Actualmente, con el incremento de personas que han de teletrabajar, se han activado para todos aquellos procedimientos minoritarios y esto provoca un aumento considerable de la probabilidad de pérdida o robo de datos. Por tanto, no se debería generalizar el teletrabajo sin un diseño que adecue y mejore la ciberseguridad de la organización, con el objetivo de proteger todas aquellas personas que no disponen de tantas destrezas informáticas.

 

Desgraciadamente las prisas que se produjeron durante marzo de 2020 no permitieron una planificación adecuada y, en muchos casos, se tuvieron que abrir precipitadamente los accesos remotos a todo aquel que lo necesitaba.

 

 

Estos mecanismos arriesgados suelen ser dos fórmulas bien conocidas en el ámbito de las TIC. Y que siempre se intentan mejorar con medidas de seguridad adicionales.

 

La primera, mediante el acceso por escritorio remoto a los ordenadores de los puestos de trabajo. Un mecanismo que ya es reconocido como insuficiente para garantizar la confidencialidad de la información, y que sigue siendo uno de los sistemas más débiles y de los que la ciberdelincuencia se aprovecha continuamente.

 

Uno de los ciberataques más conocidos sufridos por este método de escritorios remotos, y que provocó graves consecuencias, fue el del servidor de correo personal de Hillary Clinton. El servidor sufrió una fuga de información cuando era Secretaria de Estado de Estados Unidos y dejó al descubierto el contenido de los correos electrónicos personales y profesionales.

 

La segunda, mediante la utilización de redes privadas virtuales (conocidas como VPN) que sólo utilicen un usuario y contraseña para autorizar un intento de conexión.

 

A pesar de que el uso de las VPN implica un cifrado seguro de las comunicaciones, el problema reside en el uso exclusivo de la contraseña como método de autenticación.

 

Desde hace años, muchísimas empresas (algunas de ellas líderes de Internet, como por ejemplo Linkedin, Twitter o Yahoo) han sufrido violaciones de seguridad que han dejado accesibles las claves de cientos de millones de personas. Estas bases de datos son utilizadas recurrentemente por el cibercrimen porque les permite probar accesos remotos, a los puestos de trabajo de las personas, conociendo los tipos de contraseñas utilizadas en el pasado. Uno de los casos recientes, y más ilustrativos, es lo que ha afectado a los laboratorios británicos que trabajan en la búsqueda de la vacuna de la Covidien-19.

 

 

Las incidencias sufridas en el teletrabajo forzoso deben permitir que la ingeniería aprenda unas cuantas lecciones. Es comprensible que las urgencias de marzo de 2020 requirieran configurar los mecanismos que había al alcance de cada entorno. Pero, al mismo tiempo, había que planificar el despliegue de las mejoras adecuadas para garantizar los niveles de seguridad necesarios.

 

Desgraciadamente, se está observando que tras los ciberataques sufridos aquellas primeras soluciones temporales se quedaron como definitivas. Los entornos vulnerables y hackeados han aumentado de forma imprudente.

 

El sector TIC también debe ser autocrítico. Porque la complicidad de la ingeniería al permitir mecanismos de seguridad insuficientes es indispensable. Sea por falta de ascendencia en la toma de decisiones corporativas o bien por falta de conocimientos, se debe asumir la trascendencia profesional de las decisiones de los servicios y suministros TIC. Detrás de cada ciberataque hay errores estratégicas. Las TIC deben dejar de ser vistas como un facility service y incorporarse al core business.

 

Si las empresas integradoras de soluciones TIC por el teletrabajo se opusieran a ofrecer soluciones inseguras se reduciría drásticamente la ventana de oportunidad de la ciberdelincuencia. A largo plazo, cada fuga de información y brecha de seguridad debido a una solución incompleta dilapida todo el trabajo y los esfuerzos anteriores por parte de los proveedores TIC y va en contra del grado de confianza que la sociedad se merece.