El fenómeno Bring Your Own Device ahorra costes pero aumenta las posibilidades de sufrir una brecha en la seguridad de las compañías
Cuando a Obama le dieron un iPad para que leyera los informes de la CIA y la NSA, lo primero que hizo fue pedir a los agentes del servicio secreto que lo configuraran para poder descargarse juegos y apps. “Al presidente le fabricaron un iPad especialmente blindado para él”, cuenta el capitán de Delitos Telemáticos de la Guardia Civil, César Lorenzana, para ilustrar la problemática del uso de los dispositivos personales en el trabajo y viceversa: “La Casa Blanca tiene la tecnología para blindar el iPad del presidente, pero las empresas normales tienen que buscar otras soluciones con sus trabajadores”. Sin saberlo, Obama estaba formando parte del fenómeno Bring You Own Device (BYOD, en castellano Trae Tu Propio Dispositivo).
Promover que todo el material de una empresa sea aportado por los propios trabajadores puede suponer un ahorro de unos 1.300 euros anuales por cada empleado de la compañía, según un informe de Cisco. Pero la mezcla de usos para dichos dispositivos conlleva una serie de riesgos. En una encuesta realizada por Fortinet en más de 15 países, entre ellos España, el 42% de los entrevistados reconoció la pérdida de datos y la entrada de software malicioso en el sistema como consecuencia del BYOD. Por eso, las compañías ya han empezado a adoptar protocolos de seguridad para que mandar un whatsapp personal desde el teléfono de trabajo no comprometa la información confidencial.
El 75% de las empresas del mundo permiten el acceso a contenidos internos a través de dispositivos ajenos a sus controles de seguridad, según un informe del Centro Criptológico Nacional (CCN). Según este mismo documento, más del 80% de los empleados utilizan sus propios dispositivos USB y sus portátiles para manejar información del trabajo. Los móviles van ganando terreno y ya son el 55% de los empleados los que utilizan sus smartphones para gestionar datos corporativos.
Para el CCN, el dato más preocupante es que casi la mitad de las personas que utilizan su propio dispositivo no manejan la información corporativa de forma cifrada e incluso el 15,6% dice no saber cómo se debe manejar dicha información. Por su parte, los expertos de la sesión formativa de ESET coincidieron en que el principal riesgo de BYOD es la movilidad de los dispositivos y la conexión en redes poco seguras.
El director del Laboratorio de la compañía, Josep Albors, pone como ejemplo el servicio de wifi del hotel donde se celebra la conferencia. “Cualquier software de hace cinco años habría descifrado la contraseña en menos de un segundo”, afirma. Para evitar comprometer el dispositivo, una de las soluciones que aporta Albors es el cifrado de datos en todos los dispositivos móviles o el uso de redes VPN (extensiones de la propia red segura de la empresa para utilizar de manera fiable en redes públicas).
Otra de las herramientas de seguridad destacadas fue la autenticación por doble factor que ya incorporan de manera gratuita la mayoría de smartphones. Este sistema utiliza, además de la propia contraseña del teléfono, una clave que se genera automáticamente desde una app o un servicio de SMS y que tiene un solo uso. Descifrar una contraseña puede ser fácil para un ciberdelincuente pero superar una segunda contraseña generada de manera automática es más complicado.
Empleados, el eslabón débil
Sólo el 36% de las empresas tienen una política BYOD, según datos de la consultora Gartner, y prevé que un 32% más empezará a emplearla durante este año. La principal razón por la que las empresas no asumen soluciones de seguridad es porque piensan que no hace falta. “Creen que con un antivirus normal basta o piensan que la amenaza no les va a tocar a ellos”, dice el director de Laboratorio de ESET España, y añade: “Tarde o temprano, sea la empresa que sea, siempre pasa”.
A pesar de todas las medidas de seguridad sobre los dispositivos, el usuario suele ser eslabón más débil de la cadena. Entre otras técnicas, Albors relata cómo se pueden colocar pendrives infectados de forma deliberada en la cafetería o el aparcamiento de una empresa para que un trabajador los encuentre y los conecte a sus equipos. En este caso el BYOD se convierte en un ataque premeditado que aprovecha la confianza de un empleado para infectar al sistema.
Para el abogado especializado en delitos informáticos, Pablo Fernández Burgueño, las empresas deben “crear un código de conducta” que establezca un protocolo de actuación para todos los empleados para que eviten acciones como “pinchar en enlaces desconocidos o conectarse a redes débiles como las de 2G”.
Para evitar que el BYOD suponga cualquier tipo de riesgo para la empresa, muchas organizaciones optan la opción más extrema y prohíben a sus empleados utilizar dispositivos personales en el trabajo. “En las administraciones existe un esquema de separación física entre el dispositivo privado y el del trabajo”, dice el guardia civil. Bajo este paraguas, algunas empresas y organismos públicos incluso bloquean los puertos USB de sus ordenadores para evitar cualquier tipo de conexión. Puede que Obama utilice su iPad para leer los informes de la CIA y jugar al Angry Birds pero es posible que el despacho oval no tenga un solo puerto USB donde pueda cargarlo.