Estudio sobre la ciberseguridad en el teletrabajo

La ciberseguridad en el teletrabajo puesta a prueba por el coronavirus

El coronavirus ha obligado a empleados de pequeñas y medianas empresas (pymes) a trabajar a distancia, escenario para el que casi la mitad de ellas no estaban preparadas. Esta situación ha supuesto varios retos, desde adquirir las herramientas necesarias y aprender a utilizarlas hasta acostumbrarse a las nuevas formas de comunicación con compañeros y clientes.

Otro desafío sustancial al que se enfrentan las organizaciones es la ciberseguridad en el teletrabajo. Actualmente es clave que los trabajadores sigan buenas prácticas y tengan herramientas especializadas sobre este tema. Por este motivo, Capterra ha efectuado una encuesta* para conocer si los empleados de pymes que realizan trabajo remoto están preparados en seguridad informática. No está de más recordar que en estos momentos son un jugoso objetivo para los cibercriminales.

La selección de participantes para este estudio está compuesta por empleados que normalmente trabajan en una oficina y ahora se ven forzados a trabajar desde casa, empleados que previamente ya hacían teletrabajo algún día de la semana y empleados que siempre han teletrabajado a tiempo completo.

Puntos destacados del estudio
  • Solo el 43 % de los empleados tiene un antivirus instalado
  • Solo el 30 % de los empleados tiene una VPN instalada
  • Solo el 38 % de los empleados utiliza un administrador de contraseñas
  • El 38 % de los empleados ha sido víctima de phishing
  • El 26 % de los empleados no ha tenido ningún tipo de formación en ciberseguridad

Escaso uso de herramientas esenciales como antivirus o VPN

La encuesta presenta porcentajes muy bajos en el uso de tecnología o de buenos hábitos. Ninguna de las principales medidas de ciberseguridad en el teletrabajo que realizan los encuestados llega al 50 % de implementación en la pymes.

Principales medidas de ciberseguridad en el teletrabajo
La gráfica presenta los porcentajes que cada respuesta tuvo con respecto al número de participantes.

Únicamente un 43 % respondió que tiene un antivirus instalado. Es alarmante que solo este porcentaje utilice esta tecnología, la cual no es nueva ni desconocida y hoy en día es una herramienta indispensable para protegerse de la variedad de virus existentes y de las formas en que se accede a los sistemas de los ordenadores.

Otro dato preocupante es que solamente un 30 % utiliza un software VPN, tecnología altamente recomendable para trabajar a distancia, ya que protege los datos que se transmiten en internet por medio de una conexión cifrada y segura.

Los números de las demás medidas de seguridad más utilizadas también son bajos, solo un 36 % tiene instalado un cortafuegos y apenas un 35 % sigue instrucciones de la política de administración de contraseñas de la empresa. 

En general, el comportamiento y uso de herramientas de protección es muy bajo si se tiene en cuenta que las pymes están inmersas en el proceso de digitalización y que la seguridad de datos e información es un foco de interés para estas organizaciones.

La gestión de contraseñas debe mejorar

Malos hábitos en diseño y cuidado de contraseñas pueden traer consecuencias graves

La encuesta indica que un 70 % de los participantes usa software y plataformas en la nube (parcial o totalmente). Esto sugiere que la cantidad de credenciales de acceso que tiene un empleado es considerable y por lo tanto un administrador de contraseñas es la óptima herramienta para gestionar los accesos de manera segura. Esto no es el caso en la mayoría de las pymes españolas.

Principales hábitos de gestión de contraseñas en pymes
La gráfica presenta los porcentajes que cada respuesta tuvo con respecto al número de participantes.

Un porcentaje muy bajo, únicamente el 38 %, utiliza un administrador de contraseñas. En otras palabras, menos de la mitad de las pymes han implementado u obligado el uso de esta herramienta, que protege las contraseñas y ayuda a tener una diferente para cada servicio o plataforma. Esta medida dificulta que un hacker acceda a todas las cuentas si logra descifrar alguna.

Cabe resaltar que las dos siguientes maneras de gestionar las contraseñas no son métodos recomendables: usar la memoria (30 %) y apuntarlo en una hoja (24 %). Son hábitos que implican riesgos, como no poder recordarla o extraviar el papel.

También es preocupante que un 20 % de los participantes comparta las contraseñas con los compañeros. Esto no sólo comprende el peligro de que si un trabajador es hackeado se obtiene acceso a las contraseñas de sus compañeros, sino también abre la posibilidad de riesgo interno, en caso de que la brecha de seguridad surja desde la misma empresa (por ejemplo, el robo de datos por parte de un empleado).

Para evitar esto, la empresa debe diseñar y aplicar una política de gestión de contraseñas, en la cual se indiquen las herramientas y prácticas a seguir por los trabajadores. 

Impulsar la cultura de varias contraseñas y cambiarlas regularmente

Tener varias contraseñas es recomendable para la ciberseguridad en el teletrabajo ya que si hackean la cuenta de un empleado, al menos el criminal no tiene acceso a otras credenciales de la víctima y el daño causado es mucho menor.

Cuántas contraseñas usas para teletrabajar

El estudio de Capterra muestra qué sólo el 41 % de los encuestados no tiene una única contraseña, un porcentaje aceptable pero que debería aumentar. Las pymes deben impulsar el uso de usar varias contraseñas, gestionadas todas ellas a través de un administrador.

Se aconseja cambiar la contraseña regularmente, incluso si es compleja. En este punto, los empleados sí son conscientes de ello. Del segmento que tiene una o varias contraseñas principales, la mayoría lo hace.

Cada cuanto cambian los empleados la contraseña principal

Se recomienda que las contraseñas se cambien al menos una vez cada seis meses y máximo en un año, rango que cumple el 91 % del segmento mencionado previamente.

Dato curioso: el 7 % de los teletrabajadores actualmente utiliza palabrotas o tacos como contraseñas.

Evitar el fraude phishing sigue siendo un reto

El phishing (de la palabra pescar en inglés) es uno de los métodos más comunes que utilizan los cibercriminales para obtener datos valiosos de la víctima. Consiste en enviar un email que aparenta ser de otra persona o empresa para que el receptor revele información privada, como una contraseña, datos bancarios o detalles confidenciales de la organización. Una estrategia criminal que ha sacado partido del coronavirus.

El balance que presenta la encuesta sobre este tema tampoco es bueno. A pesar de que poco más de la mitad de los participantes no han sido víctimas de un ataque de este tipo, el resto del segmento sí o no lo sabe, un porcentaje muy alto para estar fuera de control.

¿Cuántos empleados han sido víctimas de email phishing?

Esto indica que información privada y delicada ha estado en riesgo en un 36 % de las empresas, y posiblemente en otro 8 %. Esto suma un considerable 44 % de vulnerabilidad de las pymes frente al phishing.

Formar a los empleados en reconocimiento de emails de phishing debe ser una obligación para las pymes, ya que es muy común y se disfraza de muchas maneras. Una brecha de seguridad puede causar un daño irreversible a una organización de este tamaño, puede tanto destruir su reputación como llevarla a la bancarrota.

Temporada de hacer phishing con el coronavirus como cebo

La COVID-19 es una excusa perfecta para alarmar a una persona y hacer que abra un email malicioso. Más de la mitad de las víctimas de phishing desde el inicio del confinamiento (55%) han sido engañadas con temas relacionados con el coronavirus.

De este mismo segmento, las víctimas de phishing después del inicio de la cuarentena, más de la mitad (58 %) son empleados que normalmente trabajan en oficina y ahora están forzados a teletrabajar. 

Indispensable la formación en ciberseguridad pero también lo es saber a quién contactar en caso de duda o emergencia

Que los empleados estén formados no quiere decir que sean expertos en ciberseguridad por lo tanto, saber a quién contactar en caso de duda o emergencia es igual de imprescindible.

Formación de empleados en ciberseguridad en el teletrabajo
La gráfica presenta los porcentajes que cada respuesta tuvo con respecto al número de participantes.

El hecho de que un 26 % no haya tenido ningún tipo de formación conlleva un alto riesgo para las pymes. Estos empleados son los más vulnerables y pueden poner en peligro información de la empresa. Trabajar a distancia no impide realizar este tipo de cursos ya que se puede hacer de manera online, el principal método de adiestramiento para este tema, como lo indican los resultados del estudio.

Aún así, no siempre se puede evitar un ataque o ser engañado. Por lo que en caso de duda o de darse cuenta de que un ciberataque está en marcha es obligatorio reportar la situación a la persona o departamento especializado.

Un dato positivo es que el 76 % de las pymes tiene a alguien dedicado a la ciberseguridad, aunque realmente debería ser así en todas, pero sólo el 56 % de los empleados sabe a quién contactar.

Especialista en ciberseguridad en las pymes

Por lo tanto, un 44 % de empleados no cuenta con apoyo inmediato en caso de emergencia o duda, ya sea por no existir un experto en la organización o que se pierda tiempo averiguando el contacto de esta persona. En un ciberataque, el tiempo es un elemento muy importante, una respuesta rápida puede frenarlo y lograr que los daños sean mínimos o nulos; al contrario, actuar tarde puede ser fatal, ya que en poco tiempo se puede secuestrar, robar o borrar la información del sistema. 

El exámen del coronavirus deja en mal balance la ciberseguridad en el teletrabajo

La encuesta diseñada para conocer la situación de los empleados que están trabajando a distancia durante el coronavirus expone un resultado negativo sobre los procedimientos de ciberseguridad en las pymes españolas. Las organizaciones y sus empleados son conscientes de la seguridad de datos pero no están preparados como deberían para evitar o minimizar al máximo posible un ciberataque. 

En general, hace falta instaurar la formación en ciberseguridad en las pymes. Pocos de los datos expuestos en el estudio sobre buenas prácticas superan el 50 % y ninguno llega siquiera al 60 %. Esto denota, grosso modo, un 40 % de falta de uso de tecnología y hábitos eficaces de protección informática.

Las organizaciones deben hacer énfasis en la educación de empleados para reconocer estrategias comunes de hackers, como en el phishing, además de informar a quién dirigirse en caso de urgencia informática. También es recomendable tener una política de gestión de contraseñas e instruir a los empleados en el diseño y administración de las mismas. 

Actualmente, también es esencial que las empresas tengan, al menos, un experto en ciberseguridad, que se encargue desde la implantación de protocolos, software y buenas prácticas hasta la respuesta y acciones correctas en caso de un ataque.

El aislamiento social en el que está inmerso el mundo ha incrementado el uso de canales de comunicación en internet, exponiendo datos sensibles a ciberataques. Proteger las transferencia de datos, el acceso al ordenador y a las plataformas o servicios son actividades que deben considerar como obligatorias las empresas y sus empleados. Para ello existe una variedad de herramientas pero también hace falta cambiar la cultura de la ciberseguridad, comprender que en esta realidad hiperconectada, saberse proteger digitalmente es fundamental para el negocio y es una tarea que se debe llevar a cabo diariamente.

* Metodología de la encuesta: para recopilar los datos de este informe hemos llevado a cabo una encuesta en línea. Las respuestas provienen de una muestra del mercado español. El cuestionario se envió a 544 personas, entre las que se seleccionaron 507 para participar. Los participantes cualificados están empleados (a jornada completa o parcial) en pequeñas y medianas empresas (pymes), trabajan en diferentes sectores de la industria y actualmente están teletrabajando de manera obligatoria debido al estado de alarma en España.