Los hackers preocupan cada vez más a las empresas. Lo que muchas compañías parecen obviar es que más de la mitad de las amenazas vienen desde dentro, y se deben a los puntos de fuga de las comunicaciones internas. El uso de tecnologías concebidas para la comunicación personal –como Telegram Skype o WhatsApp– en entornos profesionales multiplica el riesgo de fuga de datos.
"Más del 50% de las fugas de información confidencial se producen por un error originado en el interior de la empresa", advierte el especialista en ciberseguridad de Deloitte, Miguel Pérez-Lucas Villaseca. La seguridad en el almacenaje cada vez es más sofisticada, pero fallan los sistemas de comunicación.
Cifrado para principiantes
Las empresas quieren usar chats. El email no ofrece la inmediatez ni la ubicuidad que exige el teletrabajo. Por eso, muchos directivos acuden a herramientas gratuitas que sus subalternos ya saben manejar. Las preferidas son WhatsApp, Telegram y Skype.
WhatsApp fue el último en cifrar sus mensajes, con lo que solo son visibles para el emisor y el/ los receptores. Skype fue el primero. Y a Telegram se le supone una seguridad algo más robusta con los chats que se autodestruyen, según los expertos.
Desde el momento en que "el usuario no es el dueño de la clave de cifrado", queda en manos del proveedor del chat, a merced de que éste "pueda dejar dichas claves en manos de terceros, lo que implica un riesgo para la privacidad de nuestras comunicaciones por este medio”, asegura el profesional en ciberseguridad de Sophos, Alberto Ruiz Rodas.
Además, las versión web o escritorio de Telegram y WhatsApp no están cifradas: una vez se han abierto en el ordenador, las conversaciones son transparentes para quien sepa un poco de programación.
Llave maestra y acto de fe
Las llamadas backdoor (puertas traseras) por los ingenieros informáticos pueden entenderse también como llaves maestras. "La aplicación implanta un cifrado pero, con una clave maestra, ellos pueden acceder a todas las conversaciones", explica el profesor de ciberseguridad Eduardo Arriols. Por tanto, basta que un hacker acceda a esa clave única para tener acceso a todo.
"Estamos mucho más expuestos al espionaje que a los ataques de hackers”, señala Arriols, profesor del Grado de Ingeniería en Desarrollo de Contenidos Digitales en U-tad. Estas empresas privadas tienen acuerdos con los gobiernos para facilitarles información de sus usuarios si lo piden. Esto significa que hacen backups, es decir, copias de seguridad constantes. La protección confidencial de esos datos es un acto de fe.
El interés de gobiernos y empresas en las comunicaciones personales puede ser limitado. Pero en el ámbito profesional, el "anuncio de una OPA (oferta pública de adquisición), un balance de cuentas de una empresa que dice que está saneada pero no lo está, una patente, prototipos, diseños, etcétera" resulta atractivo de interceptar para la competencia, advierte Ruiz Rodas.
Lo que hay que tener
"La alternativa es la comunicación con un servidor local", aconseja el jefe de cuentas clave de Sophos Vicente Pérez. Sin intermediarios ni nubes que almacenen datos. Skype ofrece este servicio en su versión business, que es de pago. En Cyber Risk Services de Deloitte están de acuerdo: "Si el trabajador necesita un chat, la empresa lo ha de proveer", coincide Pérez-Lucas Villaseca.
Los protocolos más robustos son los que incluyen DLP (Data Lost Prevention) contra las fugas de información, y IRM (Information Rights Management) que define los permisos de acceso de los documentos una vez compartidos con otros usuarios. Sumado a un sistema de alertas, el directivo podrá controlar quién accede a qué contenido.
"No somos la NASA"
Muchos empresarios cuestionan para qué necesitan un sistema de comunicación con seguridad profesional. “No somos la NASA", suelen escuchar los profesionales de Sophos. Pero desde el momento en que una empresa posee material de interés para otros, debe protegerse.
Sin embargo, es "importante que la información esté cifrada pero que la forma de trabajar del usuario no se vea afectada, porque, si no, deja de ser efectiva”, apunta Ruiz Rodas. Cada empresa ha de encontrar el programa que más se ajusta a sus necesidades de comodidad y seguridad.