Los riesgos de usar el móvil en el trabajo

La gran mayoría de los empleados, y seguramente sea usted uno de ellos, practica el BYOD desde que entra por la puerta de la oficina hasta que sale. El acrónimo esconde, como tantos otros, un término en inglés (Bring Your Own Device) empleado para resumir una práctica tan generalizada como la de hacer uso (o abuso) de los dispositivos electrónicos personales en el ámbito laboral.

A golpe de correo electrónico y de whatsapp -meme va, meme viene, mensaje enviado, mensaje recibido- los trabajadores utilizan sus móviles, tabletas y portátiles para realizar comunicaciones privadas pero, también, estrictamente profesionales. Y eso no sólo tiene consecuencias en el rendimiento laboral, sino también una derivada que afecta directamente a la seguridad.

Como recuerdan en el Instituto Nacional de Ciberseguridad (Incibe), al tratarse de dispositivos personales no tienen la configuración de seguridad que la empresa ha aplicado, lo que causa una falta total de control sobre ese aparato.

Entre los riesgos concretos, por ejemplo, está el de un dispositivo personal que tenga documentos de la empresa y que, cuando se conecta a una red externa no segura, podría dar acceso a terceras personas a la información corporativa almacenada.

Junto a ello, instalar aplicaciones con permisos de acceso a diferentes partes del dispositivo (contactos, fotos o archivos) podría dar vía libre a información sensible de la organización en la que se trabaja.

Esta falta de separación entre un campo y otro supone también que dispositivos sin medidas de seguridad, como contraseña, patrón o huella para acceder, puedan permitir acceder a su contenido en caso de robo o extravío. Y, por supuesto, tener activados automatismos como el de “recordar contraseñas” no hace más que allanar el camino a los intrusos.

Esta vulnerabilidad se amplía además a los casos en los que el teléfono o portátil carezca de antivirus o política de actualizaciones, con lo que podría infectarse y convertirse en víctima de ataques y accesos no autorizados.

Por todo ello, el Incibe recomienda a las empresas, entre otras cosas, que defina con el máximo detalle posible las normas y los procedimientos para el uso de aparatos tecnológicos privados, “especificando las condiciones en las que se permite su uso, cómo se accede a la información o la configuración mínima de seguridad necesaria”.

Además, desde este organismo, dependiente del Gobierno, se aconseja limitar las instalaciones de aplicaciones, estableciendo una lista de las que no se podrá hacer uso, así prohibir el uso de dispositivos manipulados (jailbreak o ruteado) que permiten la instalación de aplicaciones que no provienen de repositorios oficiales.

Asimismo, se propone limitar el acceso a redes desconocidas, indicando que preferentemente se conecten a través de las redes 3G o 4G, y que en ningún caso se permitirán conexiones a través de redes wifi abiertas. Y una vez que el empleado haya abandonado la organización, fijar el proceso que hay que seguir para entregar o eliminar la información de estos dispositivos.

Este tipo de normas de conductas se complementan con otras meramente técnicas, como establecer las medidas de control necesarias para poder acceder a la red corporativa (autenticación, doble factor) o controlar el almacenamiento de datos en la nube, permitiendo consultas de datos pero no la actualización desde dispositivos personales ya que las medidas de protección en sistemascloudpública no son siempre tan seguras como las medidas que se pueden tomar en el ámbito empresarial.

También es conveniente elaborar un registro de los usuarios y dispositivos a los que se permite el acceso, establecer una política de contraseñas robustas (haciendo que se compongan al menos de ocho caracteres, combinando mayúsculas, minúsculas, números y caracteres especiales) o asegurarse de que los dispositivos cuenten con antivirus correctamente actualizado.