Pasar al contenido principal

Varias empresas han contratado al equipo de hackers de élite de IBM para vigilar a sus empleados mientras teletrabajan con el objetivo de acabar con los malos hábitos de ciberseguridad

Charles Henderson, líder del equipo X-Force Red de IBM
Charles Henderson es el líder del equipo de 'hackers' de élite de IBM. IBM

  • La ciberseguridad es uno de los grandes desafíos que las empresas tienen que afrontar con sus trabajadores en casa, y lo están haciendo de maneras muy distintas.
  • El 70% de los expertos en informática encuestados están preocupados por la exposición de los datos que pueden causar los empleados si no respetan las normas de seguridad.
  • IBM cuenta con un equipo de hackers de élite para probar las defensas de sus trabajadores ante un ataque.
  • Otros expertos sugieren otras formas como debates sobre lo que implica ser hackeado o el poder de avergonzar al empleado por tener una conducta inadecuada.
  • Descubre más historias en Bussiness Insider España

Las compañías que quieren tomar medidas contra la ausencia de buenos hábitos de sus empleados a la hora de trabajar en remoto están contratando al un equipo de hackers de élite de IBM para ponerlos a prueba y ver si pinchan en enlaces sospechosos o dan acceso no autorizado a los sistemas de la compañía.

Este equipo de élite lleva años utilizando esas mismas técnicas en la oficina, y, ahora, las está aplicando a medida que avanza el verano y continúa el teletrabajo.

Según un informe de la compañía Black Hat, más del 70% de los expertos en informática encuestados están preocupados por la exposición de datos corporativos que pueden causar los empleados si no respetan las normas de seguridad. Asimismo, una encuesta de Tessian revela que la mitad de los trabajadores en remoto admite no seguir las buenas prácticas de seguridad porque dicen no estar "controlados por la tecnología".

"Hacer excepciones en la ciberseguridad de los empleados mientras trabajan desde casa sería de tener muy poca visión", ha señalado el consejero delegado de Tessian, Tim Sadler, en declaraciones a Business Insider.

Las compañías están abordando esta problemática desde diferentes enfoques, entre ellos, la contratación del equipo de hackers de élite de IBM.

Leer más: Los expertos instan a las empresas a atajar los puntos débiles del teletrabajo ante posibles confinamientos: "Lo que se ha hecho hasta ahora es sobrevivir"

Durante años, las empresas han contratado al equipo X-Force Red de IBM, pagando desde unos cuantos miles de dólares para compañías pequeñas hasta varios millones por contratos a largo plazo, para encontrar fallos de seguridad que permitirían a los delincuentes entrar en sus sistemas. El responsable de X-Force Red, Charles Henderson, ha señalado que están empezando contratarlos para vigilar a los empleados que están trabajando desde casa. 

Equipo X-Force Red de IBM
El equipo de 'hackers' X-Force Red de IBM pone a prueba a los empleados de otras compañías. IBM

"Ponemos a prueba a los trabajadores remotos de la misma manera en la que lo haríamos si estuviesen en la oficina", ha indicado Henderson. "La regla de oro es que no se avise a los trabajadores de que están siendo controlados, para que el equipo cuente con el factor sorpresa que tendrían los hackers reales si atacasen los equipos".

Si bien las compañías pueden optar por decirles a sus empleados que están siendo puestos a prueba, la mayoría decide no hacerlo. El CEO de la startup Wrike, Andrew Filev, piensa que no contárselo a los empleados revela falta de confianza.

"Los programas que monitorizan a los empleados se ponen en marcha con buenas intenciones, ya que su objetivo es proteger la compañía, pero también destruyen la confianza y dañan la productividad", ha señalado.

El equipo de IBM no cree que se destruya la confianza: la mejor manera para construirla es saber que no se está dejando entrar a los delincuentes, según Henderson. Normalmente, los trabajadores aprecian saber dónde son vulnerables y aprender técnicas que puedan utilizar también en su vida personal.

CEO de Wrike, Andrew Filev
Andrew Filev es el consejero delegado de Wrike. Wrike

Estos ataques suelen llegar en correos electrónicos phising, es decir, aquellos que engañan al usuario para pinchar en un enlace malicioso. Ahora también atacan los teléfonos móviles de los empleados. "Mientras que el correo electrónico podría llegar a su cuenta de trabajo, los trabajadores remotos también abren estos correos en su móvil u otros dispositivos personales, con los que tienden a trabajar rápido y tienen menos en guardia", según Henderson. Él añade que su equipo no hackea esos dispositivos personales, sino que solo comprueban si están recibiendo amenazas a través de las redes de la compañía. Lo que sí hacen es llamarlos a su teléfono personal.

"También probamos a los empleados con llamadas telefónicas. Mientras que antes les llamábamos al trabajo a las líneas de la oficina para ver si daban información que pudiese ayudar en un ataque, ahora estamos haciéndolo en sus propios teléfonos, una información que normalmente se puede encontrar fácilmente en internet", ha dicho. "Mientras que nos centramos en asegurar que los empleados no comprometen sus cuentas del trabajo, estas interacciones phising ocurren más frecuentemente mediante el móvil u otro dispositivo personal debido al trabajo remoto".

Leer más: Así es el sector de las 'bug bounties' que Telefónica va a impulsar en España: las marcas mejoran su seguridad y los hackers pueden convertirse en millonarios

Los datos recopilados por IBM muestran que en el entorno de teletrabajo actual más de la mitad de los empleados están usando sus propios ordenadores y dispositivos y el 61 % de los encuestados ha admitido que la compañía no les ha aportado las herramientas para utilizarlos de manera segura

Hay otras muchas maneras de abordar los malos hábitos de los empleados en términos de ciberseguridad:

El poder de la vergüenza

Confundadora de Elevate Security, Masha Sedova
Masha Sedova es la cofundadora de Elevate Security. Elevate Security

La cofundadora de Elevate Security, Masha Sedova, ha explicado que su compañía registra qué empleados pinchan en enlaces maliciosos en los correos electrónicos y se lo comunica. Sedova opina que avergonzarles de esta manera puede ser muy efectivo.

"Tener datos te permite comunicarte de una forma mucho más significativa. Puedes decir: 'Eh, usuario. ¿Sabías que el mes pasado has sido tres veces más propenso a pinchar en un enlace malicioso que cualquier otra persona del departamento?", ha dicho. "Apuntar a alguien cuya conducta es inadecuada lo hace estar mucho más motivado para tomar medidas".

Jugando la carta de la empatía

Por su parte, la vicepresidenta de estrategia de Point3 Security, Chloé Messdaghi, apuesta por un debate en equipo en el que un empleado que ha sido víctima de un ataque explique a los demás cuáles han sido los efectos a largo plazo.

"Dar lecciones a los trabajadores no funciona", ha defendido. "Mucha gente no se da cuenta de lo vulnerable que es hasta que ellos mismos o alguien cercano lo sufre. Compartir estas experiencias es un método probado que funciona: tener conversaciones abiertas y debatir sobre que pasó, cómo ocurrió y las implicaciones que ha tenido. Las historias nos conectan y marcan un antes y un después".

Leer más: Telefónica Tech prepara una plataforma privada de 'bug bounty' para que los hackers opten a recompensas por detectar brechas de seguridad en empresas

La manera más rápida de hacer que los empleados cambien

Mark Ostrowski, de Check Point Security
Mark Ostrowski es analista en Check Point Security. Check Point

Si ninguna de las técnicas anteriores funciona, el analista de Check Point Security, Mark Ostrowski, opina que siempre se puede recortar las herramientas disponibles para los empleados. "La manera más rápida para hacer que cambien sus hábitos es restringir a lo que tienen acceso cuando trabajan desde casa" ha dicho Ostrowski, cuya empresa dota de una red de seguridad para agencias gubernamentales y grandes organizaciones en varias plataformas. "Como no están haciendo A, B o C, solo pueden revisar su correo electrónico. Eso es todo. ¿Qué más se puede hacer con la gente que no cumple las normas?".

Las distintas soluciones para combatir los problemas de ciberseguridad reflejan el cuidado que ponen las compañías a la hora de vigilar a los empleados en un momento tan difícil. Si bien algunos trabajadores cometen errores, no ignoran las normas deliberadamente: hay que tener en cuenta que el 44% de las empresas encuestadas por la compañía Sectigo han retrasado sus proyectos de ciberseguridad en vez de asignar recursos a esta área.

Leer más: Esta es la frecuencia con la que deberías cambiar tus contraseñas, según expertos en ciberseguridad

Los empleados habrían ganado en términos de productividad con el teletrabajo -solo el 15 % de las compañías dice que el teletrabajo es menos efectivo-, pero el daño podría estar hecho debido a la prisa a la hora de instalarse en casa. Los trabajadores se han adaptado al nuevo medio de trabajo gracias en parte al uso de aplicaciones no seguras, datos del trabajo en su cuenta de correo personal y herramientas de conferencia con fallos de seguridad. Los problemas de ciberseguridad ya preocupaban a las compañías cuando pensaban volver a la oficina en verano. Ahora, que se plantean una vuelta aún más gradual, estos podrían persistir si los empleados continúan siendo el objetivo de hackers -criminales reales, no el equipo de IBM.

Este artículo ha sido publicado originalmente en BI Prime.

Y además