PUBLICIDAD
PUBLICIDAD

Cómo debemos proteger nuestra información cuando trabajamos desde casa

Felipe Herrera explica en su columna las medidas que hay que tomar para hacer teletrabajo desde casa de un modo seguro.
|

Las estafas, el robo de credenciales mediante “phishing” y los ficheros maliciosos son los ciberdelitos más frecuentes desde que se decretó el estado de alarma, según se recoge en un análisis realizado por la Oficina de Coordinación Cibernética del Ministerio del Interior.

Asimismo, del último estudio de la compañía de seguridad informática Bitdefender (ciberamenazas durante los meses de marzo y abril), se desprende que España está entre los seis países en todo el mundo que más ciberataques recibe, por detrás de Estados Unidos, Italia, Reino Unido, Sudáfrica y Canadá.

Es decir, que la actividad maliciosa se desarrolló principalmente en los países que están más afectados por la pandemia y, habitualmente, a través de temáticas vinculadas a información sobre el COVID-19, ofertas de suministros, de equipos de protección individual o de donaciones para la Organización Mundial de la Salud u otras organizaciones de ayuda y ONG, entre otras cosas.

Por tanto, estas amenazas están aprovechando el interés que las personas tienen sobre el COVID-19, buscando los presuntos criminales los mejores métodos para aprovecharse de la adopción masiva del teletrabajo, donde numerosos recursos y servicios quedan expuestos.

PUBLICIDAD
PUBLICIDAD

EL CÓDIGO PENAL NO DEFINE LO QUE ES UN “CIBERDELITO”

Dicho esto, ¿qué debemos entender por ciberdelito y cómo debemos proteger nuestra información cuando trabajamos desde casa?

El Código Penal no define qué es un “ciberdelito”, aún así, podemos extraer una correcta definición del diccionario del español jurídico donde se expresa que un ciberdelito o delito informático es aquella infracción penal cometida utilizando un medio o un instrumento informático. 

De ese modo, debemos entender el delito informático como aquella acción antijurídica y culpable que se da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios electrónicos y redes de internet.

O lo que es lo mismo, estamos ante una actividad delictiva que va dirigida contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos.

PUBLICIDAD

De entre los muchos ciberdelitos, nos detendremos a profundizar sobre el “phishing”, ya que debido al COVID-19 se ha vuelto muy popular y es bastante común encontrarlo cuando teletrabajamos.

Trabajar con seguridad desde casa requiere tomar las medidas que el joven jurista Felipe Herrera enumera en esta columna.

“PHISING” O “PESCA ON LINE”

El “phishing” consiste en el robo de datos mediante la técnica de la “pesca on line”, que permite el libre acceso a los mismos y a las cuentas del afectado sin su consentimiento.

De esta forma, es un delito que se encuentra recogido en el apartado segundo del artículo 248 de nuestro Código Penal, que introduce lo que en términos coloquiales se puede llamar como estafa informática: “También se considerarán reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero”.

PUBLICIDAD

Dentro de la misma, se incluye el “phishing”, es decir, aquella estafa basada en técnicas de ingeniería social, la utilización de código malicioso o la combinación de las dos anteriores.

El delincuente, haciéndose pasar por alguna empresa o institución de confianza, y utilizando la tecnología, trata de embaucar a la víctima para que le proporcione información confidencial que, posteriormente, será utilizada para conseguir el desplazamiento de cualquier activo patrimonial.

PUBLICIDAD

Además, los artículos 250 y 251 de nuestro Código Penal condenan este tipo de estafas informáticas con penas de prisión que pueden ascender hasta a seis años en los casos más graves debiendo tenerse en cuenta, para la imposición de la pena, elementos tales como el perjuicio patrimonial causado por el “phishing”  o los medios utilizados por el ciberdelincuente para cometer la estafa, entre otros.

Por ese motivo, habiendo sido víctimas de un “phishing”, no debemos dudar en acudir a la autoridad competente (juzgados de instrucción o policía) a fin de interponer la correspondiente denuncia para que, tras la oportuna investigación, se inicie el procedimiento penal que juzgue los actos ilícitos cometidos por el ciberdelincuente.

PROTEGER NUESTRA INFORMACIÓN 

Llegados a este punto y antes de pasar a explicar cómo debemos proteger nuestra información de los posibles ataques cuando trabajamos desde casa, resulta esencial recordar que la obligación de adoptar medidas de seguridad para proteger determinada información es una obligación legal y no decae por el hecho de que las circunstancias motivadas por el coronavirus no sean las habituales.

PUBLICIDAD

En este sentido, quien ha hecho una mejor referencia a la “seguridad de los datos” ha sido el Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

A través de su artículo 5. f) establece que los datos personales deben ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (‘integridad y confidencialidad’).”

Asimismo, en su artículo 32 establece que “teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.”

Por tanto, de lo anterior podemos extraer el deber de asegurarnos el cumplimiento de una serie de mínimos que garanticen la seguridad de la información.

Dicho esto, y como bien indica mi compañero y experto en derecho penal y ciberseguridad Alberto F. Bonet, las recomendaciones sobre la seguridad de la información desde casa, podemos dividirlas en 3 grandes grupos: Dispositivos, Conexión y Personas.

CÓMO HACERLO 

En primer lugar, un dispositivo de trabajo debería ser personal e intransferible, es decir, o tiene capacidad para hacer particiones absolutamente seguras o no debe ser usado por nadie que no sea el titular para el desempeño de su labor profesional.

Del mismo modo, es imprescindible tomar medidas de seguridad físicas como que no quede al alcance de otros, que no se pierda de vista en ningún momento, que esté en un lugar seguro y que si tenemos que irnos o dejarlo temporalmente, se quede con la sesión/tarea cerrada.

En cuanto a su acceso, siempre debe requerir al menos un sistema de autenticación, ya sea mediante contraseña (no, no vale 123456), ID card o biometría.

Por otro lado, si es un dispositivo de trabajo o que va a dedicarse al trabajo, deberíamos limitar los accesos, descargas, instalaciones, copias o transferencias de archivos que hagamos en relación a actividades no profesionales, para que nunca contenga nada de procedencia incierta.

Además, debe tener medidas de seguridad imprescindibles como firewall y antivirus y todo debidamente actualizado (por ejemplo, sistema, programas, herramientas, plugins, complementos).

Finalmente, debemos comprobar y valorar si tenemos herramientas de cifrado de la información y regularmente debemos realizar copias de seguridad para que la información y archivos importantes estén respaldados en otro dispositivo o arquitectura.

En segundo lugar, en cuanto a las conexiones, debemos tener en cuenta varias cuestiones.

Lo primordial es tener una conexión wifi segura.

Es cierto que la mayoría de los sistemas wifi actuales tienen una protección correcta de serie pero la experiencia demuestra que muchos usuarios no actualizan la contraseña o la modifican para hacerla fácilmente recordable y accesible a otros miembros del entorno.

De esta manera, la conexión wifi es más insegura, lo que supone que cualquier persona cercana puede espiar su tráfico.

Para evitar esta problemática sería aconsejable:

  1. Cambiar el nombre de la red ya que en su mayoría está relacionado con el proveedor de servicios que tengamos contratado, lo cual indudablemente proporciona información innecesaria sobre el operador de internet y nuestro modelo de router.
  2. Cambiar la contraseña que se nos proporciona por defecto aunque a primera vista parezca segura. Eso si, no la cambiemos por una menos robusta, recuerda que debe tener cierta longitud y utilizar combinaciones de mayúsculas, minúsculas, números y caracteres especiales.
  3. Asegurarnos de que el router está configurado con cifrado WPA3 y no con modalidades desfasadas y que han demostrado ser inseguras como WEP, WPA o WPA2.
  4. Incluyamos y filtremos en la configuración del router las direcciones MAC (identificador único de cada dispositivo) que tendrán acceso a Internet.
  5. Verifiquemos que no está activada la administración remota y que el software y firmware se actualizan con regularidad.

Por otro lado, debemos tener en cuenta que muy posiblemente a esa red Wi-Fi tendrán acceso otros dispositivos del hogar, ya sean de aquellos con los que convivimos o de determinados aparatos.

En este sentido, lo ideal sería auditar y asegurarnos de que el resto de dispositivos del entorno doméstico cumplen las mismas medidas de seguridad que aplicamos nosotros antes de conectar los dispositivos de trabajo.

LO MEJOR, TENER UNA RED PRIVADA VIRTUAL 

Si bien, siendo conscientes de la dificultad que entraña verificar la seguridad y correcto uso de dispositivos que nos son ajenos, quizás la mejor opción es establecer para nuestro dispositivo una red privada virtual.

Las Redes Privadas Virtuales o VPN (Virtual Private Network) son herramientas que nos posibilitan la creación -como su propio nombre indica- de una red privada. Es decir, menos expuesta a intrusiones.

De esta manera, cualquier conexión quedará restringida a quien esté autorizado y la transmisión será cifrada, otorgando al usuario mayor confidencialidad y seguridad.

A pesar de ello, debemos tener en cuenta que hay distintas modalidades de VPN y que algunas se adaptarán mejor que otras a nuestros propósitos.

Asimismo, su utilización tiene un coste económico y en general ralentizan la velocidad de la comunicación.

Finalmente, desde el punto de vista de la empresa, sería conveniente que sólo se permita acceso a la red interna de la organización a aquellos dispositivos que sean de su propiedad o que hayan sido debidamente identificados, autenticados y auditados.

Del mismo modo, aunque pueda ser algo más complejo de implementar, la autenticación multifactor (MFA) con un token de hardware que identifique inequívocamente cada dispositivo, así como el uso de máquinas virtuales que generen un entorno controlado pueden ser soluciones superiores a largo plazo.

Por último, y respecto a las personas, ninguna medida de seguridad funciona si aquellas que deben aplicarlas no son conocedoras de las mismas.

Para ello, lo ideal es que desde el primer momento se dé formación a todo el personal sobre qué medidas se deben aplicar y cómo.

Posteriormente con carácter periódico debe revisarse qué está haciéndose, qué debe modificarse y cuáles son los riesgos actuales que se detectan.

En nuestro contexto actual se han incrementado los “phishings” relacionados con el COVID-19. Por ello deben vigilarse los emails sobre el tema, en especial si piden abrir enlaces o archivos.

Del mismo modo, hay que establecer un procedimiento claro a seguir en caso de incidente de seguridad.

En conclusión, debemos cumplir con una serie de mínimos (por ejemplo, accesos limitados a dispositivos de trabajo, hacer copias de seguridad, una wifi segura o un software actualizado), que garanticen la seguridad de la información de nuestra empresa con independencia del lugar desde el que trabajamos.