16 de octubre de 2016, 8:50 AM
Hacker

¿También usas contraseñas del trabajo para las apps que te descargas?

¿Cuántos de ustedes han descargado Pokemon Go en su celular del trabajo? Vamos, admítanlo.

Si les sorprendió que el departamento de tecnología de su empresa les permitiera hacerlo, la realidad es que muchas empresas no tienen ni idea de a qué se dedican sus empleados, o eso parece.

Por ejemplo, cuando la empresa especializada en ciberseguridad Imperva preguntó a uno de sus clientes bancarios cuántas apps creía que utilizaban sus empleados, la empresa calculó que entre 75 y 100 en total. El dato, en realidad, estaba más cerca de las 800.

Pero, ¿por qué es esto importante?

Las apps basadas en la nube con frecuencia tienen acceso a la cámara, la localización, los datos y los contactos de tu teléfono. Así que nunca sabes cuánta información sensible de la empresa se pueden estar llevando.

Podría ser que estés dando las llaves de la puerta de atrás de tu empresa a hackers, espías o estafadores, sobre todo si usamos ingenuamente los mismos datos de ingreso para las apps externas que para las apps internas de la firma.

"Es un problema crítico si no sabes qué aplicaciones de terceros tienen acceso a tus datos", dice Ryan Kalember, vicepresidente senior de estrategia de ciberseguridad en la empresa especializada Proofpoint.

WhatsApp

WhatsApp introdujo recientemente la encriptación en respuesta a preocupaciones por la seguridad de los datos.

Solo este año, empresas tecnológicas como LinkedIn, MySpace y Dropbox han sufrido grandes brechas de seguridad de datos.

La empresa de seguridad Ponemon calcula que el coste promedio por cada una de ellas es de US$4 millones, o US$158 por registro robado.

Y nuestra actitud despreocupada con las apps en el trabajo puede estar contribuyendo al problema, avisan los expertos.

"Si la empresa no proporciona a los usuarios las herramientas que esperan para poder hacer su trabajo, las encontrarán por su cuenta", afirma Jon Huberman, ejecutivo jefe de la empresa para compartir de archivos Syncplicity.

"Pero es un gran tema para la empresa, la fuga de datos es un gran problema".

Apps en la nube

Aunque apps como Slack, Evernote, Whatsapp y Dropbox pueden ayudarnos a hacer nuestro trabajo de forma más eficiente, en la oficina y fuera de ella, con frecuencia no sabemos sin han sido aprobadas por el departamento de tecnología o cuántos datos corporativos podemos estar compartiendo, queriendo o sin querer, con la nube.

"Los empleados no suelen pensar en la seguridad ni saben qué es y qué no es un dato sensible", argumenta Terry Ray, jefe de estrategia de producto de la empresa de ciberseguridad Imperva.

"Y los riesgos de una brecha de datos se exacerban mucho por la existencia de la nube, aunque las apps basadas en ella, como la de Microsoft Office 365, son cada vez más populares porque reducen mucho los costes en tecnología de la información".

Usuario de Android

Las brechas de datos empeoran por las apps basadas en la nube.

La preocupación es que estas apps de terceros pueden no tener robustos protocolos de seguridad porque fueron desarrolladas pensando sobre todo en los consumidores.

Y los datos pueden estar almacenados en países extranjeros con leyes de protección de datos menos exigentes.

"La seguridad de las apps es el problema del que nadie habla", dice Cesare Garlati, jefe de seguridad estratégica en la Fundación Prpl, un organismo sin ánimo de lucro que promueve estándares de software de código abierto.

"El software en la actualidad se ensambla, no se escribe. Los desarrolladores utilizan bibliotecas, de forma que no sabes qué bits de un código defectuoso pueden estar escondidas en una app poniendo en peligro su seguridad", explica.

App

Muchas empresas infravaloran cuántas apps utilizan sus empleados.

"La utilización de tu propio celular, tableta o computadora para el trabajo siempre ha sido una gran amenaza para el modelo de seguridad. Las empresas pierden la capacidad de controlar".

Aunque las empresas hacen grandes esfuerzos para proteger información identificable personalmente, como los números de la seguridad social o de las tarjetas de crédito, es con frecuencia la información que parece inofensiva la que puede dar a los estafadores la munición para enviar un correo electrónico fraudulento (phishing) más creíble, por ejemplo, o una petición de un pago más plausible.

Otras amenazas

Muchas apps están también llenas de malware, otra amenaza para la seguridad corporativa.

"Muchas de estas apps están siendo monetizadas al vender información de los usuarios e intentando obtener fraudulentamente las credenciales bancarias", explica Kalember.

"Muchas organizaciones han perdido dinero a través de estas apps de phishing que pretenden ser otra cosa, como el Flash Player o incluso una app de la Biblia, al permitir a gente de su departamento financiero acceder a las cuentas corporativas bancarias a través de aparatos móviles".

Ladrón de coches

¿Puede que las apps de tu trabajo estén ayudando a los ladrones a hacerse con datos de tu empresa?

Y Huberman, de Syncplicity, apunta que si una empresa no sabe qué apps están utilizando sus empleados o qué datos se están compartiendo, esto es un problema cuando estos mismos empleados se van a otras empresas.

"Todos esos datos se van con ellos", dice, "posiblemente a tus competidores".

Y los programas de correo basados en la web pueden ser también arriesgados.

Antes de que a los médicos les dieran un ambiente seguro para compartir detalles confidenciales de los pacientes entre ellos, muchos usaban programas de e-mail abiertos como Gmail, rompiendo claramente las regulaciones de privacidad de datos, dice Huberman.

Reunión

¿Está alguien jugando a Pokemon Go durante una reunión de empresa?

"Se dieron cuenta de esto pero su argumento era que necesitaban consultar con colegas para poder salvar vidas. Fuimos capaces de darles las herramientas adecuadas para compartir datos de forma segura en cualquier aparato sin saltarse las regulaciones".

Soluciones

Así que, ¿que podrían hacer las empresas?

Los consejos de los expertos son bastante consistentes y pueden resumirse en estos puntos:

  • Tener un programa de manejo de aparatos móviles que sea capaz de identificar las apps instaladas por los empleados y cómo son sus políticas de seguridad y privacidad
  • Asegurarse que todos los aparatos de la empresa están encriptados
  • Dejar claro a los trabajadores qué datos corporativos pueden o no ser compartidos con apps de terceros
  • Monitorear a qué apps y a qué datos se está accediendo en las redes de la empresa
  • Educar a los empleados para identificar comportamientos riesgosos y cómo darse cuenta de si reciben un correo electrónico fraudulento de phising
  • Proporcionar las herramientas de productividad adecuadas para que no tengan la tentación de descargarse apps no aprobadas