Ciberseguridad: cómo trabajar sin arriesgar información (también en remoto)

Imagina que un hacker consiguiese acceder al sistema de pago de nóminas de una empresa. Tendría acceso al instante a los datos personales de todos los trabajadores, de su poder adquisitivo, su situación familiar… Hay mucho más en juego con la cuestión de la seguridad online de lo que podríamos pensar, pues en el ordenador y el móvil de la empresa guardamos una gran cantidad de datos sensibles. En el caso de la extensión del coronavirus, cientos de miles de trabajadores se han visto obligados a trabajar a distancia o a asistir a clases online de la noche a la mañana. Un experimento a gran escala que, aunque puede acabar convenciendo a muchos de las ventajas del teletrabajo para mejorar la conciliación laboral, también puede entrañar riesgos de ciberseguridad.

“El ataque de un hacker puede dejar expuestos activos importantes como los datos de la empresa, un producto en desarrollo, así como los datos personales de los trabajadores”, advierte Marc Rivero López, experto en ciberseguridad.

Debemos tener en cuenta que los cibercriminales se ponen al día a gran velocidad y es habitual que utilicen correos trampa para crear ataques con los que robar datos de usuarios. Según explica Rivero López, algunos hackers utilizan pretextos relacionados con temas de actualidad, como el coronavirus. “De la misma manera que antes se usaban ganchos como que alguien ha cobrado una herencia de un país extranjero, también se adaptan a situaciones como la provocada por el Covid-19”.

Responsabilidad de trabajador vs. empresa frente a ciberataques

Las amenazas de ciberseguridad no tienen por qué asustarnos, sino servir como recordatorio de que hay que permanecer alerta y asegurarnos de que estamos haciendo las cosas bien. En esto,las empresas y trabajadores tienen obligaciones diferentes:

• La empresa: Debe tener un plan de contingencia en el que se detallen las políticas de uso de los dispositivos que son propiedad del empleador y cuáles son las obligaciones que debe cumplir el trabajador. También deberá ofrecer una guía de actuación para las posibles situaciones que se pueden producir.

• El trabajador: Tienes la obligación de comunicar a tus jefes cualquier indicio de que haya podido haber un problema de seguridad. “Ante cualquier sospecha, el trabajador deberá comunicarlo al encargado de protección de datos o de seguridad”, indica Jorge Carranza, abogado especializado en protección de datos y seguridad de la información de la firma Legal Army. Esto permitirá a la empresa poder reaccionar lo antes posible.

Consejos para mantener la seguridad

La ciberseguridad puede sonar a algo muy complicado cuando no estamos familiarizados con lo que esta implica, pero en realidad es mucho más sencillo de lo que parece. Muchos de los problemas de seguridad que sufren las empresas se deben a descuidos que se pueden limitar si realizamos algunas acciones al alcance de todos. El experto legal, Jorge Carranza, y el experto informático, Marc Rivero López, recomiendan tomar las siguientes precauciones:

• Revisar si tu empresa tiene un documento de política de uso de dispositivos, en el que se detallen cómo se han de emplear adecuadamente los archivos, cuál es el protocolo de utilización de ordenadores o móviles, y las reglas de instalación de programas o de creación de copias de seguridad.

• Usar los sistemas que proporciona la empresa. Evita al máximo utilizar herramientas diferentes a las que la empresa pone a tu disposición. Por ejemplo, si tu compañía usa una nube, sube siempre ahí toda la documentación. Si estás bajo el paraguas de seguridad de la empresa, la información con la que trabajes estará mucho más protegida.

• Actualizar el sistema operativo y todas las herramientas que utilices, como programas, navegadores o incluso extensiones. Si es posible, habilita la opción para que se actualicen automáticamente.

• No emplear la misma contraseña en diferentes portales. Más fácil decirlo que hacerlo, porque utilizamos decenas de sitios distintos en los que tenemos que introducir diferentes claves, y es imposible acordarse de todo. El truco: utilizar un gestor de contraseñas. LastPass o Dashlane son buenas opciones. Ahí podrás almacenar todas las claves diferentes que quieras, y además podrás generar contraseñas aleatorias y robustas que se introduzcan automáticamente. Eso sí: ¡tienes que acordarte de la contraseña maestra para entrar a tu cuenta en estos servicios!

• Usar vaults para compartir contraseñas con tu equipo. Si tienes que compartir claves con tus compañeros, no es seguro guardarlos en una hoja de datos cualquiera. Usar los gestores de contraseñas te permitirá compartir estos datos de manera segura.

• Comprobar que la contraseña de tu correo electrónico no ha sido filtrada. En los últimos años ha habido brechas de seguridad tanto en empresas grandes como en pequeñas, que han podido dejar tu cuenta y tu clave al descubierto. Puedes comprobar si es tu caso en Have I been pwned o en Firefox Monitor. Además, puedes pedirles que te avisen si tu e-mail acaba siendo filtrado en el futuro.

• No introduzcas datos personales en ningún portal del que no estés seguro al 100%. En tu correo o en el móvil puedes recibir mensajes falsos de bancos u otras empresas, que te piden que hagas un pago o introduzcas tus datos antes a través de un enlace que te lleva a una web que parece totalmente legal. Aun así, si es una petición que te pilla por sorpresa, o si no estás seguro completamente de que no te están engañando, nunca introduzcas tus datos. Mejor dudar, llamar a la empresa o el compañero que te pide esos datos, y asegurarte de que no te la están colando. Los hackers crean copias de sitios tan parecidas a los originales que pueden engañar incluso a los usuarios más avanzados: es el fundamento del llamado phishing.

• Cuida los detalles: no guardes la información de cualquier manera. Procura no usar el disco duro para guardar ficheros con datos de la empresa, y borra las descargas y los ficheros temporales que hayas utilizado durante el día. Cuando termines de trabajar, acuérdate de cerrar la sesión en el navegador y en el ordenador: así evitarás que otra persona pueda acceder a información corporativa de manera forma accidental.

¿En teletrabajo? Aplica estos consejos extra

En caso de que trabajes desde casa, ya sea en full remote o de manera puntual, hay algunos aspectos extra que debes tener en cuenta a la hora de proteger la información con la que trabajas:

• Cambiar la contraseña de tu red WiFi. Si mantienes la contraseña que viene de fábrica, un hacker lo tiene mucho más fácil para entrar a tu red. Lo mejor es crear una clave propia, con más de 12 caracteres, mayúsculas y minúsculas, especiales y sin referencias a datos personales.

• Oculta o cambia el nombre de tu red inalámbrica. Es mejor que uses un nombre con el que no te puedan identificar. Llamarle “WiFi de Luis” hace la vida mucho más fácil a alguien que quiera entrar en tu red, pues sabrá sin dificultad cuál tiene que desbloquear.

• No utilices redes públicas de acceso. Incluso desde casa, muchos pueden usar las redes públicas de sus ayuntamientos u otras organizaciones. Es mejor evitarlas.

• Usa una conexión VPN si la empresa la ha habilitado. Muchas compañías tienen instalados en los ordenadores de sus trabajadores un acceso privado y encriptado a la red local física de la oficina: el llamado Virtual Private Network (VPN). De esa manera, te puedes conectar a internet y a la red interna de la empresa cuando trabajes desde casa, igual que si estuvieras en la propia oficina. Así se reducen al mínimo los riesgos de usar tu propia WiFi.

Para usuarios algo más avanzados, se pueden incluso controlar qué dispositivos tienes en tu red a través de la dirección MAC o incluso ocultar el punto de acceso a tu red. Si no haces nada de esto y tienes la red configurada por defecto, los hackers pueden entrar en ella en menos de 15 minutos, advierte el experto informático.

Aún así me han hackeado: ¿qué puedo hacer?

La seguridad perfecta no existe. Podemos tomar medidas y ponerles el trabajo algo más difícil a los cibercriminales, pero siempre habrá un pequeño riesgo. Existen varios tipos de amenazas a los que nos enfrentamos:

• Phishing: mensajes fraudulentos que tratan de robar tus datos.
• Ransomware: un virus que cifra el contenido del dispositivo y pide dinero a cambio de desbloquear los equipos y devolver los datos a la empresa.
• Adware: un programa que crea ventanas adicionales de anuncios en tu navegador.
• Spyware: es un tipo de malware que el atacante utiliza para observar sin permiso qué hace el usuario.
• Remote access: el hacker puede llegar a controlar tu ordenador a distancia.
• Gusanos: tipo de malware que se puede multiplicar en la red interna, afectando a otros ordenadores de tu empresa.
• Troyanos: uno de los virus más peligrosos. Se presenta como algo útil, pero una vez instalado puede robar tus datos.

Si crees que has podido sufrir alguno de estos ataques, lo primero que debes hacer es informar a tu empresa, que tendrá la obligación de analizar lo ocurrido y tratar de averiguar cuál ha podido ser el error.

Consecuencias para el trabajador

Las consecuencias dependerán de la gravedad del fallo de seguridad y la información que la empresa le haya proporcionado al trabajador sobre los protocolos de uso de los dispositivos. Según estos dos factores, un ciberataque a un trabajador puede desembocar incluso en despido en caso de negligencia clara. Según explica Jorge Carranza, no es lo mismo dejarse el portátil de la empresa abierto en un restaurante, cifrado con una contraseña “1234” que ser víctima de un hacker que accede a tu red WiFi a pesar de que has tomado precauciones.

Además, para controlar que el trabajador pone en práctica las recomendaciones de seguridad (y también para revisar que no utilizas el ordenador para usos no permitidos), la empresa tiene el derecho de auditar tu equipo de vez en cuando, siempre y cuando antes te hayan informado de la manera en que lo pueden hacer y que la revisión no tenga por objetivo invadir tu privacidad.

Por eso, es importante que la empresa tenga unas reglas del juego detalladas, en las que se documenten “los derechos y obligaciones de la empresa y del trabajador, detallando en qué casos el equipo va a poder ser auditado por parte de la empresa”, resume Carranza. Si las reglas están claras, y sigues estos consejos básicos de seguridad, ¡trabajar desde casa es prácticamente tan seguro como hacerlo desde la oficina!

Foto de WTTJ

¡Sigue a Welcome to the Jungle en Facebook y abónate a nuestra newsletter para recibir nuestros mejores artículos!