Los obstáculos que tienen las empresas para demostrar cuando es el propio trabajador el que ciberataca, según una fiscal especializada en Delitos Telemáticos

La pandemia ha obligado a muchas compañías a adoptar de forma acelerada el teletrabajo, lo que las ha puesto en peligro de sufrir incidentes informáticos.Las amenazas en la red se dispararon un 2.000% según un informe en el que participaba ElevenPaths, la firma de ciberseguridad de Telefónica Tech, y el estrés provocado por el confinamiento provocó que muchos trabajadores fuesen más susceptibles de caer en las tretas de los ciberdelincuentes, según un estudio de Stanford.

Varios CISO —responsables de seguridad informática en la empresa— de compañías como Talgo, Homeserve o Sacyr reconocieron en un evento el pasado jueves que en cuanto se decretó el estado de alarma, se priorizó la continuidad de negocio sobre la seguridad de su infraestructura.

Ya han pasado 6 meses desde que se decretó la emergencia sanitaria y los datos de contagios de coronavirus han ido a peor desde que se levantó el estado de alarma. Algunas comunidades han decretado nuevos confinamientos, y la situación en Madrid es especialmente delicada.

Leer más: Las empresas van a tener que ser mucho más transparentes ante los ciberataques y proteger a los 'soplones' por mandato europeo, según advierte un experto en ciberseguridad

Durante todo este tiempo, los expertos y empresarios del sector de la ciberseguridad han advertido en lo necesario que es que muchas compañías subsanen los errores que se cometieron en marzo para evitar repetirlos ahora. El Gobierno ultima una reunión con los agentes sociales antes de aprobar la nueva Ley del Teletrabajo, que podría dar amparo en ese sentido.

Es precisamente el amparo legal y la colaboración entre el sector público y privado una de las claves que han debatido recientemente Ana Martín de la Escalera, fiscal adscrita a la unidad especializada contra la criminalidad informática de la Fiscalía General del Estado; y Rodrigo Hornos, responsable de la Disciplina de Protección de Datos en el banco BBVA. Lo hicieron en el marco del Programa de Innovación en Ciberseguridad (PIC) que imparten de forma conjunta la Deusto Business School con la ICADE Business School.

Los empleados, pieza clave en la ciberseguridad de las empresas

En el ámbito de la ciberseguridad, es habitual que se realicen tareas de perimetraje en torno a las redes que conectan a los dispositivos de los trabajadores y a los servidores con activos digitales de la compañía. Por eso, además de que estos perímetros estén convenientemente segurizados, es esencial que sean los empleados de la compañía un muro de contención clave frente a ciberataques.

Por esta razón es esencial que los empleados de cualquier compañía cuenten con una adecuada formación en ciberseguridad: si no es por la privacidad de uno mismo, que la prudencia sea, al menos, por evitar un disgusto con un ataque a la compañía.

Leer más: El 41% de los millennials españoles creen que son "demasiado aburridos" como para ser víctimas de un ataque informático: 4 razones por las que los ciberdelincuentes quieren ir a por ti

El famoso hacker y responsable de Cliente Digital de Telefónica, Chema Alonso, abundaba hace escasas semanas en cuáles son las nuevas tendencias con las que los ciberdelincuentes son capaces de asaltar firmas privadas: los criminales informáticos ya no necesitan conseguir una contraseña. 

"Hacen incluso labores de vigilancia en el mundo físico", relata la fiscal Ana Martín de la Escalera. "Vigilan qué trabajadores tiene, qué clientes tiene". El propio Alonso desgranaba incluso en qué consiste el OSINT, técnicas de investigación con fuentes abiertas. En otras palabras: los ciberdelincuentes son capaces de dar con el rastro de ti o del resto de empleados en internet con el objetivo de engañarte para poder acceder a un ataque contra la empresa.

"En el sector privado nos centramos más en la preparación de un incidente informático que en otros puntos de vista, coo el de la reparación". Otra aproximación al problema es el de la recuperación tras un ciberincidente: dar con los responsables. Esta vertiente, claro, está encomendada al Poder Judicial. Por eso, Hornos, de BBVA, detallaba en su comparecencia que el sector privado y el sector público "tenemos que ir muy alineados".

Los 'insiders' o la doble cara de los empleados

Una publicación colgada en el blog del Equipo de Respuesta a Incidentes Informáticos del Instituto Nacional de Ciberseguridad, el CERT del INCIBE, acentuaba la importancia de los insiders, los trabajadores o extrabajadores de una compañía que facilitan a los ciberdelincuentes los ataques a su compañía —cuando no son ellos mismos directamente los partícipes—. Tanto es así que incluso Microsoft ha adoptado medidas, y varias compañías han contratado a hackers de IBM para ayudar a la concienciación en ciberseguridad.

"No todos los casos son de los famosos insiders, muchos incidentes en el sector privado vienen de la mano de imprudencias". De hecho, Hornos destaca que "incluso los niños han sido estafados con fraudes a través de videojuegos como Fortnite".

Ana Martín de la Escalera ha reconocido que "uno de los grandes problemas" a los que se enfrenta la fiscalía es el de valorar "en qué medida puede un empresario acceder a los dispositivos que pone a disposición de sus empleados sin incurrir en un ilícito". 

Leer más: Los ataques informáticos se multiplican en plena pandemia del coronavirus: las ciberarmas que tiene el CNI para ahuyentar a los espías de las reuniones virtuales del Gobierno

"La doctrina que ha ido marcando el Supremo en relación con esta materia no es homogénea, pero sí es bastante asentada y se basa en una famosa sentencia del Tribunal Europeo de Derechos Humanos, el famoso caso Barbulesco", resume. Al final, el contenido que un empleado almacena en un dispositivo de empresa se entiende que disfruta de "un derecho de intimidad modulado".

"El dispositivo que tienes entre tus manos es para el uso en el ámbito laboral, y por ende el empresario podrá controlar el uso que haces de él e informar sobre los mecanismos. No cabe esperar una expectativa de privacidad por parte del empleado".

Pero en el ámbito penal, la jurisprudencia del Supremo "es clara": "En determinado momento, cuando la actividad del empresario al acceder a un dispositivo que ha usado un empleado implica descubrir y obtener pruebas, el Supremo dice que hay que adoptar medidas o criterios que permitan dar validez a las mismas".

En ese sentido, "no bastará con ese derecho del empresario de control y vigilancia: tienen que concurrir parámetros como que se pueda haber notificado previamente o si el acceso está justificado porque existen sospechas fundadas de que el empleado está llevando a cabo un ilícito". La medida, en definitiva, para interceptar uno de estos famosos insiders tiene que ser "proporcionada y necesaria". De lo contrario, las pruebas contra un empleado que esté ciberatacando a una compañía, por concluyentes que fueran, podrían no tener cabida.