Nos hemos visto obligados a explicar, con algunos ejemplos, la situación de riesgo en la que se encuentran las actuales plataformas de móviles sin ningún tipo de gestión. Estos ejemplos nos ayudan a hacer entender esta situación a perfiles profesionales no técnicos. Por supuesto, hemos contrastado todo el planteamiento con diferentes gabinetes de abogados, en España y a nivel europeo.
Ejemplo 1: Dispositivos móviles no gestionados que disponen de acceso al correo corporativo
Aunque el usuario de la empresa recibe sobre todo el servicio del correo en movilidad de su compañía, la mayoría de las empresas disponen, junto con el correo, del servicio de sincronización de la agenda, tareas, notas y contactos. Un empleado puede realizar la búsqueda de cualquier empleado de la compañía a través de su icono de contactos del móvil. Esa búsqueda le devolverá toda la información del contacto que exista en el ‘directorio corporativo’ de la compañía. Si, por ejemplo, buscamos por ‘Ana’, nos devolverá los contactos de todos aquellos empleados que tienen esa palabra en su nombre o apellidos.
¿Cuál es el riesgo de esta situación? Solo necesitamos atacar a un móvil que disponga de correo corporativo para poder extraer el listado completo de los empleados de la organización. Si ese listado se publica o se vende a algún competidor, infringiremos el reglamento al no haber puesto los medios necesarios para que datos confidenciales de nuestros empleados se hagan públicos. Los datos laborales de los empleados que el propio empleado no tiene publicados, son datos de carácter privado, por lo que su publicación viola la privacidad del empleado. Por supuesto, también hay que considerar el daño que para la compañía supondría la publicación de ese listado.
¿Cómo de fácil es hackear un móvil no gestionado? Existen varias formas, aunque la que nos encontramos más a menudo es muy sencilla para casi cualquier aprendiz a cibercriminal. Técnicamente se llama MiTM (del inglés Man in the Middle). Se trata de simular una red wifi para que el usuario se conecte a Internet a través de esa red. Mientras está conectado a esa wifi, conseguimos las credenciales del usuario para acceder a su correo. Principalmente, conseguimos que el móvil del usuario, aprovechando sus credenciales de acceso al servidor de correo y contactos de la compañía, solicite ese listado de empleados. Empezamos por la A y terminamos por la Z. Empleados cuyo nombre empieza por A hasta los que su nombre empieza por Z. En unos 12 minutos podemos conseguir todos los datos de unos 2.500 empleados. Dependiendo de la información corporativa, no solo dispondremos de nombre, apellidos, email y teléfono, sino también de la dirección postal de su puesto de trabajo, nombre de su responsable, departamento al que pertenece, etc. Y en muchos casos, también podremos conseguir la fotografía del empleado e información de la persona de confianza a la que contactar en caso de que el empleado tenga una incidencia en un viaje.
¿Cuál es la solución? La primera, drástica pero rápida: suprimir el acceso al directorio corporativo. La segunda, limitar la información que contiene el directorio. La solución profesional, gestionar los dispositivos móviles con una solución que detecte, evite y enmiende posibles conexiones MiTM y evite este caso de phishing (del inglés: suplantación de identidad) donde nos hemos hecho pasar por un empleado para sacar los datos el servidor corporativo. Este mismo phishing podemos utilizarlo para enviar correos a otros empleados haciéndonos pasar por esa persona a la que le hemos suplantado la identidad. ¿Abriría un fichero que le enviase otro compañero? Seguro que sí. ¿Qué ocurriría al abrirlo? Aquí tenemos otro tipo de ataque, cada vez más común, gracias a la poca o nula seguridad que disponen los móviles (personales o corporativos) que tienen configurado el correo de la empresa.
Ejemplo 2: Empleados que no aceptan o no admiten llevar instalada la aplicación de gestión de móviles que la empresa ha decidido implementar.
Normalmente, en estos casos siempre se alegan temas de privacidad: “Como usuario, me niego a que alguien pueda controlar remotamente mi móvil. Lo utilizo para temas personales”. Explicamos tres ejemplos que aclaran la situación, tanto desde el punto de vista del usuario como desde el de la empresa:
A.- Si has creado contactos personales en tus contactos del móvil, estos contactos se han sincronizado automáticamente con el servidor central de la compañía. Esto quiere decir que disponemos en la empresa de todos esos datos de contactos que posiblemente no tienen ninguna relación con la compañía”. ¿Cómo explicaremos esto ante una auditoría? ¿Es consciente el empleado de esta situación provocada por su desconocimiento del funcionamiento de las herramientas corporativas sin gestión centralizada?
B.- Uso de whatsapp: Queremos utilizar este ejemplo cuando se alega que “alguien podría ver mi localización GPS con ese software que la empresa me ha instalado”. Si alguien quiere ver tu situación GPS, solo tiene que añadirte a un grupo de WhatsApp y buscar un vídeo que explica paso a paso como ver la situación GPS de todas las personas de ese grupo. Hay muchas otras vulnerabilidades en whatsapp. Estas aplicaciones de gestión de móviles no se instalan para ver dónde están los empleados en su tiempo libre. Hay formas más fáciles y económicas de hacerlo, y serán los ciberdelincuentes los que puedan estar haciendo esto sin que el empleado sea consciente de ello.
C.- Aplicaciones maliciosas: Existen miles de aplicaciones que aparentemente son inofensivas y que están diseñadas para espiar conversaciones, extraer datos, realizar cargos, grabar conversaciones, etc. El usuario piensa que un juego como el “Subway Surfer” o una aplicación como “La linterna molona” son simples apps. Y nada más lejos de la realidad. ¿Cómo sabe el usuario que las apps que instala no son maliciosas? El usuario no dispone de información ni de conocimientos para saber qué aplicaciones son peligrosas y cómo evitar su instalación. Las más modernas soluciones de gestión de móviles y tablets incorporan módulos de detección y remediación de este tipo de aplicaciones maliciosas y otros tipos de ataques o vulnerabilidades que cada día son más frecuentes.
Son muchas las compañías que nos comentan que, al ser un dispositivo del empleado, no se puede instalar ningún tipo de aplicativo de control o gestión de datos corporativos
¿Cuál es la solución? Cuando el empleado entiende que las soluciones de seguridad implementadas por la compañía no tan solo están certificadas para garantizar su privacidad, sino que también le aportarán una capa adicional de seguridad en su terminal, entiendo que el beneficio es para ambas partes: usuario y empresa.
Ejemplo 3: Uso de dispositivos personales (el llamado BYOD) con acceso a datos corporativos como son el correo, los contactos, etc.
Son muchas las compañías que nos comentan que, al ser un dispositivo del empleado, no se puede instalar ningún tipo de aplicativo de control o gestión de datos corporativos. De nuevo, se alegan temas de privacidad del usuario. Pero existen soluciones técnicas y legales a esta situación de inseguridad de los datos corporativos en dispositivos personales. La solución técnica pasa por la creación de un espacio separado para albergar la información y las aplicaciones corporativas. Ese espacio, llamado contenedor empresarial, se aísla del resto de aplicaciones e informaciones personales. Por otro lado, la solución legal la tenemos en el reglamento europeo de protección de datos. El RGPD hace responsable a la empresa de la gestión de cualquier dato corporativo cuya fuga implique un daño a la honorabilidad, a la imagen personal o suponga una violación de la intimidad de un ciudadano europeo. Y deja bien claro que es independiente del propietario del equipo desde el que ese dato ha sido sustraído. Por lo tanto, sea de quien sea el teléfono o tablet, del empleado o de la empresa, es la empresa la responsable de poner los medios necesarios para evitar esa posible fuga de datos. Por lo tanto, si el terminal del empleado no es seguro, no se puede asegurar que los datos que le facilitaremos estén a buen recaudo, puede la empresa negarse a facilitar cualquier dato corporativo en ese dispositivo.
¿Cuál es la solución? Existen plataformas de gestión y ciberseguridad para dispositivos móviles que compatibilizan la privacidad de los datos personales con la seguridad de la información corporativa. El problema de la violación de la privacidad y el robo de información es algo que preocupa tanto al empleado como a la organización. La colaboración y compromiso de ambas partes permitirá que los ciberdelincuentes no puedan dañar ni al empleado ni a la empresa.