El entrevistado ANGEL HUMBERTO CASTILLO - Investigador criminal y asesor en delitos informáticos, nos despeja algunas dudas.
1. ¿Se puede violar la seguridad de acceso a una plataforma empresarial utilizada por alguien en Home Office?
Sí, existe la posibilidad real de que sea violada la seguridad de la información de una empresa por la implementación del Home Office. Estas vulneraciones de seguridad se presentan por varias circunstancias siendo las más comunes las siguientes:
La empresa no contaba con un SGSI (Sistema de Gestión y Seguridad Informática), el personal carece de instrucción o formación en temas relacionados, la empresa no invierte en soporte técnico, no implementan controles de acceso para Home Office o contraseñas débiles. El 60% de las pequeñas y medianas empresas, no pueden sostener sus negocios más de seis meses luego de sufrir un ciberataque importante.
El uso del teléfono celular por parte de empleados y ejecutivos se ha convertido en otro factor de riesgo, al gestionarse desde allí tareas tan sensibles para una organización como el correo electrónico si no están preparados son sujetos fáciles para los ciberataques. De hecho, debido a la implementación del teletrabajo o Home Office el vector de ataque que ha venido en aumento ha sido el de secuestro de dominios.
2. ¿Los Wii Fi para hogar son igual de seguros que los empresariales?
Aunque las empresas de telecomunicaciones o proveedores de servicios de internet han mejorado los mecanismos de protección de conectividad de sus clientes, una red Wifi hogar en comparación con una red wifi empresarial, no cuenta con los mismos mecanismos de seguridad que puede implementar una empresa. Sin embargo podemos hacer que nuestra red wifi hogar sea un poco más segura, más allá de tener un usuario y contraseña implementando la siguiente recomendación.
1- Contacta al operador de internet hogar y solicita el cambio de nombre de la red wifi hogar.
2- Cambia la contraseña de ingreso de tu red wifi hogar, se recomienda 12 caracteres alfanuméricos en adelante.
3- Solicita el ocultamiento del nuevo nombre de red wifi hogar.
Con estos pasos evitas que tu red wifi hogar sea visible al público y a su vez minimizas el riesgo de que terceros no autorizados tengan conectividad a la misma. Con el procedimiento antes enunciado la búsqueda del nombre de red wifi hogar y acceso a la misma se debe hacer manualmente en cada equipo.
3. ¿Que recomendaciones puede dar para evitar ser vulnerables ante estos cyber ataques?
Las compañías que no dispongan de un Sistema de Gestión de Seguridad de la Información pueden implantar las normas ISO/IEC 27001 e ISO/IEC 27701 de manera conjunta. Establecer pautas respecto a la prohibición de uso de la cuenta de correo corporativo para darse de alta en un servicio de interés personal tales como una aplicación de juegos, citas u ocio.
Establecer mecanismos perimetrales de protección ayuda a detectar de manera temprana muchas de las amenazas cibernéticas a las que se ven expuestas las compañías, por ejemplo, servicios antivirus, antimalware y anti Phishing.
Definir cuáles son los roles y responsabilidades que tiene cada uno de los actores involucrados en el plan de respuesta y gestión de un incidente cibernético.
No revelar nunca las contraseñas, dirección o el número de teléfono.
No abrir nunca archivos adjuntos de procedencia desconocida.
Apague el punto de acceso cuando no vaya a utilizarlo.
No se conecte a puntos de acceso desconocidos, particularmente si es fácil.
Desactive la difusión del nombre de su red Wi-Fi (también llamado SSID) para evitar que equipos externos identifiquen automáticamente los datos de su red inalámbrica.
Cambie la contraseña que aparece por defecto, ya que muchos fabricantes utilizan la misma clave para todos sus equipos.
Utilice encriptación WPA (o mejor WPA2 si su sistema lo permite), para evitar la captura de los datos que envíe. El protocolo WEP es más simple y ofrece una encriptación más débil.
4. ¿Jurídicamente debe responder el empleado que permitió la falla y el ingreso al sistema de la empresa desde casa?
De acuerdo con la especialista en derecho laboral Dra. LINA DE LA CRUZ: "Él empleado que por negligencia, descuido, dolo, o de mala fe, permita el ingreso al o los sistemas de la empresa, debe responder disciplinariamente y jurídicamente, según el caso, dependiendiendo las condiciones particulares que narren los hechos, pues como trabajador le asisten los deberes consagrados en los artículos 55, 56 y 58 del Código Sustantivo del Trabajo, los cuales señalan que: (i) el contrato de trabajo debe ejecutarse de buena fe, (ii) a los empleados les incumbe la obligación de fidelidad con respecto a su empleador, (iii) el trabajador debe realizar personalmente la labor en los términos señalados en el Reglamento, en el contrato y por el orden jerárquico de la empresa y no debe comunicar, salvo autorización expresa, información reservada que puede ocasionar perjuicios a la compañía.
Por lo dicho anteriormente, me permito aclarar que para demostrar la responsabilidad del del trabajador en una situación de esta índole, se le debe adelantar un proceso disciplinario e investigar con antelación el caso, es decir, primero presentar un informe del caso, luego reportar al área de recursos humanos la novedad para que definan si se abre un proceso disciplinario con descargos que puede terminar en la sanción que la empresa considere de acuerdo al reglamento y como en el mismo este catalogada la falta, paralelo a ello, se puede denunciar penalmente al colaborador por violación a lo estipulado en la Ley 1273 de 2009, que trata la violación de información y de datos".
5. Cuáles son las estadísticas actuales de cibercrimenes en Colombia?
De acuerdo a SIEDCO PLUS de la Policía Nacional durante el año 2019 se presentaron 6.589 denuncias enmarcadas dentro de la Ley 1273 de 2009 y en el año 2020 un total de 11.891, (periodo comprendido el 25 de marzo al 14 de julio de cada año). Este incremento se ve reflejado así:
● 80% de incremento de denuncias por delitos informáticos. 5.302 casos más.
● 436% de incremento en suplantación de sitios web. 1.086 casos más.
● 239% de incremento de interceptación de datos informáticos.
● 140% de aumento en daños informáticos.
● 98% de aumento en transferencia no consentida de activos.
● 108% de incremento en violación de datos personales.
● 82% de incremento en Acceso abusivo a un sistema informático.
● 31% de incremento en Hurto por medios informáticos.
Cifras que son alarmantes puesto que por razones de la pandemia el acceso a internet ha tenido un incremento exponencial, lo que eleva las probabilidades de operación de los cibercriminales, por esto es tan importante tener presente que medidas de seguridad de la información debo implementar a nivel personal, familiar y empresarial.
6. ¿Que buscan los cyber delincuentes en cuentas empresariales?
Cuando un cibercriminal tiene acceso a una cuenta empresarial de manera fraudulenta, este tiene la posibilidad de realizar una perfilación de la empresa a nivel interno, permitiéndole analizar que cuentas poseen ciertos privilegios dentro de la empresa, que información se maneja, como opera la compañía, acceso a secretos profesionales, entre otras.
Otro objetivo que tiene los cibercriminales al tener control de una cuenta empresarial es que esta le permite generar una preparación previa de ataque a los sistemas de seguridad, derivándose posiblemente en un secuestro de información, competencia desleal, materialización de fraudes financieros, suplantación de perfiles empresariales para afectar a terceros en nombre de la compañía, fraudes, etc.
7. ¿Los antivirus existentes son suficientes para evitar estos ataques?
No, como bien sabemos la tecnología avanza diariamente así como la cibercriminalidad, esto no quiere decir que los antivirus no sean efectivos para prevenir ataques informáticos, lo que quiero decir es que si bien los antivirus que hoy en día se les conoce como Anti malware, Anti spam, Anti Ransomware, son solo un mecanismo de defensa complementarios que ayudan a estructurar nuestra seguridad informática.
Por eso al momento de instalar estos antivirus debemos verificar cual necesitamos, quien es fabricante, que soporte nos ofrece en temas de seguridad, lo cual nos lleva a hacer la reflexión de que tan efectivos son los gratuitos y que tan seguros nos sentimos al tener uno de estos.
CONCLUSIÓN
Es mas que claro que junto con la virtualidad y todo este auge del paso al mundo digital tanto las empresas grandes y pequeñas junto con su planta de personal en la implementación del Home Office se configurara un mundo de responsabilidades tanto para el empleador como para el empleado, lo que sin embargo nos llama la atención es que mucha de la responsabilidad recae sobre el empleado en esta modalidad de trabajo pues la normatividad le delega muchas responsabilidades a su cargo en materia de custodia de información, sumado a esto no hay jurisprudencia muy fuerte respecto al tema, lo que sin dudada será una controversia mas adelante a resolver, ¿Quien responde por regla general, en los ciberataques en Home Office? ¿el empleador o el empleado? Opine usted.
コメント