Young Asian woman logging in to her laptop and holding smartphone on hand with a security key lock icon on the screen, sitting in the living room at cozy home. Privacy protection, internet and mobile security concept
El modelo de trabajo híbrido que irrumpió con la pandemia ha terminado por cuajar; sin embargo, las compañías que apuestan por este nuevo paradigma han experimentado como la ciberseguridad se ha convertido en parte inherente de su actividad. Así ha impactado.
La pandemia desatada tres años atrás por la Covid-19 sumió a las organizaciones en un constante estado de metamorfosis. Desde entonces, una nueva realidad se asentó en el escenario corporativo transformando radicalmente el paradigma, los métodos y protocolos que habían servido durante años. Fruto de este proceso de transformación se popularizó el trabajo híbrido, una nueva modalidad que trasladó la actividad profesional de un sinfín de trabajadores a la intimidad de sus hogares. Con él también irrumpieron nuevos desafíos en materia de ciberseguridad, protección de la fuerza laboral y privacidad de datos. Entonces, en un contexto marcado por el auge de las ciberamenazas, la sofisticación de los ataques perpetrados por los ciberdelincuentes y el aumento exponencial de nuevas técnicas, las organizaciones hubieron de tomar cartas en el asunto. Hasta la fecha.
En la actualidad, la ciberseguridad constituye una de las prioridades estratégicas en las agendas de las compañías. De hecho, según vaticina la firma de análisis e investigación Gartner, se estima que el gasto en ciberseguridad crezca por encima del 12% en 2023. Una cifra motivada en gran medida por la consolidación del modelo híbrido de trabajo, la ampliación de la superficie de ataque y la necesidad imperante de establecer una defensa de los sistemas de seguridad. Sobre el impacto del trabajo híbrido en la ciberseguridad arrojan algo de luz Miriam Puente, técnico de Conocimiento y Concienciación para Empresas y Profesionales del Instituto Nacional de Ciberseguridad (INCIBE); Víctor Villagrá, director del máster universitario en Ciberseguridad de la Universidad Politécnica de Madrid (UPM); y los reconocidos analistas de IDG Research Alberto Bellé y Fernando Maldonado. He aquí una radiografía de la escena actual.
La dependencia tecnológica de las organizaciones es, a juicio de Puente, lo que condiciona sus necesidades de seguridad. En este sentido, insiste, no es de extrañar que las empresas que hayan adoptado algún grado de digitalización superior al que tenían antes de instaurar el modelo de trabajo híbrido hayan visto incrementadas sus necesidades de protección cibernética. “Habrán de incorporar a sus análisis de riesgos los cambios en sus procesos de negocio derivados de los nuevos usos de la tecnología, actualizar las políticas de seguridad e impartir formación sobre los riesgos que implica su uso”. Entre los retos a abordar en materia de ciberseguridad en este modelo de trabajo se encuentran: “garantizar conexiones remotas seguras, proteger los dispositivos de teletrabajo, el uso seguro de la nube y de las herramientas colaborativas y la seguridad en movilidad”.
Para Bellé, la implicación más importante en relación al modelo híbrido está vinculada con que “la seguridad entra de lleno en el entorno doméstico del empleado de forma permanente”, algo con lo que coincide Villagrá. El portavoz de la UPM defiende que el mayor reto está en “trasladar el escenario de controles de ciberseguridad que un administrador tiene en su entorno corporativo al entorno del hogar de los empleados en los que no se cumplen muchos de los estándares tradicionales”. Esto, incide, conlleva un “esfuerzo extra” por parte de las compañías para provisionar puestos de trabajo a los empleados con la “complejidad e inversión necesarias” que conlleva escalarlo.
“La dependencia tecnológica no siempre avanza a la par que el conocimiento y las medidas de seguridad necesarias para evitar ciberataques”
Miriam Puente, técnico de Conocimiento y Concienciación para Empresas y Profesionales de INCIBE
Al ser preguntados sobre las principales fuentes de incidentes en el ámbito del trabajo híbrido, los expertos mencionan errores de configuración, redes no seguras, dispositivos infectados en redes corporativas, el acceso remoto a los recursos internos o la falta de formación en la materia. Es Maldonado quien hace especial hincapié en las amenazas como el phishing o los ataques de ingeniería social que “han aumentado su efectividad”. “La inteligencia artificial generativa y el trabajo desde casa han dado a los atacantes nuevas oportunidades para infiltrarse”, comenta. En otras palabras, “los ciberdelincuentes buscan formas de aprovechar las vulnerabilidades del trabajo remoto apoyándose en nuevas herramientas y diseñando sus ataques sabiendo que el empleado no se encuentra en la oficina”.
El grado de madurez digital en materia de seguridad cibernética difiere según su tamaño y contexto, asegura Bellé. “Cada empresa ha evolucionado a su propio ritmo, dado que no todas tienen la misma proporción de empleados que puedan trabajar en remoto”. Siguiendo este mismo hilo, insiste, destacan dos aspectos fundamentales en relación a la madurez. Por un lado, el equilibrio entre seguridad y la experiencia del empleado; por otro, la relevancia de la seguridad cloud. “Las empresas más maduras en ciberseguridad tienen en cuenta que se trata de optimizar los recursos y no de multiplicar el gasto. Es decir, tienen claras las prioridades de seguridad, qué recursos utilizan y dónde es necesario invertir”.
“El modelo de trabajo híbrido se ha consolidado como una realidad y cada empresa debe encontrar su equilibrio óptimo en función de su contexto de negocio y el perfil de sus empleados”
Fernando Maldonado, analista de IDC Research
Sea como fuere, retoma la técnico de INCIBE, “aquellas empresas que hayan decidido adoptar este modelo híbrido de forma total o parcial deberán hacer un repaso exhaustivo de sus medidas de seguridad y estudiar las nuevas necesidades”. Tendrán, además, que “reexaminar sus planes de continuidad de negocio y de recuperación frente a desastres e incidentes, reforzar la gestión del riesgo, así como las capacidades para detectar y frenar ciberataques”. Puente califica de vital importancia el hecho de revisar las políticas relacionadas con los usos tecnológicos que atañen el tratamiento de datos personales para proteger la privacidad de los usuarios, además de las políticas de almacenamiento en la nube o en local, las políticas de teletrabajo, el uso de herramientas colaborativas o las políticas de acceso remoto.
“Los primeros pasos para estar protegido frente a cualquier amenaza son la concienciación y la formación; y es que la dependencia tecnológica no siempre avanza a la par que el conocimiento de la misma y las medidas necesarias para evitar los ciberataques”, dice Puente. Además, la capacitación y la formación implican un esfuerzo continuo, prosigue Bellé. “No es suficiente una iniciativa puntual. El goteo continuo sirve como refuerzo en la mentalidad y permite actualizar las capacidades de forma gradual”, defiende el analista.
No obstante, irrumpe, hay aspectos que requieren “un esfuerzo de comunicación”. En primer lugar menciona la atribución de responsabilidad que se desplaza al empleado: “Si el trabajo se realiza en el entorno doméstico, el empleado es protagonista de su seguridad. Esto supone un cambio en la mentalidad tradicional, es decir, el empleado debe convertirse en un pequeño CISO”. En segundo lugar, comenta, es fácil que se relaje la actitud de alerta en el teletrabajo con el tiempo una vez que los empleados se han familiarizado, por lo que recomienda a las organizaciones permanecer “vigilantes” de que esto no ocurra.
“La capacitación y la formación requieren un esfuerzo continuo, no es suficiente con una iniciativa puntual. El goteo continuo sirve como refuerzo en la mentalidad y permite actualizar las capacidades de forma gradual”
Alberto Bellé, analista de IDC Research
Como bien sabe todo el mundo, dice Puente, “la ciberseguridad al 100% no existe”, “tan importante es invertir en medidas tecnológicas de ciberseguridad como en la capacitación de los empleados”, subraya. A fin de cuentas, “una plantilla formada, consciente de las amenazas y con conocimiento para identificarlas y evitar que se materialicen, o en su defecto saber cómo actuar frente a un incidente de ciberseguridad, será una de las salvaguardas más importantes que pueda haber en una organización”. Con ella coincide el director del máster universitario en Ciberseguridad de la UPM, quien añade además la necesidad de “diseñar y ejecutar auditorías de ciberseguridad para verificar el correcto cumplimiento de los controles. Tener diseñados y desplegados entornos de inteligencia de amenazas para ser capaz de reaccionar de la forma más rápida posible a nuevos ataques es fundamental”.
“El modelo híbrido va a persistir en el futuro de forma mucho más flexible. Deberá ser una posibilidad más del entorno laboral que las compañías podrán elegir para optimizar su productividad sin rigideces”
Víctor Villagrá, director del máster universitario en Ciberseguridad de la UPM
Para Maldonado, el modelo de trabajo híbrido “se ha consolidado como una realidad” en la que cada empresa debe encontrar el “equilibrio óptimo” en función de su contexto de negocio y el perfil de sus empleados. En este nuevo enfoque, destaca, “la seguridad debe ser planeada cuidadosamente y no improvisada”. El analista insiste en que las empresas “necesitan pensar en todas las implicaciones teniendo en cuenta que los riesgos cambian constantemente”. Y aunque es una tarea ardua, esto conlleva “revisar y ajustar la estrategia de seguridad regularme”. El enfoque, considera, debe ser “integral”; es decir, “será necesario abarcar tanto aspectos de seguridad lógicos como los relacionados con la seguridad física”. Esta visión holística es precisamente la que perfila la ciberseguridad como parte inherente de las organizaciones del siglo XXI que apuestan por el ya popular modelo de trabajo híbrido.
Cookie | Duración | Descripción |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
_GRECAPTCHA | 6 months | Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
csrftoken | 1 year | This cookie is associated with Django web development platform for python. Used to help protect the website against Cross-Site Request Forgery attacks |
opt_out | 1 year | This cookie is used for preventing the installation of third party advertiser or other cookies on the browser. |
PHPSESSID | 24 minutes | This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::b | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::f | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
ts | 1 year 1 month | PayPal sets this cookie to enable secure transactions through PayPal. |
usprivacy | 1 year 1 month | This is a consent cookie set by Dailymotion to store the CCPA consent string (mandatory information about an end-user being or not being a California consumer and exercising or not exercising its statutory right). |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wordpress_test_cookie | session | WordPress sets this cookie to determine whether cookies are enabled on the users' browsers. |
Cookie | Duración | Descripción |
---|---|---|
cX_G | 1 year 1 month | Cxense sets this cookie for storing the global ID, mapping different ids together into one ID. |
v1st | 1 year 1 month | The v1st cookie is set by TripAdvisor to collect details about how visitors use the website, by displaying user reviews, awards and information received on the TripAdvisor community. |
yt-player-headers-readable | never | The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience. |
yt-remote-cast-available | session | The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player. |
yt-remote-cast-installed | session | The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-device-id | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-fast-check-period | session | The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos. |
yt-remote-session-app | session | The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player. |
yt-remote-session-name | session | The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video. |
ytidb::LAST_RESULT_ENTRY_KEY | never | The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future. |
Cookie | Duración | Descripción |
---|---|---|
_gat | 1 minute | Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites. |
dmvk | session | The dmvk cookie is set by Dailymotion to record data of visitor behaviour on the website. |
Cookie | Duración | Descripción |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_gid | 1 day | Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously. |
cX_P | 1 year 1 month | Cxense sets this cookie for site-specific user sessions - across sessions. |
Cookie | Duración | Descripción |
---|---|---|
guest_id | 1 year 1 month | Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences. |
test_cookie | 15 minutes | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
yt.innertube::nextId | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
yt.innertube::requests | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
Cookie | Duración | Descripción |
---|---|---|
__cflb | 1 day | This cookie is used by Cloudflare for load balancing. |
_awl | 1 year 1 month | No description available. |
_pcid | 1 year 1 month | Description is currently not available. |
_pctx | 1 year 1 month | Description is currently not available. |
gckp | 1 year | This cookie is set by the provider Cxense. This cookie is used for building user profile information across all sites in the Cxense network. |
itsec-hb-login-27e4caa2b0fb20a2dee118de04e9de77 | 1 hour | Description is currently not available. |
ntvSession | session | Description is currently not available. |