Trabajar desde casa suena como un ambiente seguro y familiar. Pero también hay peligros que acechan en casa. Y sobre todo para las empresas.
Un correo electrónico aparentemente inofensivo de una dirección interna de la empresa, quizás combinado con una solicitud para registrarse en una nueva lista de correo. De hecho, sin embargo, los ciberdelincuentes son los remitentes. Quieren entrar en la red de la empresa de esta manera. Pero hay formas en que puede protegerse de tales ataques en su oficina en casa.
El phishing es particularmente peligroso
La mayoría de los ataques son los llamados phishing, que se deriva del inglés “fishing”. “Por ejemplo, se trata de intentos de atraer a los usuarios a sitios fraudulentos con mensajes, correos electrónicos o SMS falsos”, explica Andy Voß de “Computer Bild”. Los ataques de phishing no siempre son reconocibles de inmediato, incluso para usuarios experimentados o incluso profesionales, y se dirigen cada vez más a los empleados de la empresa que trabajan desde casa.
A pesar de todas las posibilidades técnicas: al final siempre es el usuario el que está en el centro de un ciberataque. “El phishing es una forma de ingeniería social, es decir, un ataque a la vulnerabilidad humana. Las medidas técnicas de protección tienen sentido, pero no pueden prevenir este tipo de ataques”, dice Eikenberg.
No use computadoras privadas
“Los empleados que trabajan desde casa son populares porque son víctimas fáciles. Si bien el administrador de la empresa todavía tiene cierto control sobre las computadoras de trabajo en la empresa, este no suele ser el caso en la oficina central”, dice Ronald Eikenberg de la revista comercial “c’t”. Una empresa es particularmente vulnerable cuando los empleados usan su propia computadora para el trabajo de oficina en casa, que también se usa en forma privada.
“Si el empleado detecta un troyano en casa, puede causar estragos en la red de la empresa a través de la conexión VPN. En el peor de los casos, un clic en falso puede paralizar a toda la empresa”, advierte Eikenberg.
La asociación de la industria de TI, Bitkom, por lo tanto, aconseja dejar fuera las computadoras privadas en la oficina en casa. “Es mejor usar solo los dispositivos de la empresa, en los que, por ejemplo, los derechos de acceso están restringidos y solo los administradores pueden instalar software”, dice Simran Mann, experto en seguridad de TI de Bitkom. Además, también se puede garantizar que las actualizaciones de seguridad necesarias se importen realmente.
También interesante: Estos son los trucos desagradables de los estafadores de phishing
Proteja la computadora de su oficina en casa con un escáner de virus
Si la oficina en casa está infectada, esto no es necesariamente reconocible de inmediato. Uno de los objetivos de los atacantes es pasar desapercibidos el mayor tiempo posible, explica Eikenberg. “Indicaciones de esto son, por ejemplo, redireccionamientos de llamadas a sitios web, la aparición de programas que no ha instalado o un aumento repentino en la carga del sistema”.
Se aplica lo siguiente: solo trabaje con software actualizado y solo con un programa de protección antivirus activo. El Defender integrado en Windows 10 y 11 es suficiente en muchos casos, dice Eikenberg. El correo electrónico sigue siendo la principal puerta de entrada para los ciberdelincuentes.
“Pero ha habido y hay ataques en los que a los empleados se les imponen dispositivos de almacenamiento USB preparados que instalan automáticamente malware cuando se conectan a la computadora portátil de la empresa”, dice Mann, experto en Bitkom. Aquí, sin embargo, el esfuerzo es, por supuesto, mucho mayor.
Mientras que los ataques de correo electrónico solían ser relativamente fáciles de detectar, por ejemplo, a través de un mal alemán en el bloque de texto del correo electrónico, ahora es mucho más difícil. “Algunos de estos correos electrónicos se han investigado de manera muy profesional y exhaustiva, hasta las firmas de correo electrónico de los supuestos remitentes”, advierte Simran Mann. Por supuesto, esto hace que sea aún más difícil protegerse de los ataques en la oficina en casa.
Ante la duda mejor pregunta
“Por supuesto, aquellos que se informan activamente sobre los trucos de los atacantes los reconocen más fácilmente”, dice Voss. Bajo ninguna circunstancia debe abrir archivos adjuntos en correos electrónicos de remitentes desconocidos solo por curiosidad.
Los ciberdelincuentes lo tienen relativamente fácil con las personas que trabajan desde casa porque la comunicación es casi exclusivamente digital. “No hay intercambio personal en privado. La probabilidad es mucho mayor de caer en un correo falso que supuestamente proviene del jefe o administrador”, dice Eikenberg. Si no está seguro, es mejor hacer demasiadas preguntas por teléfono que abrir archivos adjuntos dudosos o seguir instrucciones nebulosas.
Pero no se trata sólo de los empleados. Según la asociación de la industria de TI Bitkom, las empresas también podrían hacer mucho más para que las redes de la empresa sean más seguras. “La seguridad cibernética debe ser una prioridad máxima”, dice Simran Mann, experto en seguridad de TI de Bitkom. “Las empresas deben reconocer que proteger la TI como infraestructura central también cuesta dinero”.
Como pauta, la Oficina Federal para la Seguridad de la Información (BSI, por sus siglas en inglés) recomienda que las empresas utilicen el 20 por ciento de sus gastos de TI para ciberseguridad y seguridad de la información en su informe de situación sobre seguridad de TI. Pero solo el 16 por ciento de las empresas respondió a la crisis de Corona aumentando su presupuesto para seguridad de la información.
Ataques por teléfono
Pero los delincuentes siguen intentando acceder a los ordenadores por teléfono. También se menciona aquí vishing, un neologismo de “voice” (voz) y “phishing”.
Un clásico: los estafadores se hacen pasar por empleados de soporte de Microsoft por teléfono y, por lo tanto, logran repetidamente que las personas instalen software para el mantenimiento remoto. Entonces tienen control total sobre la computadora y acceso a todos los datos.
Andy Voß aconseja colgar este tipo de llamadas de inmediato. Ni Microsoft ni otras empresas de renombre realizan llamadas no solicitadas ni envían simplemente correos electrónicos solicitando información personal. Una de las mejores protecciones contra los ciberataques y la ingeniería social: sentido común y escepticismo.