La pandemia de COVID-19 ha trastocado la vida cotidiana de millones de personas. Con tantos trabajadores desde casa para mantenerse a salvo, la «normalidad» es muy diferente a como era antes del confinamiento. Aunque el teletrabajo plantea diversos retos, a menudo se pasa por alto el aumento del riesgo de ciberseguridad para las empresas con empleados que trabajan a distancia. La mayoría de las organizaciones no estaban preparadas para el cambio al teletrabajo y algunas han sido víctimas de estafadores que se aprovechan del caos. Los ataques de ingeniería social funcionan mejor cuando los empleados bajan la guardia, y trabajar desde la comodidad de su propio hogar ha provocado que incluso los empleados más expertos en tecnología cometan errores de seguridad.
Los empleados suelen dar por sentado que el departamento de TI de su empresa ha protegido su entorno de trabajo digital. Esta percepción de seguridad a menudo permite que las amenazas de phishing tengan éxito y que los datos de la empresa corran peligro. Si bien mantener un entorno de trabajo seguro puede ser un reto incluso en la oficina, es aún más importante destacar la importancia de la ciberseguridad cuando se trabaja desde casa.
Los intentos de phishing dirigidos a empleados que trabajan desde casa suelen tener éxito con demasiada frecuencia por tres razones principales:
- Falta de conocimientos técnicos
- Falta de protocolos y procesos adecuados, o que no se pueden aplicar fácilmente.
- Falta de formación en materia de ciberseguridad
Preguntamos a nuestros socios de Global Learning System, líderes en formación sobre concienciación en materia de ciberseguridad, cuáles consideran que son las mayores debilidades en la seguridad del teletrabajo y qué medidas pueden tomar los empleadores y los empleados para evitar los intentos de phishing y los ciberataques. Esto es lo que nos respondieron:
Riesgo n.º 1. La COVID-19: el entorno perfecto para los ataques de phishing.
El phishing es un delito cibernético en el que los estafadores engañan a las personas para que proporcionen información confidencial haciéndose pasar por una figura legítima a través del correo electrónico o el teléfono. La pandemia de COVID-19 ha brindado a los estafadores que realizan ataques de phishing la oportunidad perfecta para controlar a las víctimas utilizando la urgencia y el miedo a perderse algo. Los ataques de phishing comunes relacionados con la COVID-19 incluyen llamadas a la acción como «¡Averigua dónde hay nuevos casos cerca de ti!» y «¡Ya hay una nueva vacuna disponible, consíguela ahora!».
Además, con más personas en casa, ha habido un aumento en la cantidad de estafas telefónicas relacionadas con la COVID-19 dirigidas tanto a teléfonos fijos como móviles. Algunos ejemplos de estas estafas son los delincuentes que ofrecen desinfectar su hogar, fingiendo ser un cliente que necesita información o incluso haciéndose pasar por el servicio técnico de su empresa. Los empleadores deben formar a los empleados para que estén más alerta ante estos correos electrónicos y llamadas telefónicas relacionados con la COVID-19.
Deja claro cómo tu organización se comunicará con los empleados sobre la información relacionada con la pandemia, para que puedan distinguir entre comunicaciones reales e intentos de phishing. Da a los empleados ejemplos de correos electrónicos o llamadas de phishing para que puedan entender el patrón y saber qué buscar. Aconseja a los empleados que filtren las llamadas de números desconocidos. Asegúrate de que todos sepan que deben informar de los intentos de phishing a tu equipo de seguridad o a la dirección, para que todos en la organización estén informados.
Riesgo n.º 2. Aumento del uso de mensajes de texto para la comunicación laboral.
Con el aumento de las conversaciones diarias a distancia, han aumentado los mensajes de texto relacionados con el trabajo. Los empleados utilizan ahora los mensajes de texto como medio de comunicación con sus compañeros y clientes. Las estafas por SMS se aprovechan de esto pidiendo a los usuarios que hagan clic en un enlace que les lleva a un sitio web para obtener más información o descargar un documento. Cuando los usuarios hacen clic en el enlace, se instala un programa malicioso en su teléfono y la información almacenada queda a disposición de cualquiera.
Para combatir las estafas por mensajes de texto, las empresas pueden exigir el uso de aplicaciones de mensajería cifrada que proporcionen cifrado de extremo a extremo para las comunicaciones relacionadas con el trabajo. Cree protocolos específicos para el uso de mensajes de texto para comunicarse en el trabajo, como no enviar nunca contraseñas ni otra información confidencial por mensaje de texto. Forme a los empleados para que nunca hagan clic en enlaces ni transfieran archivos a través de mensajes de texto.
FORMACIÓN GRATUITA SOBRE SEGURIDAD EN EL TRABAJO A DISTANCIA
Riesgo n.º 3. Mayor uso de las redes sociales en los dispositivos del trabajo.
Con los empleados confinados en casa y muchos buscando interacciones sociales, el uso de las redes sociales ha aumentado. Las redes sociales siempre han sido una vía popular para los ataques de phishing, y los empleados que utilizan dispositivos de trabajo para acceder a sus cuentas personales en redes sociales pueden poner en riesgo sus datos. Un inocente cuestionario en Facebook puede revelar información que puede utilizarse para descifrar contraseñas. Una divertida foto en Instagram de su oficina en casa puede revelar información sobre su empresa a través de la pantalla que se ve al fondo o los papeles que hay sobre la mesa.
Para eliminar este comportamiento arriesgado, lo mejor es no permitir que los empleados accedan a sus redes sociales personales desde los dispositivos proporcionados por la empresa. Los empleados siempre deben utilizar un dispositivo personal sin información de la empresa almacenada para acceder a sus redes sociales personales. También puede utilizar un sistema de gestión de terminales para supervisar el uso de los dispositivos de los empleados.
Riesgo n.º 4. Realizar varias tareas a la vez mientras se trabaja desde casa.
La multitarea es inevitable cuando se trabaja desde casa. Alejarse de los dispositivos del trabajo para atender a los niños o realizar las tareas domésticas puede dar lugar a riesgos de seguridad imprevistos. Los protocolos de seguridad de su organización deben incluir las medidas adecuadas para proteger los dispositivos y los datos cuando un empleado abandona el espacio de trabajo, y las mismas reglas se aplican a la oficina en casa.
Es fundamental formar a los empleados para que bloqueen las pantallas de sus dispositivos cada vez que abandonen el espacio de trabajo. Seguir una política de «escritorio limpio» y exigir el uso de armarios con cerradura en las oficinas domésticas también minimizará los riesgos de seguridad. Los empleados también deben apagar o silenciar los dispositivos inteligentes, como Amazon Alexa o Google Home, para evitar filtrar inadvertidamente información de la empresa.
Riesgo n.º 5. Descargar aplicaciones no autorizadas en dispositivos de trabajo.
Dar a los empleados acceso de administrador en los dispositivos proporcionados por la empresa significa que pueden descargar e instalar aplicaciones libremente. En una situación de teletrabajo, los empleados pueden verse tentados a descargar nuevo software, complementos o extensiones para el navegador con el fin de facilitar su trabajo. Esto puede dar lugar a descargas de malware y al robo de datos.
Para mantener la seguridad del equipo y la información de la empresa, nunca conceda a los empleados acceso de administrador a los dispositivos. En su lugar, infórmeles sobre el proceso para solicitar nuevo software y proporcióneles una lista de aplicaciones aprobadas. Proporcione acceso a opciones seguras de software como servicio (SaaS) y prohíba conectar los dispositivos de trabajo a hardware externo, como impresoras o soportes extraíbles.
Proteja sus datos reduciendo el riesgo.
Lamentablemente, la lista anterior de posibles riesgos de seguridad no es exhaustiva. Con el aumento de la sofisticación de los ataques de phishing y el entorno de la COVID-19, es más importante que nunca revisar la configuración de los empleados remotos y mitigar los riesgos potenciales.
Proporcionar a todos los empleados una formación completa en materia de seguridad que incluya un componente de trabajo a distancia aumentará su «cortafuegos humano» y reducirá el riesgo de violación de datos. Esta formación se imparte en línea y puede ayudar a prevenir incidentes comunes que dan lugar a amenazas como el malware, el phishing y el ransomware.
——————————————–
Global Learning Systems ofrece una variedad de recursos gratuitos para ayudar a las organizaciones a ponerse al día en materia de ciberseguridad en esta nueva era. Incluye un curso en línea gratuito, entradas de blog y folletos para los empleados.
Nota del Editor: Este post fue publicado originalmente en Syntrio.com. En enero de 2024, Mitratech adquirió Syntrio, un proveedor líder de formación en ética y cumplimiento, prevención del acoso laboral y soluciones de denuncia anónima. El contenido ha sido actualizado desde entonces para reflejar nuestras ofertas de soluciones ampliadas, la evolución de las regulaciones de cumplimiento y las mejores prácticas en ética y gestión de riesgos.
