La pandemia de COVID-19 aceleró el proceso de adaptación al teletrabajo en España en varios sectores, lo que provocó cambios en la forma en la que las empresas y los trabajadores se relacionan con el lugar de trabajo. Si bien el regreso progresivo a las oficinas redujo la proporción de teletrabajadores, ha quedado claro que el teletrabajo se ha consolidado como una opción para muchos. Sin embargo, este nuevo modelo de trabajo presenta numerosos desafíos para la ciberseguridad, ya que trabajar desde casa conlleva vulnerabilidades adicionales que ciertamente no están presentes en un entorno de oficina que puede ser controlado.
Una de las razones de esto es el hecho de que las redes domésticas son, por lo general, mucho menos seguras que las redes corporativas. Las empresas pueden desplegar una fuerte seguridad perimetral en sus oficinas, incluyendo firewalls avanzados, sistemas de detección y prevención de intrusos (IDS/IPS), redes privadas virtuales (VPN) y demás. Mientras tanto, en el hogar del trabajador, la red doméstica generalmente solo incluye routers básicos con configuraciones de fábrica y sin características de seguridad avanzadas, lo que facilita el acceso de usuarios no autorizados.
Otro problema son los distintos dispositivos conectados a las redes domésticas. Los empleados que trabajan desde casa pueden estar conectados a la misma red que otros dispositivos menos seguros, como tablets, smartphones, o incluso electrodomésticos inteligentes. Esto crea múltiples puntos de entrada para hackers que buscan explotar vulnerabilidades en dispositivos conectados a la misma red. Un ejemplo es el aumento de ataques a los dispositivos IoT (internet de las cosas), la mayoría de los cuales carecen incluso de las medidas de seguridad más básicas. A través de estos dispositivos, en muchos casos, se puede llegar al equipo de trabajo de un empleado y desde allí a los equipos de la red corporativa.
Otro riesgo que ha proliferado en el teletrabajo es el phishing. Esto es algo que los piratas informáticos han aprovechado mucho, enviando correos electrónicos de phishing en masa a los empleados, supuestamente de parte de una figura de autoridad dentro del lugar de trabajo o un proveedor de servicios. Los empleados que trabajan fuera de las oficinas son menos propensos a tener la oportunidad de verificar la legitimidad de un mensaje simplemente preguntando a un compañero de trabajo en ese mismo instante, lo que aumenta la probabilidad de que caigan en una trampa de este tipo. Este tipo de ataque suele incluir la colocación de malware e incluso la extracción de credenciales, lo que facilita aún más el acceso a los sistemas corporativos.
Y todo esto aumenta el peligro, al usar dispositivos personales para tareas comerciales. Aunque muchas empresas proporcionan ordenadores corporativos con configuraciones de seguridad específicas, algunos empleados prefieren o están obligados a usar sus propios dispositivos, lo cual es bastante arriesgado. Estos dispositivos pueden carecer de los últimos parches de seguridad, tener un mal antivirus (o no tenerlo directamente) o simplemente no contar con políticas mínimas de seguridad para ayudar a proteger la información sensible.
Para mitigar estos riesgos, las empresas españolas han comenzado a adoptar diversas medidas. Una de las soluciones más comunes es la implementación de redes privadas virtuales (VPN). Al obligar a los empleados a conectarse a través de una VPN, las empresas pueden asegurar que todo el tráfico entre el dispositivo del empleado y la red corporativa esté cifrado. Esto reduce mucho el riesgo de que un atacante intercepte la información transmitida, incluso si el empleado está usando una red doméstica o una conexión Wi-Fi pública.
La autenticación multifactor (MFA) se ha utilizado ampliamente como otra medida preventiva. En lugar de depender únicamente de la contraseña, las empresas solicitan a sus empleados que prueben que son quienes dicen ser mediante un segundo factor, como una aplicación de autenticación en su teléfono móvil. Esto hace que ahora sea mucho más difícil para los atacantes acceder a los sistemas corporativos porque, incluso si logran robar las credenciales de un empleado, no podrán acceder sin este segundo factor de autenticación.
Además, muchas empresas han comenzado a invertir en la educación de sus empleados en el ámbito de la ciberseguridad. En la nueva forma de trabajar, la concienciación y la formación serán la base. Las empresas están comenzando a realizar sesiones de formación periódicas sobre cómo los trabajadores pueden identificar intentos de phishing, proteger sus redes domésticas y actualizar sus dispositivos regularmente.
Estas formaciones suelen incluir también una simulación de ataque tanto para probar las reacciones de los empleados en situaciones de riesgo como para enseñarles qué hacer. En estos han ayudado las plataformas basadas en la nube, como Microsoft 365 o Google Workspace, que cuentan con infraestructuras integradas potentes en ciberseguridad y permiten a las organizaciones externalizar la seguridad de sus datos. A menudo, estas plataformas incluyen cifrado de extremo a extremo, auditoría de acceso y funciones de monitoreo avanzadas, características que son bastante difíciles de reproducir localmente, especialmente cuando se refiere al teletrabajo.
