Teletrabajo y Ciberseguridad en tiempos de Coronavirus

 

.   . .  .

Teletrabajo y Ciberseguridad en tiempos de Coronavirus

La crisis actual provocada por el Coronavirus, o Covid-19, ha obligado a toda la sociedad a tomar rápidas medidas y muy drásticas casi de inmediato, como la implementación del teletrabajo.

Y esto ha pillado de improviso a muchos sin haber hecho las tareas necesarias o sin estar perfectamente preparados para una situación que nos obligará a permanecer aislados y confinados probablemente por un tiempo nada desdeñable.

Teletrabajo y Ciberseguridad en tiempos de Coronavirus

Afortunadamente hoy por hoy la tecnología y la adaptación previa de nuestra vida digital nos permiten continuar realizando gran parte de nuestras rutinas sin problemas: podemos comprar online, disponemos de ocio prácticamente ilimitado a golpe de un solo click y una número importante de personas ya trabajaba y/o puede trabajar desde casa. Es más, a día de hoy un alto porcentaje de nuestro trabajo se realiza con un ordenador personal y una conexión a Internet, por lo que no importa el lugar desde dónde se realiza la actividad.

Contexto ciberlaboral provocado por el Covid-19

Pero lo cierto es que no se puede improvisar la implantación del teletrabajo en un instante. Es más, ni siquiera los propios trabajadores estarán preparados para hacerlo. Trabajar desde casa requiere de unas premisas claras, tales como disponer de unas condiciones ambientales y también ergonómicas adecuadas y sobre todo mucha disciplina. Significa, y no es fácil, cambiar una gran cantidad de rutinas ya establecidas para seguir siendo productivos. Y sobre todo significa un gran cambio en la filosofía de trabajo, en la propia cultura imposible de adaptar en un corto espacio de tiempo. En concreto, en España aún prevalece que el trabajador deba personarse físicamente en su oficina o puesto de trabajo y todavía muchos directivos desconfían de la productividad de sus empleados, si éstos no se encuentran sentados frente a un escritorio sin que ellos los puedan comprobar en cualquier momento.

Pero, aún siendo necesarias para considerar adecuadamente todo lo que hay que abordar, si dejamos al margen las consideraciones logísticas y culturales, es fundamental no descuidar áreas clave como la ciberseguridad, porque para resolver un grave problema como es el mantener la continuidad del negocio haciendo que los empleados trabajen en remoto podríamos estar creando otro problema todavía peor con la vulnerabilidad de los dispositivos y comunicaciones que los trabajadores emplean para teletrabajar, poniendo en riesgo a la empresa.

En decir, debemos preguntarnos y respondernos ¿tienen todos los trabajadores implementadas una serie de medidas básicas en ciberseguridad para poder trabajar desde casa?
Por ello es crítico que las entidades doten de los medios necesarios para poder garantizar que sus empleados puedan teletrabajar con al menos las mismas medidas de seguridad que ya tenían en su propio lugar de trabajo.

Y no solamente porque de ninguna manera se puede poner en riesgo la valiosa información confidencial que ellos manejen habitualmente, sino también porque todas estas situaciones extraordinarias, mal calculadas, son la tormenta perfecta para los amigos de lo ajeno que tratarán de aprovecharlas para cometer todo tipo de ciberataques, teniendo que tomar, por lo tanto, ahora más que nunca, una serie de medidas y precauciones férreas.

En cualquier búsqueda que se haga es fácilmente comprobable. Todos los expertos en ciberseguridad advierten sobre las improvisaciones que se hacen para acceder remotamente desde casa hechas de un día para otro, llenas de lagunas en lo que a seguridad se refiere, siendo las empresas medianas y pequeñas las más expuestas y por tanto objetivo claro de los ciberdelincuentes.

He aquí una serie de medidas básicas para las empresas y negocios principalmente de tamaño pequeño o mediano, que permiten a sus trabajadores teletrabajar en un entorno seguro informáticamente hablando.

 

Image by <a href="https://pixabay.com/users/AbsolutVision-6158753/?utm_source=link-attribution&amp;utm_medium=referral&amp;utm_campaign=image&amp;utm_content=2781614">Gino Crescoli</a> from <a href="https://pixabay.com/?utm_source=link-attribution&amp;utm_medium=referral&amp;utm_campaign=image&amp;utm_content=2781614">Pixabay</a>

Cultura y entrenamiento en ciberseguridad

La primera medida a adoptar es ofrecer algún tipo de formación para que los trabajadores sean conscientes de que cambiar el entorno de trabajo por su casa los hace mucho más vulnerables al no disponer de las mismas medidas de seguridad que en su oficina habitual y por tanto, de que se deben tomar medidas de precaución extras y además extremas.

Probablemente uno de los principales ataques a los que estarán expuestos sin duda son los llamados ataques de ingeniería social que a buen seguro exprimirán durante el desconcierto producido por esta crisis, y también el phishing, relacionado con la suplantación de identidad, siendo el principal punto de entrada para que un malware quede instalado en el sistema. Por eso es básico que los empleados sepan identificar y detectar cuándo pueden estar siendo víctimas de ciberataques de esta índole.

Existen también medidas relativamentes simples de adoptar, y muy efectivas, como puedan ser el factor de doble autenticación ( 2FA ) o el bloqueo de dispositivos, y que evitan sustancialmente exponer toda la información corporativa que se esté manejando.

 

Conexiones seguras

Una medida técnica primordial e ineludible a implantar es habilitar una VPN para que las conexiones a través de Internet que los trabajadores hagan contra los servidores y/o sistemas corporativos desde fuera de la oficina, se hagan a través de un túnel seguro y controlado, estando los paquetes de datos perfectamente codificados.

Bajo ningún concepto se debe permitir el acceso y administración de servidores de la empresa mediante RDP ( Protocolo de escritorio remoto ), algo habitual en la PYMEs, pero desde su intranet, puesto que deja una expuesta una puerta abierta de par en par a que cualquier ciberatacante con conocimientos base que pueda llegar a entrar en ellos.

Una VPN en un componente sensible que pertenece a la red de corporativa como parte del perímetro de seguridad de la empresa, pero hay que tener muy en cuenta que la VPN no protege a los dispositivos de otros ataques, por lo que podrían ser utilizados para acceder a los servidores y a la información empresarial de manera ilegítima.

La Wifi de casa a la que se van a conectar los dispositivos con los que poder hacer teletrabajo, aunque sea más confiable que un Wifi público, no cumple con las mínimas medidas de seguridad que deben imperar en el manejo de los datos de clientes e información confidencial de toda naturaleza. Se podría estar compartiendo la misma red de conexión con otros dispositivos que pueden pertenecer al ecosistema doméstico como puedan ser tablets, smartphones, televisores, móviles, IoT, o incluso dispositivos intrusos de vecinos o hackers, y que se conectan a Internet al mismo tiempo que los equipos que se utilicen para teletrabajo sin tener un firewall, y que además no están controlados por las políticas corporativas.

En la práctica, todo esto significa que si uno de estos dispositivos, vulnerables per se, es atacado, la VPN también podría verse comprometida y, por lo tanto, ser una vía de entrada a los servidores y sistemas de la empresa.

Queda claro entonces que sólo con disponer y utilizar una VPN no es suficiente para mantenernos ciberseguros. Es necesario que los trabajadores usen una red WiFi perfectamente segura que evite en toda medida que los dispositivos conectados a ella se puedan ver comprometidos. Una de las formas de mejorar la seguridad es, con los conocimientos técnicos adecuados, cambiar en el router de casa

algunos de los parámetros que vienen configurados de fábrica por defecto. Pero está claro que no todos los usuarios disponen de dichas habilidades y conocimiento técnico y no sabrían hacer frente realizar dicha tarea o podrían configurarlo de manera incorrecta.

Router

Es muy recomendable la utilización de un pequeño router en tamaño, pero gigante en prestaciones, cuya denominación es GL.iNet GL-MT300N-V2 Mini Travel Router Mango para que cada trabajador disponga de un servicio WiFi seguro, que protege la red doméstica de ataques maliciosos con la misma eficacia que los sofisticados sistemas utilizados por las grandes empresas para garantizar la seguridad de sus redes.

Este router GL-MT300N-V2 ofrece, entre otras funcionalidades:

- Convierte redes inalámbricas y/o cableadas, bien sean públicas o privadas en una Red Wifi privada a 300Mbps para navegar con seguridad.

- Es compatible también con modem USB 3G / 4G

- Un método de autenticación robusto con credenciales únicas y exclusivas, que permite solo conexiones previamente autorizadas.

- Políticas de seguridad predefinidas que favorecen el aislamiento y bastionadas por defecto, evitando configuraciones deficientes.
- Su código es Open Source ( OpenWrt / LEDE preinstalado y Sistema Operativo Linux ) y programable.

- Dispone de un cliente OpenVPN preinstalado compatible con más de 20 proveedores de VPN .
- Tamaño de bolsillo.
- Tipos de funcionamiento ( Cableado, Repetidor Wifi, USB Modem 4G, Tethering - conexión compartida por móvil - )

Por lo tanto, todos los dispositivos conectados a través de este router GL-MT300N-V2 están protegidos, lo que garantiza la privacidad y confidencialidad de las comunicaciones y evita el robo o la manipulación de datos transmitidos a través de la red.

 

Herramientas de comunicación Open Source

Uno de los problemas a los que se deben enfrentar los teletrabajadores es la posible falta de comunicación con otros compañeros. Es necesario proporcionarles de herramientas de comunicación eficaces que les permitan mantener el flujo de información y permanecer conectados a pesar de la distancia física.

Abogamos por el uso de herramientas de comunicación Open Source como MATRIX / RIOT para mensajería instantánea y trabajo en grupo, NEXTCLOUD HUB para trabajo colaborativo, JITSI MEET para Videoconferencia ... y otras muchas.

 

Otras recomendaciones ciberseguras

Por supuesto, debemos continuar aplicando el resto de las recomendaciones que deberían ser de obligatorio cumplimiento, como puedan ser mantener en todo momento todos los sistemas operativos y aplicaciones que se utilicen en el entorno corporativo – también en el personal - actualizados con los últimos parches de seguridad y tener instalado un software antimalware en cada dispositivo para evitar la irrupción de virus que activos constantemente en busca de desprevenidos e incautos.
Asimismo, es necesario continuar aplicando férreas políticas de seguridad en los dispositivos empresariales, con una adecuada configuración de perfiles y permisos o limitando los privilegios de los usuarios que acceden a los recursos, manteniendo siempre un alto nivel de seguridad, y continuar realizando y supervisando las copias de seguridad periódicas.
Añadir por último que es crítico usar contraseñas seguras y únicas para cada servicio, actualizándolas de vez en cuando. Para ello hay software Open Source que facilita en gran medida esta labor, como lo hace BITWARDEN.

 

Conclusiones en Trabajo y Ciberseguridad

Esperamos que este artículo incentive el estudio en profundidad de lo expuesto y haga tomar la decisión de ponerse acción para la implantación de todas estas medidas, perfectamente meditadas y consensuadas y probadas, y hagan huir de la improvisación. Que las pequeñas y medianas empresas puedan disponer así de un entorno de teletrabajo ciberseguro a pesar de la magnitud de la situación tan extraordinaria en todos los ámbitos provocada por el coronavirus Covid-19 a un muy bajo coste.

 

Para acabar, solo recordar que siempre es recomendable buscar ayuda de profesionales, que te ayuden a alcanzar con éxito tus proyectos.