La ciberseguridad durante la COVID-19

Título original: «Cybersecurity During COVID-19». Post de Bruce Schneier publicado en su web 7 de abril de 2020.  Fuente: https://www.schneier.com/blog/archives/2020/04/cybersecurity_d.html     Hace tres semanas (¿de verdad ya ha pasado tanto tiempo?), escribí acerca del aumento de los riesgos asociados con el teletrabajo durante la pandemia de la COVID-19. En primer lugar, los empleados trabajan desde sus redes domésticas y, a veces, desde sus ordenadores personales. Lo más probable es que estos sistemas estén desactualizados, no tengan parches y estén desprotegidos. Son muy vulnerables a los ataques, simplemente porque son menos seguros. En segundo lugar, existe la probabilidad de que los datos confidenciales de las organizaciones migren fuera de la red. Los empleados que trabajan desde casa almacenan datos en sus propios ordenadores, donde no están protegidos por los sistemas de seguridad con los que cuenta la organización para la que trabajan. De este modo, los datos son más propensos a ser pirateados y robados. En tercer lugar, la probabilidad de que los empleados accedan a sus redes organizativas de forma poco segura es mucho mayor. Con suerte, la organización tendrá un VPN instalado para que sus empleados accedan de forma remota a su red interna. Si no es el caso, seguramente estarán intentando instalar uno o no estarán preocupados por la seguridad en absoluto. El hecho de que la gente pueda instalar y utilizar software de VPN sin ningún tipo de formación o conocimientos previos es una receta para cometer errores de seguridad. Pero no usar ningún VPN es aún peor. En cuarto lugar, a los empleados se les pide que utilicen herramientas nuevas y desconocidas como Zoom para poder realizar reuniones a distancia y no cara a cara. De nuevo, es muy probable que estos sistemas instalados de forma precipitada sean inseguros. En quinto lugar, la situación de caos general para «hacer las cosas de manera diferente» es una oportunidad para los ataques. Fraudes como las estafas de compromiso empresarial por correo electrónico, en las que un empleado recibe un correo electrónico falso de un alto ejecutivo pidiéndole que transfiera dinero a alguna cuenta, tendrán más éxito si el empleado no puede recorrer los pasillos de la empresa para confirmar la validez del correo electrónico, cuando todos estén distraídos y cuando las cosas se están haciendo de manera diferente. La NASA ha informado de un aumento de los ciberataques. Según un memorándum de la agencia:

«Una nueva ola de ciberataques tiene como objetivo los empleados de la Agencia Federal, obligados a trabajar desde casa durante el brote del nuevo coronavirus (COVID-19). Durante las últimas semanas, las herramientas de mitigación del Centro de Operaciones de Seguridad de la NASA (SOC) han evitado la consecución de estos intentos. Estos son algunos ejemplos de lo que se ha observado en los últimos días:

• Duplicación de los intentos de phishing por correo electrónico
• Aumento exponencial de los ataques de malware a los sistemas de la NASA
• Duplicación del número de bloqueos de mitigación de los sistemas de la NASA que tratan de acceder a sitios maliciosos (a menudo sin saberlo) como consecuencia del acceso de los usuarios a Internet»

Este otro artículo expone, prácticamente, los mismos puntos que acabo de mencionar. Sin embargo, la rápida transición hacia el trabajo a distancia creará o agravará inevitablemente las brechas de seguridad. Los empleados que usan software desconocido cometerán errores de configuración y se expondrán a violaciones de seguridad. El personal que se vea obligado a usar sus propios portátiles viejos desde casa descubrirá que sus datos son menos seguros que los de los empleados que utilizan equipos modernos. Se trata de un problema importante, ya que los problemas de seguridad no van a desaparecer. Durante los últimos meses, el malware y las estafas de phishing sobre el tema del coronavirus han ido en aumento. Las estafas de compromiso empresarial por correo electrónico, en las que los delincuentes se hacen pasar por un director general u otro alto cargo y luego intentan engañar a los trabajadores para que envíen dinero a sus cuentas bancarias, tendrán más probabilidades de éxito si el personal depende principalmente del correo electrónico para comunicarse con su empresa desde casa.

Editado: este post también está traducido al portugués.

Editado (4/13): haz clic aquí para acceder a un post que forma parte de un artículo publicado en tres partes sobre la ciberseguridad de las oficinas en casa.