6 Riesgos al tener empleados conectados

Por Daniel Flores

Internet ha crecido hasta convertirse en el mayor centro de referencia de información de todo tipo. Al mismo tiempo, se ha vuelto un paraíso de las conductas inadecuadas y los ataques a los sistemas; además representa una desventaja para cualquier compañía que no controle el uso de la red por parte de sus empleados.

Debido a la naturaleza peligrosa de muchas amenazas, el uso de internet hasta de un único empleado no monitoreado en un solo sistema sin control es capaz de devastar la red interna de una compañía, borrar datos críticos y finalmente arruinar la habilidad de la empresa de llevar a cabo sus operaciones.

Es claro que los empleados actualmente confían en internet para realizar el flujo de trabajo cotidiano y que quitar ese acceso provocaría una fácil y grave afectación de la productividad. Debido a ello, las empresas precisan buscar la disminución de las amenazas asociadas con el abuso de internet por parte de los empleados.

= Navegación inapropiada =

Resulta muy difícil y subjetivo definir que es la navegación inapropiada. Lo que un empleado considera apropiado, quizá sea considerado ofensivo o incluso hostil por parte de otro. Un ex Juez de la Suprema Corte de Justicia de USA sustentó en un juicio que la pornografía era difícil de entender pero “la identifico cuando la veo”. Luego se retractó de esa afirmación en un caso posterior, cuando se dio cuenta de que este punto de vista era “simplemente insostenible”. Debido a la subjetividad inherente en determinar que es el contenido ofensivo, muchas empresas restringen el uso de la web sólo a los propósitos de la empresa. Una solución técnica típica involucra la instalación de un dispositivo que permita o bloquee el tráfico a ciertos sitios web según su contenido. Podría decirse que implementar un aparato el cual determine lo apropiado del contenido como parte del control de acceso a internet pasa la carga responsable de la empresa a la firma proveedora de la solución.

En cualquier caso, la navegación inapropiada tal vez perjudique la moral del empleado, así como la productividad. Son necesarias las soluciones técnicas para monitorear y controlar los hábitos de navegación de los empleados para establecer una referencia consistente de lo que se considera “apropiado”.

=Spyware=

El spyware viene en distintas variedades, y es posible usar combinaciones de diferentes tipos de estos intrusos maliciosos en busca de crear lo denominado “amenaza combinada”, se usan diversos tipos de spyware, muchas veces llamados keyloggers, para poner en riesgo la información de y robarse información personal o propiedad de una empresa.

Los keyloggers, monitorean cada teclazo de los usuarios de las computadoras con la esperanza de hallar una serie que resulte ser una contraseña o el número de una tarjeta de crédito. Cuando se identifica una serie de teclazos así, se carga a través de un discreto proceso de fondo a una ubicación central donde es factible recuperarla y utilizarla.

Una vez instalados los keyloggers suelen copiar todos los datos ingresados en la computadora infectada y son parte importante del robo de identidad.

Otros tipos de spyware, también conocido como adware, se utilizan para monitorear los hábitos de navegación en la web de los usuarios a fin de ofrecerles sitios alternativos.

Estas aplicaciones se ejecutan en el fondo y muchas veces se ocupan para mostrar anuncios en ventanas emergentes.

Si alguna vez te ha salido una ventana emergente publicitaria sin que hayas hecho nada en la computadora, es probable que tengas el resultado de una aplicación furtiva de spyware, estos tipos de spyware no necesariamente ponen en riesgo los datos, pero a veces hacen lento un sistema y reducen la productividad del empleado.

= Chat y Messenger =

La mensajería instantánea es una herramienta útil para las comunicaciones entre los empleados, pero también una distracción importante si éstos tienen conversaciones no relacionadas con el trabajo con otros individuos ya sea dentro o fuera de la organización. Es posible imaginarse que los empleados sin acceso supervisado podrían pasar muchísimo tiempo comunicándose con amigos y familiares durante las horas de labor o chateando con otros empleados, lo cual limita su habilidad de ser productivos. También evitarían los controles corporativos internos para la protección de datos, al transferir fuera de la red con facilidad la información delicada. El uso de éstas aplicaciones expone la infección por troyanos incluidos en los archivos que éstas mismas aplicaciones permiten transferir entre usuarios.

Los protocolos que sirven para los mensajeros por la web también son la vía de un tipo de embate conocido como zombie attack. En éste, un agresor utiliza los protocolos para infectar múltiples máquinas con una aplicación bajo el control de una consola central. Mediante esta aplicación, el perpetrador ordena a todos los zombies infectados que efectúen procesos como eliminar información o enviar información confidencial (como cuentas de correo electrónico, cuentas bancarias, contraseñas, etc.) a un sitio determinado. Este tipo de agresión se llama denegación distribuida de servicio (DDoS). En los ataques DDoS cientos de miles de zombies buscan enviar cantidades masivas de datos al sitio infectado a modo de impedir su funcionamiento.

=Phising=

Es una herramienta relativamente nueva de los criminales para guiar a los desprevenidos usuarios del correo electrónico a sitios fraudulentos con el propósito de recuperar información personal. El Phising emplea correos electrónicos diseñados para imitar sitios legítimos como los de los bancos bien conocidos o paginas populares como eBay, Amazon y demás. Estos mensajes electrónicos de apariencia oficial le piden al usuario iniciar su sesión en un sitio web para que ingrese o confirme una solicitud de información.

Cuando el usuario le da clic a la liga del correo, llegan a un sitio que apenas es distinguible del legítimo. Debido a esto el usuario desprevenido no siente peligroso ingresar información personal como las contraseñas de inicio de sesión y la información de las cuentas bancarias.

=Malware=

Es la abreviatura en ingles de Software Malicioso y es un subtipo de Spyware. El termino malware describe todo tipo de software diseñado para dañar un sistema de computo, borrar información o interrumpir el procesamiento normal de la computadora infectada, el Malware tiene muchas clasificaciones, incluida la de virus, gusanos y caballos de Troya, todo esto es software que se baja sin desearlo a la computadora de un empleado al darle clic a la liga de un sitio web.

Los virus y los gusanos son en especial dañinos porque ambos son tipos de software que poseen conductas programadas, cuando un gusano entra en una red, es capaz de hacer dos cosas: primero empieza a duplicarse en otras maquinas desprotegidas de la red interna, por lo general también empieza a procesar su carga, es decir el código que debe ejecutarse en cada máquina infectada, esta carga a veces conlleva la revelación de información de una entidad externa, el borrado de información o el daño ocasionado al sistema operativo.

=Las aplicaciones Peer-to-Peer (P2P)=

Las aplicaciones P2P, se han hecho más populares en los últimos años por que ofrecen a los usuarios una manera fácil y conveniente de compartir archivos, aplicaciones y datos entre muchas otras cosas dentro de sus redes P2P, por desgracia este tipo de aplicaciones se usan muchas veces para compartir contenido con derechos de autor como música o videos, debido a la facilidad de distribución del material una vez que se ha compartido, P2P transfiere con rapidez los datos de un lugar a otro a través de una serie de redes en mallas.

Muchas aplicaciones P2P también se configuran para compartir el disco duro de una persona en Internet, esta característica abre la posibilidad de que los archivos importantes almacenados en la ubicación donde se comparte se pongan al alcance de otros para que los vean y los descarguen.

Esto también hace posible transmitir a grupos externos la información delicada del cliente o de la empresa, lo cual genera problemas legales y financieros capaces de perjudicar gravemente a una organización.