No hace mucho tiempo, trabajar desde casa se consideraba un lujo. Ahora, cuando la mayoría de la población mundial está confinada en sus hogares para evitar el contagio del coronavirus, se ha convertido en una necesidad para los empleados.
Durante esta situación sin precedentes, tanto los usuarios individuales como los empleados de empresas se van a ver expuestos a nuevos riesgos de ciberseguridad que intentan aprovecharse de ellos mientras trabajan desde casa.
Por eso es más importante que nunca pensar en la seguridad de la oficina doméstica.
Trabajar a distancia presenta una serie de desafíos de seguridad que tanto los empleados como los empleadores deben conocer. La buena noticia es que, si se siguen las prácticas recomendadas para el teletrabajo, la mayoría de estas amenazas se pueden mitigar fácilmente.
Estas son las diez directrices más importantes a tener en cuenta para asegurarte de que tanto tú como tus empleados cumplís la política de seguridad para trabajar desde casa.
1. Invertir en un software antivirus integral
Sin la menor duda, el consejo más sencillo pero, sin embargo, uno de los más eficaces es invertir en un paquete antivirus integral para ti y tus empleados.
Según fuentes relevantes, se estima que el daño global a las empresas como resultado del cibercrimen es de 1500 millones USD anuales. Es muy probable que esta cifra aumente este año, ya que los hackers están intentando aprovecharse de las redes de Internet domésticas y las VPN de las empresas para acceder a archivos confidenciales.
Estos ataques podrían exponer a tu empresa, a tus empleados y a ti mismo a ataques de ransomware, ataques DDoS, malware, spyware y otros tipos de infracciones.
Los paquetes antivirus se encargan del trabajo duro, ya que ofrecen seguridad automática para el trabajo a distancia frente a una serie de amenazas, entre las que se incluyen las siguientes:
- Ataques de día cero (virus que aprovechan las deficiencias de seguridad antes de la aplicación de parches)
- Malware, spyware y virus
- Troyanos y gusanos
- Estafas de phishing, incluidas las que se envían por correo electrónico
Un paquete antivirus integral no solo puede acabar con el 100 % de las amenazas de seguridad online, sino que también se actualiza automáticamente para mantenerse al día de las amenazas nuevas y emergentes.
Además, se ejecuta de manera discreta en segundo plano del resto de operaciones, por lo que su trabajo pasa inadvertido.
2. Mantener a los miembros de la familia alejados de los dispositivos de trabajo
Aunque puedas confiar en que tanto tú como tus empleados familiarizados con la tecnología mantendréis la seguridad online, vale la pena recordar que, en estos momentos, los equipos de las empresas están más expuestos a niños pequeños y otros miembros de las familias de los empleados.
Por lo tanto, conviene recordar sutilmente al personal que mantenga sus dispositivos seguros y no permita que otros miembros de su núcleo familiar accedan a sus equipos portátiles, dispositivos móviles o cualquier otro tipo de hardware de trabajo. Tampoco estaría de más insistir en la importancia de proteger sus dispositivos con contraseña para evitar que otros accedan a los archivos confidenciales.
3. Invertir en una cubierta deslizante para la cámara web
Durante las próximas semanas y meses, es muy probable que participes en teleconferencias y videollamadas que requieren el uso de la cámara web.
De hecho, muchas personas que ya están en cuarentena en todo el mundo están dando nuevos usos a sus cámaras web, desde charlar con sus colegas mientras se toman una cerveza a seguir clases de idiomas en su tiempo libre o hacer videollamadas a los familiares que no pueden visitar en persona.
Debes saber que los avezados hackers pueden acceder fácilmente a tu cámara web sin tu permiso, poniendo así en peligro tu privacidad. Peor aún, si tienes documentos confidenciales en torno al espacio de trabajo físico, los hackers pueden verlos secuestrando tu cámara web.
Si la cámara web está separada del dispositivo, debería estar desenchufada cuando no se use. Pero si está integrada, se deben tomar medidas de protección adicionales, pues es imposible predecir cuándo se producirá un ataque a través de la cámara web.
Las cubiertas deslizantes para la cámara web son fáciles de encontrar online en múltiples formas, tamaños y colores para adaptarse a tus necesidades. Por lo general, son muy fáciles de instalar, ya que la mayoría tiene una capa adhesiva que se ajusta alrededor de la cámara.
Mientras se usa el software de videoconferencia, es recomendable utilizar otras funciones como la de desenfocar el fondo si la plataforma la tiene. Esto evita que las personas que participan en la conferencia puedan espiar los objetos del fondo, que podrían incluir información confidencial propia o de tus clientes.
4. Asegurarse de que la VPN de la empresa sea lo más segura posible
En este momento, es probable que haya más ordenadores que nunca conectados a la red privada virtual (conexión VPN) de tu empresa, lo que genera una serie de nuevas "puertas traseras" de seguridad de las oficinas domésticas que los hackers podrían exponer.
En primer lugar, es importante recordar a los empleados la política de seguridad de la empresa obre el teletrabajo y asegurarse de que el personal la siga al pie de la letra.
Si lo hacen, podrás centrarte en otras formas de mejorar la protección de la VPN, por ejemplo, las siguientes:
- Utilizar el método de autenticación más seguro posible: muchas VPN simplemente usan un nombre de usuario y una contraseña, pero quizá quieras considerar el uso de tarjetas inteligentes.
- Mejorar el método de cifrado para el acceso VPN: por ejemplo, si solo utilizas un protocolo de túnel punto a punto, puedes pensar en actualizar a un protocolo de túnel de capa dos (L2TP).
- Asegurarse de que los empleados actualicen sus contraseñas regularmente: independientemente del nivel de seguridad de la VPN, si la contraseña de un empleado está comprometida, será una vía de acceso fácil para los hackers. Esto se puede evitar pidiendo a todos que actualicen sus contraseñas para que sean más seguras.
- Asegurarse de que los empleados solo utilicen la VPN cuando la necesiten: si los empleados usan sus equipos de trabajo para trabajos personales en su tiempo libre, recuérdales que desconecten la VPN.
- Asegurarse de que los empleados inicien sesión a través de redes seguras: mientras trabajan desde casa, los empleados utilizarán sus redes y conexiones a Internet domésticas. Lamentablemente, estas también podrían verse comprometidas. Por lo tanto, debes enseñar a los empleados cómo configurar sus routers inalámbricos y firewalls personales, y cómo proteger sus redes domésticas.
Y, por supuesto, como se mencionó anteriormente en este artículo, debes invertir en un software de seguridad y antivirus integral que cubra tu VPN.
5. Usar una solución de almacenamiento centralizada
Si tu empresa utiliza el almacenamiento en la nube o en un servidor, debes asegurarte de que todos los empleados utilicen esa misma solución.
Si crees que tus empleados no conocen o no están familiarizados con el servicio de almacenamiento, o que continúan almacenando los archivos localmente, ponte en contacto con ellos lo antes posible para asegurarte de que conocen bien el servicio centralizado.
De esta manera, si la empresa sufre un ataque y los archivos locales se pierden, se destruyen o se ven comprometidos, es más probable que tengas una copia de seguridad de los documentos importantes.
Este método también garantiza que los documentos importantes estén más seguros, ya que estarán protegidos por el firewall adjunto a la solución de almacenamiento centralizada.
6. Proteger la red inalámbrica doméstica
Una de las formas más sencillas de garantizar la seguridad al trabajar desde casa es fortalecer la seguridad de la red Wi-Fi doméstica.
Conviene transmitir esta información a cualquier empleado que también necesite proteger su red Wi-Fi doméstica al trabajar desde su casa.
Estos son algunos sencillos pasos para mejorar la seguridad de la red Wi-Fi doméstica y protegerse del acceso no autorizado:
- Crear una contraseña única y segura: puedes hacerlo desde la página de configuración del router (escribe "192.168.1.1" en el navegador), introduce tu nombre de usuario y contraseña actuales y, a continuación, cambia la contraseña en los ajustes. Elije una contraseña que sea difícil de adivinar; idealmente debe incluir una combinación de letras minúsculas y mayúsculas, números y signos de puntuación.
- Cambiar el SSID: es el nombre de la red inalámbrica. Esto también se puede cambiar en la página de configuración del router. Intenta que sea un nombre críptico y difícil de adivinar. No uses tu nombre, dirección particular ni otra información que pueda identificarte.
- Habilitar el cifrado de la red: normalmente se puede hacer en los ajustes de seguridad de la página de configuración inalámbrica. Habrá varios métodos de seguridad para elegir, como WEP, WPA y WPA2. Si utilizas hardware más actual (posterior a 2006), el método más seguro es WPA2.
- Limitar el acceso a direcciones MAC específicas: cada dispositivo que se conecta a tu red tiene una dirección MAC única (se puede encontrar la dirección para cada dispositivo abriendo el símbolo del sistema, si lo tienes, y escribiendo "ipconfig/all"). Si conoces las direcciones de los dispositivos verificados, puede agregarlas a la configuración del router inalámbrico para que solo esos dispositivos puedan conectarse a tu red Wi-Fi.
- Actualizar el firmware: tu proveedor de red inalámbrica lanzará de vez en cuando parches y actualizaciones de software. A veces, pueden incluir actualizaciones de seguridad importantes. Asegúrate de que tienes la última versión del firmware visitando la página de configuración del router con regularidad.
7. Tener en cuenta los riesgos de seguridad de las videoconferencias
Si tus empleados van a trabajar desde casa en un futuro próximo, es probable que utilicéis con frecuencia software de videoconferencia.
Puede que hayas oído que algunos servicios de videoconferencia han experimentado recientemente brechas de seguridad.
La popular plataforma de videoconferencia Zoom ha admitido que los incidentes de seguridad en su software se están abordando de manera urgente, y el director ejecutivo de empresa ha agrupado todos los recursos para que se centren en la privacidad y la seguridad. Esto se debe a un aluvión de casos de lo que se ha denominado "zoombombing", que consiste en que una persona no invitada obtiene acceso a una videoconferencia y lo hace para intimidar y acosar a otra persona (esto ya les ha ocurrido a muchos usuarios). Si utilizas Zoom como principal herramienta de videoconferencia en la empresa, ten presentes estas posibles infracciones.
Los riesgos para la empresa son que, si un atacante invade y monitoriza las videoconferencias, es posible que se filtre información confidencial sobre el negocio o los clientes. Los empleados también pueden sufrir ataques personales y potencialmente traumatizantes por parte de hackers.
En respuesta a los ataques en la plataforma Zoom, el FBI ha publicado algunos consejos para ayudar a los usuarios a protegerse mientras utilizan software de videoconferencia.
Sus recomendaciones son las siguientes:
- Garantizar que las reuniones sean privadas, ya sea mediante el acceso con contraseña o el control del acceso de los invitados desde una sala de espera.
- Considerar los requisitos de seguridad al seleccionar los proveedores. Por ejemplo, en caso de que se necesite el cifrado integral, comprobar si el proveedor lo ofrece.
- Asegurarse de que el software de VTC esté actualizado mediante la instalación de los parches y las actualizaciones de software más recientes.
Muchos informadores han comentado que Zoom no utiliza el cifrado integral, por lo que si buscas una opción más segura, puedes probar WebEx, Microsoft Teams o Google Duo.
8. Garantizar que las contraseñas sean seguras
Una de las formas más simples, pero a menudo más ignoradas, de protegerse al trabajar desde casa es fortalecer las contraseñas y asegurarse de contar con protección de contraseñas en todos los dispositivos.
La Comisión Federal de Comercio de EE. UU. ofrece el siguiente consejo:
"Usar contraseñas en todos los dispositivos y aplicaciones. Las contraseñas deben ser largas, seguras y únicas: con al menos 12 caracteres en una combinación de números, símbolos y letras mayúsculas y minúsculas".
También recomienda mostrar una pantalla de contraseña cada vez que se accede al equipo portátil y a otros dispositivos, de modo que si roban el dispositivo o cae en las manos equivocadas, sea más difícil para un tercero acceder a los archivos confidenciales.
9. Maximizar la seguridad en las operaciones de banca online
Si tienes un puesto de responsabilidad sobre las cuentas de la empresa, querrás estar seguro de estar haciendo todo lo posible para garantizar que el dinero se guarda y transfiere de la forma más segura posible. Lo último que desearías durante este periodo de crisis es encontrar una brecha de seguridad en cualquiera de tus plataformas de banca online.
En primer lugar, es importante utilizar únicamente software y servicios acreditados a la hora de manejar los fondos. Utiliza solo los servicios que conoces y con los que estás familiarizado. Si no estás seguro de la credibilidad de una plataforma en particular, busca reseñas e información adicional en Internet antes de usarla. Las instituciones confiables deberían incluir en sus sitios web información de personas de contacto con quien hablar para aliviar cualquier inquietud.
Al acceder a un sitio web de banca online, asegúrate de iniciar sesión mediante un protocolo seguro de transferencia de hipertexto. Esto significa que la URL debe incluir https:// en lugar de http:// al principio. También debes ver un candado a la izquierda de la barra de URL en la mayoría de los navegadores de Internet, lo que indica que el sitio web tiene un certificado de seguridad autenticado.
Deberías además aprovechar esta oportunidad para aumentar la seguridad de las cuentas bancarias de tu empresa y de las tuyas propias. Utiliza contraseñas más seguras, agrega información que te ayude a recordarlas y, si es posible, solicita al banco un lector de tarjetas para garantizar que todos los pagos online requieran una tarjeta de pago física. Si tienes la opción de cambiar a la banca móvil, muchas plataformas ahora requieren una huella digital verificada para iniciar sesión, lo que puede reforzar aún más la seguridad.
Desafortunadamente, este periodo de crisis ha abierto la puerta a muchos tipos nuevos de hackers, estafadores y creadores de phishing. Estos timadores pueden intentar captar tu atención mediante correo electrónico, con anuncios en redes sociales o por teléfono. Pueden solicitar tus datos bancarios con la excusa de ayudarte a hacer compras más grandes o donaciones. No proporciones tus datos bancarios a nadie ni transfieras fondos a proveedores no solicitados, a menos que estés absolutamente seguro de que son quienes dicen ser.
Recuerda que los estafadores pueden tratar de suplantar a tus colegas, clientes u organizaciones profesionales, incluido tu banco, para conseguir que les proporciones información confidencial o les transfieras fondos. Sé especialmente cauto en estos momentos y no dudes en pedir a cualquiera pruebas adicionales que demuestren que son quienes dicen ser.
10. Prestar atención a la seguridad del correo electrónico
Es probable que, en estos momentos, el correo electrónico sea tu principal medio de comunicación con tus colegas. Sin embargo, los correos electrónicos son también uno de los medios de comunicación más fáciles de sufrir exploits y ataques.
El Centro de Ciberseguridad Nacional (NCSC) del Reino Unido ha realizado numerosas recomendaciones para ayudar a proteger al personal mientras trabaja desde casa, también sobre el uso del correo electrónico.
Además de llamar la atención sobre las estafas de phishing, que son cada vez más frecuentes, aconsejan las siguientes medidas para proteger las cuentas de correo electrónico:
- Asegurarse de que solo se pueda acceder de forma segura a los correos electrónicos a través de la VPN de la empresa, lo que crea una conexión de red cifrada que autentica al usuario o el dispositivo y cifra los datos en tránsito entre el usuario y los servicios. Si ya usas una VPN, asegúrate de que tiene todos los parches pertinentes.
- Es más probable el robo (o la pérdida) de los dispositivos del personal cuando están lejos de la oficina o en sus casas. Asegúrate de que sus dispositivos cifren los datos mientras están en reposo, lo que protegerá los datos del correo electrónico del dispositivo en caso de pérdida o robo. La mayoría de los dispositivos modernos tienen el cifrado integrado, pero es posible que el cifrado se deba activar y configurar. Si tus empleados van a utilizar sus propios dispositivos para acceder al correo electrónico y otros archivos confidenciales, el NCSC ha publicado pautas individuales para ayudarles a proteger también estos dispositivos.
- Ten cuidado con los ataques de phishing, que parecen estar adoptando un número cada vez mayor de formas. El NCSC ha publicado algunas pautas sobre cómo detectar y manejar estos casos: merece la pena comunicárselas también a tus empleados
Artículos relacionados
- ¿Qué es el malware y cómo protegerse de él?
- Detección de virus y malware
- Consejos sobre ciberseguridad para pequeñas empresas: comprender los aspectos básicos