Home > Blog > 8 acciones peligrosas de los empleados que ponen en peligro la seguridad corporativa

8 acciones peligrosas de los empleados que ponen en peligro la seguridad corporativa

07.02.2024

Volver

Autor: Sergio Luis Bertoni, analista senior de SearchInform

Aproximadamente la mitad de todas las fugas de datos ocurren accidentalmente. Sin embargo, el posible daño causado por las acciones accidentales de los empleados no se limita a la exposición de datos confidenciales. Sergio Bertoni, analista senior de SearchInform, revela errores típicos basados en historias de la vida real.

1. USO DEL CORREO ELECTRÓNICO PRIVADO CON FINES CORPORATIVOS

El uso del correo electrónico privado no es el método más seguro tanto para el envío de documentos corporativos importantes como para la discusión de problemas relacionados con los procesos comerciales. Es un hecho bien conocido que las cuentas de personas famosas o políticos a menudo son descifradas, hay muchas noticias de este tipo publicadas regularmente. Sin embargo, los usuarios comunes también pueden ser víctimas de este tipo de ataques. Los intrusos están muy interesados en el contenido de la correspondencia por correo electrónico, al menos, porque puede ser revendida. Si también se sabe que un usuario guarda algunos datos confidenciales o valiosos, puede convertirse fácilmente en el objetivo de los intrusos.

Por ejemplo, hubo un caso en el que la cuenta de Gmail de un antiguo alto directivo de una gran empresa de telecomunicaciones fue hackeada. Como resultado, además de sus mensajes privados, también se expusieron algunos datos corporativos. Este contenía lo siguiente:

  • Direcciones
  • Problemas con el pasaporte
  • Ofertas comerciales
  • Documentos internos de la empresa y de los socios.

2. APERTURA DE ARCHIVOS ADJUNTOS DE CORREOS DE PHISHING

Aunque el phishing es una técnica muy famosa y popular, sigue siendo extremadamente eficiente. Los usuarios a menudo abren archivos adjuntos maliciosos de correos de phishing. El siguiente caso es ilustrativo en este sentido: cuando los funcionarios del departamento de seguridad de la información de un gran banco enviaron un comunicado por email a los empleados en nombre del director de la empresa, el 80% de los empleados abrieron el correo electrónico. Por lo tanto, después de la simulación, los funcionarios de InfoSec desarrollaron un juego de capacitación especial para los empleados, que tenía como objetivo aumentar la sensibilización de los miembros del personal en materia de seguridad de la información.

Por lo tanto, al revisar su bandeja de entrada, se recomienda encarecidamente estar muy atento y ser escéptico. Siempre dude de los correos electrónicos de remitentes desconocidos, verifique si la empresa para la que el remitente dice que trabaja realmente existe.  Si la carta que te enviaron no es importante y además es sospechosa, ignórala. Si esta carta es potencialmente importante, asegúrese de que un empleado real de la organización le haya enviado la carta. Compruebe si la dirección de correo electrónico es real, si existe o si apunta a un sitio desconocido o a una "sopa de letras". Verifique los números de teléfono y llame solo a los números de teléfono oficiales. Estos números se encuentran en los sitios web de las organizaciones oficiales. Nunca llame a los números de teléfono mencionados en los correos electrónicos de remitentes no verificados. Si los empleados de la organización mencionados en la carta no han enviado el correo electrónico, márcalo como spam.

3. USO DE LOS SERVICIOS PÚBLICOS EN LA NUBE PARA COLABORAR CON OTROS USUARIOS

Los servicios en la nube, los servicios que permiten la colaboración con otros usuarios, así como los correos electrónicos de dominio público son vulnerables en términos de ciberataques. Sin embargo, lo más frecuente es que los usuarios proporcionen acceso a datos confidenciales por sí mismos cuando comparten documentos confidenciales importantes a través de servicios, que no deben utilizarse para estos fines. Por ejemplo, cuando comparten documentos a través de redes sociales, servicios gratuitos en la nube, servicios como Trello o GoogleDocs.

4. EXPONER ACCIDENTALMENTE DATOS CONFIDENCIALES

Hay que tener en cuenta que, de hecho, tales errores ocurren mucho más a menudo de lo que uno puede pensar. Normalmente, estos errores son cometidos por:

  • Ponentes, que intentan que su presentación sea más convincente.
  • Comentaristas de los medios de comunicación, que hacen comentarios a los periodistas y se emocionan demasiado durante la conversación.
  • Participantes de conferencias, que dicen demasiado durante las discusiones informales.

Otro canal de fugas de datos, que no es tan obvio, son los trabajos de fin de curso de MBA. Los tutores recomiendan confiar en la experiencia y los datos de la vida real y evitar el discurso teórico abstracto. Es por eso que los estudiantes incluyen algunos datos corporativos confidenciales reales en su trabajo. Obviamente, no hay garantías de que los datos de este trabajo no se expongan en el futuro.

5. ENVÍO DE DATOS CONFIDENCIALES A DESTINATARIOS INCORRECTOS

Otra amenaza típica es que los empleados envíen datos confidenciales a los destinatarios equivocados. Lo más habitual es que esto ocurra por falta de atención o porque un usuario tenía prisa. La situación en la que se requiere responder inmediatamente a un correo electrónico es bastante típica, todos tenemos que enfrentarnos a ella de vez en cuando. Así, un empleado responde a todos o envía la carta a algunos o a todos los usuarios, que tienen el mismo apellido. Por lo tanto, un empleado expone accidentalmente datos confidenciales.

Puedo compartir la historia de nuestro cliente para hacerla más ilustrativa. El contador de la empresa envió accidentalmente una gran cantidad de documentos confidenciales a la persona equivocada. De hecho, lo hizo sin ninguna intención maliciosa. La situación es bastante similar con los documentos en papel. Cuando se utilizan como borradores o no se desechan adecuadamente (cuando simplemente se tiran a la basura, sin ser triturados), también se convierten en un peligroso canal de fuga de datos.

6. LOS USUARIOS DESCUIDAN GARANTIZAR LA SEGURIDAD DE LAS CREDENCIALES DE LA CUENTA

Los empleados olvidadizos dejan algunos recordatorios, que contienen credenciales de cuentas en áreas, donde pueden ser fácilmente obtenidos por terceros. La mayoría de las veces, estos recordatorios se pueden encontrar debajo del teclado, en el bloc de notas sobre la mesa o en una pegatina pegada al monitor. Otro problema muy extendido es que muy a menudo los empleados no extraen los tokens de seguridad del USB.

Un caso bastante exótico de exposición de credenciales ocurrió en 2015, cuando un empleado del canal TV5Monde expuso accidentalmente la contraseña de YouTube. Irónicamente, esto sucedió en vivo, cuando un reportero estaba contando sobre un ataque de crack, experimentado por TV5Monde. El problema fue que se difundió la imagen de una lista de papel con la contraseña. Por supuesto, los crackers no dudaron en aprovechar esta oportunidad una vez más.

7. USO DE CONTRASEÑAS CORPORATIVAS POCO FIABLES EN RECURSOS EXTERNOS

Si un usuario quiere seguir todas las recomendaciones de seguridad, debe tener en cuenta al menos unas pocas docenas de contraseñas resistentes a las criptomonedas. Además, de acuerdo con los requisitos de seguridad de la información, dichas contraseñas también deben cambiarse una vez al mes. Es bastante fácil entender que, debido a tal frecuencia, los usuarios a menudo actualizan la contraseña simplemente agregándole un nuevo símbolo (por ejemplo, qwertyuiop, qwertyuiop1,  qwertyuiop2). En algunos casos, en lugar de hacer que una contraseña sea más segura, los usuarios, y viceversa, la debilitan. Con el fin de adaptar los requisitos de seguridad a las circunstancias de la vida real, se puede utilizar una aplicación especial para mantener una contraseña.

8. EXPOSICIÓN DE DATOS CONFIDENCIALES EN REDES SOCIALES

La voluntad de llamar la atención en las redes sociales supone serias amenazas para la seguridad corporativa. Son numerosos los casos en los que los empleados publican selfies, tomadas en zonas restringidas, fotos de pizarras con algunos datos confidenciales, etc. en recursos como YouTube, LinkedIn o en otras redes sociales.  La lista de formas en las que los datos corporativos pueden manejarse descuidadamente es larga. Es muy importante no convertirse en el responsable de un incidente de este tipo. Es importante capacitar a los empleados en políticas de seguridad y cumplimiento legal. Por supuesto, esto no siempre resuelve el problema y se producen incidentes de seguridad de la información. El uso de un software de protección especial (desde antivirus hasta sistemas DLP y filtros de contenido) es la forma eficaz de evitar incidentes como el envío de datos al destinatario equivocado o la apertura de un archivo malicioso. La alfabetización informática y la atención son medidas muy importantes que ayudan a proteger a una organización contra un gran número de problemas corporativos y personales.

Puede utilizar los productos de SearchInform para proporcionar una protección completa contra las amenazas internas en todos los niveles de los sistemas de información corporativos. Siga el enlace para obtener un período de prueba, es gratis durante los primeros 30 días.


Empleados DLP Evaluación de riesgos Gestión de riesgos

Suscríbase para recibir las novedades y conocer las tendencias del sector. Recibirá consejos sobre como afrontar las fugas de los datos y a los ciberdelincuentes.
© 2024 SearchInform LTD
Todos los derechos reservados.
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario y para mejorar el rendimiento. Si continúa navegando, está dando su consentimiento para la aceptación de nuestra política de cookies, siga el enlace para mayor información.
OK
POLÍTICA DE COOKIES