácticas de seguridad en la impresión y manejo de documentos confidenciales: no deben dejarse documentos confidenciales sobre la mesa. El «uso no autorizado» puede llegar a incluir el que los niños utilicen documentos de trabajo para dibujar. Los documentos confidenciales deben guardarse bajo llave cuando no sean necesarios para el trabajo.
Los documentos internos o confidenciales no deben tirarse junto con la basura doméstica, hay que triturar los documentos internos o confidenciales antes de ser desechados. Cuando no se disponga de una trituradora de papel, hay que recoger todos los documentos internos o confidenciales y llevarlos al trabajo para su correcta y segura destrucción una vez terminado el teletrabajo.
— Ser especialmente cuidadoso ante correos o adjuntos sospechosos, sobre todo cuando el remitente sea un desconocido: en el entorno familiar de la oficina doméstica, debe prestarse especial atención a los correos sospechosos.
Por otra parte, no debe cederse a la presión de los correos que urjan al usuario a tomar medidas inmediatas o que se refieran a la vigente crisis de la COVID-19, por ejemplo. Deberá tomarse el tiempo necesario para comprobar detenidamente cada correo antes de abrirlo.
NotiVeraz