¿Preparado para irte de vacaciones?
Se avecinan meses en los que veremos carteles colgados de escaparates, tiendas, talleres u oficinas en los que se podrá leer: “Cerrado por Vacaciones”. Bueno, siendo sinceros, deberíamos decir que en realidad cada vez son menos los que cierran completamente sus empresas durante los meses de verano, y menos todavía los que hacen uso de estos, antes cotidianos, procedimientos para comunicar a sus clientes el hecho de que había llegado el momento de tomarse unos merecidos días de asueto.
Aun así, demos por válida la premisa. De una forma o de otra, es habitual que comuniquemos el comienzo de nuestro periodo vacacional a aquellos con los que nos relacionamos profesionalmente, informándoles de que atenderemos sus consultas a nuestro regreso. En el mejor de los casos, les dirigiremos a algún compañero que responderá a sus inquietudes y necesidades.
Cualquier persona bien intencionada puede ver en este procedimiento un acto de responsabilidad profesional y de atención al cliente. Alguien mal intencionado, como un ciberdelincuente, verá una oportunidad.
A los ciberdelincuentes les encantan las vacaciones (de los demás). Se convierten en periodos en los que sus víctimas distraemos nuestra atención, relajando las medidas de ciber-protección que aplicamos diariamente. Al igual que cerramos con llave la puerta de nuestros domicilios, desconectamos nuestros puestos de trabajo y dejamos que las infraestructuras tecnológicas de nuestra organización actúen de forma casi desatendida (por ejemplo, con correos electrónicos de respuesta automática), en la confianza de que a nuestro regreso nos encontraremos todo igual que lo dejamos.
Mientras tanto y durante unas semanas, completamos reservas online en hoteles, pagamos en restaurantes, publicamos fotografías, hacemos comentarios en redes sociales, nos conectamos a redes WiFi-públicas, etcétera, etcétera. Nuestra información personal fluye por Internet como agua en un río —o las olas en la playa si queremos seguir en tono veraniego.
Paralelamente mantenemos nuestras oficinas funcionando con menos empleados y con sus sistemas informáticos dispuestos para entrar en actividad tan pronto como alguien “autorizado” se conecte a ellos. Y es en este punto en el que entra en juego el papel de los ciberdelincuentes con sus estrategias y recursos: phishing, SMiShing, ransomware…
Phishing
Las campañas de suplantación de identidad proliferan durante estas fechas y con ellas las posibilidades de incurrir en riesgos para nuestra organización o para nosotros mismos. Los correos electrónicos, invitando a conectarnos a direcciones comprometidas, son un recurso habitual. ¿Qué ocurriría si de forma automática reenviáramos uno de esos correos a un compañero para que lo procesara en nuestra ausencia? La respuesta parece evidente y las consecuencias igual.
La proliferación del phishing durante los periodos vacacionales es un hecho desde hace muchos años. Los ciberdelincuentes recurren a ellas como forma de acceder a recursos privados cuando los verdaderos propietarios no se encuentran disponibles o con dificultades para ser contactados. El fraude del CEO se ha convertido en una práctica cotidiana que pone en jaque a muchas organizaciones. Precisamente en 2018 algunos estudios indican que podría haber alcanzado los 8.000 millones de euros.
BYOD
Lo mismo podríamos decir que ocurre con el uso de nuestros propios dispositivos personales (BYOD) como elementos de conexión a recursos corporativos. La falta de protección lógica y/o física de estos dispositivos los convierten en riesgos importantes que trascienden a la mera sustracción por el valor económico del propio terminal. ¿Cuántos usuarios disponen un PIN de protección del dispositivo? ¿Cuántos tienen guardados las passwords de acceso a la VPN de su organización en notas de texto? ¿Cuántos siquiera tienen un cliente VPN instalado? ¿Cuántos disponen de un segundo nivel de autenticación? La protección física de los dispositivos móviles —y más aún si son compartidos con servicios de la organización— durante los periodos de vacaciones se convierten en un objetivo de atención prioritario. ¿Quién cuida de los móviles o las tabletas cuando estamos en la playa? ¿Dónde los dejamos cuando viajamos? ¿Para qué los utilizamos durante ese periodo? Todas son preguntas que tenemos que hacernos y para las que deberíamos que tener una respuesta clara.
Solo a modo de ejemplo, son numerosos los usuarios que durante sus vacaciones instalan juegos en sus dispositivos móviles para entretenerse o incluso se conectan a direcciones de ocio a las que no lo hacen asiduamente. ¿Cómo comprobamos la validez de las direcciones de descarga y la corrección de su uso? ¿Cuántas de esas aplicaciones pueden contener malware? De nuevo nos encontramos con preguntas que debemos saber responder.
WiFi
No menos importante son las redes WiFi a las que accedemos. Durante las vacaciones resulta habitual tener acceso libre a redes WiFi que nos permiten visualizar videos y consultar información sin límites en la transmisión. Y preferimos hacerlo antes que utilizar la cuota de datos que nos tiene asignada el operador de telecomunicaciones. Sin embargo ¿Cuántos son los que se preocupan por la seguridad de esas redes? ¿Cómo saben que no utilizan técnicas de man-in-the-midle para espiar nuestros movimientos? Las redes WiFi son una comodidad no exenta de peligros que a menudo descubrimos demasiado tarde.
Procedimientos de actuación
Por último, está nuestra propia organización. Aquella que contiene nuestra infraestructura informática y que hemos dejado atendida, en el mejor de los casos, por la mitad de los empleados. ¿Disponemos de personal cualificado para afrontar cualquier incidencia de ciberseguridad? ¿Tenemos establecidos los procedimientos adecuados de notificación? Las vacaciones no existen en Internet. En un mundo conectado como el actual todos los días del año son iguales. Debemos tenerlo en cuenta para saber cómo responder ante cualquier eventualidad.
Tengamos todas estas cosas presentes porque si no actuamos con precaución podríamos encontrarnos con sorpresas desagradables a nuestro regreso. Sorpresas como que “la cerradura de nuestro establecimiento ha sido reventada y nuestros productos han desaparecido o están desperdigados por el suelo”. Dicho en términos tecnológicos, nuestros servidores han sido vulnerados, su contenido cifrado y nuestros datos personales y profesionales (incluyendo nombres de usuario y passwords) desperdigados por Internet.