Malas prácticas de ciberseguridad y riesgos en el trabajo

Publicado por ISN el día 13 de mayo de 2024

malas paracticas ciberseguridad

En el entorno empresarial actual desde donde se trabaja conectados a internet desde redes empresariales, redes personales y WIFIs públicas debido a la consolidación del teletrabajo o trabajo híbrido, las ciberamenazas y ataques informáticos no han dejado de aumentar.

Según los últimos datos del INCIBE sobre su balance de ciberseguridad del 2023:

  • Los incidentes de ciberseguridad aumentaron un 24% con respecto al año 2022
  • más de 22.000 han afectado a todo tipo de empresas españolas, sin importar su tamaño o sector.
  • El INCIBE registró más de 183.077 sistemas vulnerables que implican un mayor posibilidad y riesgo de recibir un ciberataque
  •  4.180.840 de dispositivos vulnerables (Puntos de conexión a Internet que han sido detectados como potencialmente expuestos, comprometidos o vulnerables).
  • Deltotal de incidentes el 59% es de riesgo alto o muy alto.

Muchos de estos ciberataques todavía se deben a malas prácticas y desconocimiento por parte de los usuarios. Estos problemas y riesgos aumentan cuando estas imprudencias se realizan en el entorno empresarial ya sea por falta de concienciación de los trabajadores o sistemas informáticos mal gestionados y configurados. Por este motivo, en el siguiente artículo vamos a ver cuales son las malas prácticas que se realizan, tanto en oficinas como en casa y cómo afectan y que riesgos de ciberseguridad existen en el trabajo.

Malas prácticas que comprometen la ciberseguridad en el trabajo

Aunque muchas de estas malas prácticas parecerán lógicas es una realidad que en la gran mayoría de empresas siguen ocurriendo, produciendo brechas de ciberseguridad para los equipos y datos empresariales.

1. Acceso no controlado a datos sensibles

En las empresas es muy común tener servidores compartidos en los que los trabajadores comparten datos importantes con los que realizan su actividad diaria, entre los que puede haber datos sensibles relacionados con cuentas, clientes, facturas, etc. Muchos de estos servidores son accesibles para todos desde la red empresarial o desde servidores en la nube.

A pesar de estar alojados en servidores internos o en la nube a la que se accede autenticado, cualquier acceso no autorizado a ese lugar de almacenamiento podría comprometer los datos.

Para un ciberdelincuente puede llegar a ser bastante sencillo conseguir acceso a esas redes internas o a la nube con diferentes técnicas de ingeniería social o aprovechando vulnerabilidades en los servidores.

Por eso una buena práctica sería una buena configuración y control de accesos, haciendo que cada equipo pueda acceder a los datos o herramientas que necesita y no a todos. Además, es interesante poder proteger los datos sensibles con otra clave y contraseña.

2. Contraseñas débiles

Otra de las malas prácticas más habituales es la utilización de contraseñas débiles, muchas veces asociadas a nombres de correos, fechas, etc. Con ataques de fuerza bruta y diccionarios, los ciberdelincuentes podrían descifrarlas.

3. Ordenadores sin contraseña

En muchas empresas los dispositivos portátiles y ordenadores de sobremesa no tienen una contraseña de acceso, por lo que con encenderlos todos los datos están disponibles. Si un ciberdelincuente consigue, por una vulnerabilidad en un equipo acceder al dispositivo, ya tendría acceso a parte de la red interna y le podría permitir escalar privilegios o robar datos.

4. Ordenadores con perfil de administrador

Es común ver ordenadores con perfiles de administrador que permiten cambiar la configuración del dispositivo, instalar softwares, etc. Esta mala gestión de los permisos es muy peligrosa, puesto que un ciberdelincuente que acceda a un dispositivo con permisos elevados puede comprometer al máximo la seguridad de la empresa.

5. Versiones de software desactualizadas

Otra mala práctica y que se puede convertir en un riesgo de ciberseguridad para las empresas son las versiones de software desactualizadas. Es muy importante mantener los equipos actualizados con las últimas versiones estables, sistemas operativos, softwares de ofimática, programas de diseño, programas de facturación, etc. Muchas de las actualizaciones se centran en mejorar la seguridad de los programas y equipos, así como solucionar vulnerabilidades encontradas. Un ciberdelincuente podría explotar dichas vulnerabilidades para infectar con malwares o entrar a los equipos y robar datos.

6. Uso de dispositivos personales para trabajar:

Es muy común que los trabajadores utilicen sus móviles para consultar el correo y  los ordenadores personales para teletrabajar o realizar acciones puntuales. Los dispositivos personales pueden ser susceptibles de ser atacados por un malware o ataques de Phishing pudiendo conseguir las credenciales o datos de la empresa. Si se quiere trabajar con dispositivos personales es recomendable hacerlo mediante la conexión a una VPN y accediendo a una máquina virtual todo esto bajo el control de un Firewall.

7. Ausencia de políticas de ciberseguridad

Las empresas que no tienen políticas de ciberseguridad, protección de datos y protocolos son las más vulnerables a los ataques, a realizar acciones que puedan comprometer la seguridad de la empresa. Es necesario conocer cuales son los activos y datos más valiosos de la empresa, protegerlos y crear una cultura de ciberseguridad empresarial.

8. Falta de protección contra Malwares

Relacionado con el punto anterior, existen numerosas empresas que a pesar de tener antivirus o firewall las configuraciones y la gestión de los riesgos no se hacen de la manera más eficiente de cara a la ciberseguridad. Es común que en muchas empresas se conformen con un antivirus, pero no utilicen un firewall, no se creen copias de seguridad, se segmenten las redes, etc.

9. Plan de respuesta ante incidentes

Si los dos puntos anteriores no se cumplen, es muy probable que este tampoco. El Plan de respuesta ante incidentes es el conjunto de procedimientos a realizar para detectar, contener y eliminar el riesgo ante una brecha o un ataque de ciberseguridad, así como las medidas necesarias para volver a la actividad con normalidad y en el menor tiempo posible. Este plan más que una recomendación es una obligación.

10. Utilización de cuentas compartidas ya sean de correo o para acceder a softwares o plataformas

Compartir las cuentas entre trabajadores aumenta notablemente el riesgo y el compromiso de los sistemas. Las puertas de entrada de malwares se multiplican por cada persona que tenga acceso a la cuenta y más si estas cuentas almacenan datos importantes ya que cada persona puede ser atacada. Se recomienda hacer una correcta gestión de accesos y privilegios y solicitar los permisos necesarios al responsable antes que compartir cualquier cuenta.

11. Claves propias o de clientes en archivos del ordenador o emails.

Otro riesgo muy común es tener un archivo en el ordenador sin proteger en el que se almacenan las claves de diferentes recursos y accesos. Los ciberdelincuentes podrían buscar este tipo de archivos para conseguir las credenciales. Lo mismo ocurre en el correo electrónico en el que se comparten claves sin encriptar. Se recomienda tener las claves almacenadas de manera segura en gestores de contraseñas o utilizar sistemas de autentificación de doble factor para asegurar la seguridad de las credenciales.

12. Conexiones a redes públicas o domésticas

Conectar dispositivos de trabajo o conectarse a aplicaciones o nubes empresariales desde redes públicas o domésticas sin la correcta protección puede comprometer los datos de la empresa. Estas redes no suelen contar con medidas de seguridad y pueden estar siendo escuchadas por un ciberdelincuente haciendo que vea e incluso que almacene todos los paquetes (información) que se está descargando, utilizando, etc. Como en el punto 6, es recomendable conectarse a las aplicaciones y nubes empresariales mediante una VPN y un firewall que garanticen la protección de la conexión.

13. Uso de dispositivos de almacenamiento externo:

El uso de pendrives o discos duros no es recomendable en redes empresariales. Si este tipo de memorias si se conectan en un ordenador infectado y luego en otro dispositivo de la red, podría quedar infectado y propagarse por todos los equipos. La recomendación es no utilizar este tipo de dispositivos en ningún de los casos y si fuera necesario, recomendamos escanear el pen drive y el equipo antes de conectarlo a cualquier otro equipo.

Recomendaciones que no deben faltar en ninguna empresa para garantizar al máximo posible la ciberseguridad y evitar riesgos en el trabajo

El primer punto más importante es tener una buena conciencia de seguridad y protección ante amenazas en la empresa. Los trabajadores son la primera capa del firewall y debe realizar acciones sin comprometer los datos o sus equipos. Por eso es muy importante la formación y capacitación sobre ciberseguridad empresarial.

Otra recomendación es realizar auditorías, test de penetración y pruebas periódicas para garantizar que las medidas aplicadas funcionan correctamente y que no existen aparentemente fallos o vulnerabilidades en los sistemas.

Para concluir, es fundamental que la propia empresa tenga políticas de seguridad y un plan de respuesta ante incidentes. Si la empresa no es la primera interesada en proteger su información la exposición a ser atacados será muy alta.

¿Quieres proteger los datos de tu empresa y concienciar a tus trabajadores? En ISN somos expertos tanto en el área formativa en materia de ciberseguridad como en la protección de las empresas. Contacta y pide información sin compromiso.

¿Hablamos?

Si necesitas información acerca de nuestros servicios o quieres conocernos en persona, por favor, no dudes en ponerte en contacto con nosotros. Primera visita al cliente sin coste ni compromiso. Estaremos encantados de poder ayudarte.

Contacta con ISN