Recomendaciones de Seguridad para el Teletrabajo

Ante la pandemia de COVID-19, las organizaciones han implementado mecanismos de teletrabajo para seguir operando. Para muchos colaboradores es una novedad y los expone a nuevos riesgos digitales que pueden ser aprovechados por los atacantes, quienes buscan constantemente diversas formas de comprometer la información personal y empresarial. En una encuesta realizada por la Compañía Apricorn el año 2018 a 100 organizaciones del Reino Unido de más de mil empleados, un 25% de los colaboradores encuestados respondieron que no tenían implementados mecanismos básicos de seguridad como antivirus y 30% no tenía ningún mecanismo de restricción de archivos (Gordon, 2020). Esta situación es similar o inclusive con mayor nivel de inseguridad de acuerdo con la realidad de cada país.

Por esta razón, consideramos que los usuarios que utilizan los dispositivos como PCs, laptops, tablets y teléfonos inteligentes para el teletrabajo deberían seguir los siguientes diez consejos que se describen a continuación: 

1. Consulte si su organización tiene reglas o políticas para el teletrabajo, si es así, asegúrese de cumplirlas. Por ejemplo, puede ser aceptable que use su propia computadora o teléfono inteligente para únicamente leer el correo electrónico de la empresa, pero no para acceder a datos confidenciales de los clientes.
2. Proteja las comunicaciones de su computadora contra escuchas. Si utiliza Wi-Fi (redes inalámbricas) en casa, asegúrese de que su red esté configurada de forma segura. Verifique si está utilizando la seguridad “WPA2” o “WPA3”, y asegúrese que su contraseña sea difícil de adivinar y que esté compuesto por lo menos con 8 caracteres alfanuméricos.
3. Verifique cuidadosamente el correo electrónico y redes sociales. Revise que el remitente sea alguien conocido de la organización y si es posible, verifíquelo por otro medio. Solo revise información en redes sociales en fuentes oficiales. Los atacantes están realizando phishing relacionados a la pandemia y que nos dirigen a paginas falsas. En redes sociales, se aprecian innumerables “fake news” que desorientan y desinforman a los colaboradores para realizar un engaño y solicitar información sensible.
4. Si su organización tiene una VPN (red privada virtual), úsela en su dispositivo de teletrabajo que le asigno la organización para una mayor protección (Su organización a través de las reglas o políticas de teletrabajo probablemente le dirán si cuenta con VPN). Si no es así, considere usar su propia VPN de acuerdo a los lineamientos que le brinde su organización. Es preferible que su organización utilice doble factor de autenticación para su VPN.
5. Si está utilizando su propia computadora o dispositivo móvil (dispositivo no asignado por su organización) para el teletrabajo, asegúrese de haber habilitado las funciones básicas de seguridad. Simplemente habilitar la función de PIN o password, huella dactilar o identificación facial evitará que las personas entren a su dispositivo. Cualquier PIN o contraseña que use debe ser difícil de adivinar. También debe asegurarse de tener un antivirus y firewall habilitado.
6. Consulte a su organización si se cuenta con una solución de cifrado para el dispositivo que se le ha asignado. Si el dispositivo es propio, coordine con su organización para habilitar la funcionalidad de criptografía “BitLocker” de Windows y en el caso de un dispositivo inteligente utilice la aplicación Veracrypt para Android o iOS.
7. Aplique parches de sistema operativo y aplicaciones de su computador y dispositivo móvil para mantenerlos actualizados. La mayoría ofrece una opción para verificar e instalar actualizaciones automáticamente. Habilitar esa opción puede ser una idea adecuada si no se desea buscar actualizaciones periódicamente. 
8. Si observa actividad inusual o sospechosa en cualquier dispositivo que esté utilizando para teletrabajo, solicite ayuda de su organización, más vale prevenir que lamentar. Comuníquese con la mesa de ayuda o el centro de operaciones de seguridad de su organización para informar la actividad.
9. Cuando convoque a reuniones o clases virtuales como Microsoft Meetings, Zoom, Google Hangout o Blackboard no publique el enlace en redes sociales u otros sitios públicos. Asegúrese que solo las personas autorizadas reciban el hipervínculo y password de la reunión. Deshabilite audio y video, también habilite la sala de espera, hasta que verifique que la persona está autorizada para participar en la reunión caso contrario retirarlo.
10. Revise y escuche las recomendaciones de seguridad de su organización, los expertos de seguridad de su organización monitorean constantemente las conexiones remotas y conocen los intentos de ataques de los ciberdelincuentes. La organización le capacitará y concientizará para el buen uso de las tecnologías digitales.

Referencias

NIST (2016). Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD). Security. https://www.nist.gov/blogs/cybersecurity-insights/telework-security-basics

NIST (2020). Telework Security Basics. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-46r2.pdf

NIST (2020). Preventing Eavesdropping and Protecting Privacy on Virtual Meetings https://www.nist.gov/blogs/cybersecurity-insights/preventing-eavesdropping-and-protecting-privacy-virtual-meetings

Gordon, S. (2020). Securing workers beyond the perimeter. https://www.sciencedirect.com/science/article/pii/S135348582030009X/pdfft?md5=9d4c51314c9afb7c7d45a30409d796ad&pid=1-s2.0-S135348582030009X-main.pdf

Lecciones aprendidas de la pandemia COVID-19 en Asia y gestión de riesgos en el Perú

El mundo todavía está luchando con la pandemia, el número de casos confirmados y fallecimientos es cada vez mayor, los ejemplos y análisis del estudio de países asiáticos de Shaw et al. (2020) nos permiten listar algunas prácticas que se pueden aplicar al Perú. Para ello, tenemos que afirmar que esta pandemia de Coronavirus (COVID-19) es un suceso único y que por los hechos podemos afirmar que ningún país en el mundo estaba preparado para una amenaza para tal magnitud. El Perú al día de hoy cuenta con 2954 infectados (los infectados se duplican cada 5 días) y 107 fallecidos, con un 3.67% de letalidad. Para desacelerar la cantidad infectados y muertes para no colapsar el sistema de salud, El gobierno  peruano debe incorporar en su toma de decisiones un proceso ágil de gestión de riesgos para mejorar la capacidad de respuesta de los servicios de salud y de la administración pública. A continuación listamos algunas lecciones aprendidas de países asiáticos:

La pandemia es global, pero su respuesta es local: en un mundo globalizado e interconectado, donde el movimiento del ser humano es bastante alto y rápido aceleró la propagación del virus a nivel mundial muy rápidamente, convirtiéndolo en una pandemia global. Aunque el tratamiento médico es universal, medidas de respuesta a emergencias no son universales. Esta respuesta ante el COVID-19 debe generarse a través de una combinación de regulación del país, el mecanismo de gobernanza, toma de decisiones basadas en ciencia, gobernanza local y comportamiento de la sociedad. Por lo tanto, El Perú deberá aprender de los mecanismos que ejecutaron otros países, del comportamiento del virus y la sociedad ante las medidas que tome el gobierno. Además, el Perú deberá incluir en el proceso de toma de decisiones basadas en riesgos a expertos científicos, gobernantes, empresas y, especialmente, representantes de la sociedad civil peruana.

Uso adecuado de la tecnología: una respuesta ante la pandemia ya no es solo una respuesta médica se necesita vincular diferentes tipos de tecnologías de la información de manera apropiada. La respuesta ante el COVID-19 en Asia Oriental mostró un amplio uso de las tecnologías emergentes como big data, inteligencia artificial, drones, 5G, robótica, smart cars, blockchain, etc. vinculadas a las tecnologías médicas. En el Perú, solo se han utilizado sistemas información en web y móviles para comunicar el crecimiento de infectados, fallecidos y zonas donde se ubican los infectados. Sin embargo, poco se ha hecho en el proceso de respuesta médica que es el proceso principal para evitar más muertes, el principal riesgo de esta pandemia.

Incorporar la evaluación de riesgos: Se recomienda utilizar el marco de trabajo de Sendai de desde la perspectiva de la respuesta de salud, la respuesta de emergencia y la reducción del riesgo de desastres. Riyanti et al (2020) recomienda que los mecanismos actuales y las estrategias para la resiliencia de Sendai aplican para esta pandemia y consisten en: (i) comprender el riesgo de desastres; (ii) fortalecer la gobernanza del riesgo de desastres; (iii) invertir en la reducción del desastre para la resiliencia y; (iv) mejorar la preparación para desastres para una respuesta efectiva y una más adecuada recuperación, rehabilitación y reconstrucción. El Perú requiere una evaluación de riesgos adecuada teniendo en cuenta los riesgos de salud, riesgos económicos, las exposiciones y comportamientos de la sociedad, en estos momentos, el gobierno peruano no liberado apoyos económicos de 380 soles (112 USD) cada quince días a la población vulnerable, ha permitido el retiro de 2400 soles la CTS (706 USD, que es un ahorra en caso te quedes sin trabajo) y liberación de 25% de la AFP hasta 12,900 soles (3794 USD), en el ámbito de la salud se están adquiriendo pruebas rápidas, pruebas moleculares, ventiladores mecánicos, mascarillas y equipos de protección personal. Sin embargo, no la respuesta de emergencias de salud no se aprecia cambios significativos.

Uso de redes sociales y sensibilización sobre “Fake News”: en diferentes países, con diferentes niveles de penetración de las redes sociales, la importancia de la distinción de noticias verdades y noticias falsas (fake news) es muy relevante. Es importe que el gobierno peruano a través de la inteligencia de la DIVINDAT identifique las fuentes de creación de estas noticias falsas por las consecuencias negativas para combatir esta pandemia a corto y largo plazo para el proceso de recuperación. También, las personas tienen que aprender a validar las noticias en fuentes oficiales en las mismas redes sociales.

Implicaciones económicas: los impactos económicos globales de la pandemia aún no se han comprendido totalmente, pero si hay un acuerdo unánime de una recesión mundial debido a la pandemia. Sin embargo, en diferentes países, los impactos sectoriales ya son elevados, especialmente para los sectores turístico, hotelero y entretenimiento. Las MYPE y PYMES (Micro, pequeñas y medianas empresas) son las más afectados en todos los países y necesitan un paquete especial de revitalización económica. Sin embargo, en el Perú se aprecia que las que empresas que están pidiendo apoyos económicos son las grandes empresas a través de la CONFIEP, el gobierno peruano ha habilitado un préstamo hasta por diez millones de soles (casi 3 millones de dólares) para las MYPES. Algo que también sugiere Hardvard Business Review en su última edición es el repensamiento de las cadenas de suministro desde la perspectiva de la resiliencia, en ese sentido, poco se ha explorado tanto por el gobierno como en las empresas. Queda mucho por hacer para la reactivación económica del país.

Impactos socio-psicológicos y cambios en el estilo de vida: Mundialmente, se ha iniciado un cambio de cultura laboral diferente en los países del este asiático, así como, en la mayoría de los otros países. El teletrabajo se ha vuelto parte de nuestras vidas, reuniones en línea, clases en línea en las universidades y la educación en línea para niños en edad escolar es vital. Por lo tanto, esto ha generado un cambio de estilo de vida en muchos países que tienen implicaciones socio-psicológicas y conductuales que se mantendrán a largo plazo. En el Perú se han aplicado las mismas medidas y el impacto es similar. Por ejemplo, el Ministerio de Educación ha implementado el programa “Aprendo en Casa” desde Internet, radio y televisión, sin embargo, tenemos un gran problema, el acceso a Internet en el Perú (solo el 36.7% de hogares tiene internet) o el Internet de calidad y en algunas zonas rurales la televisión o radio no llega adecuadamente. También, las universidades pasaron a modalidad online todo el ciclo 2020-1.

El gobierno peruano tendrá que priorizar y mejorar varias de las iniciativas desde una perspectiva de gestión del riesgo pero sobre todo establecer medidas para la reconstrucción de la economía y sobre todo para la mejora de respuesta ante emergencia. Así como, guías y normas técnicas para el trabajo en empresas y otras ubicaciones de concentración masiva. Todavía queda mucho por hacer para combatir esta pandemia local y en este escenario tanto la política peruana, la administración pública, la sociedad civil y las empresas tendrán que juntarse para dar respuestas inmediatas.

Referencias

• Shaw, Rajib et al. (2020). Governance, technology and citizen behavior in pandemic: Lessons from COVID-19 in East Asia
• Framework de Sendai (2020) https://www.preventionweb.net/sendai-framework/sendai-framework-for-drr/at-a-glance

Las contraseñas más inseguras utilizadas en Internet

A pesar de los años el uso de contraseñas débiles sigue siendo una vulnerabilidad latente en las compañías de todo el mundo. Cabe resaltar que los hackers maliciosos utilizan herramientas de descifrado offline como John The Ripper y Hashcat o Hydra y Medusa para ataques de fuerza bruta o diccionario. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés), agencia encargada de prevenir y combatir delitos informáticos publico una lista de los 100,000 passwords usados más inseguros.

A continuación listaremos las primeras 25 contraseñas o passwords más usadas del listado:

• 123456
• 123456789
• qwerty
• password
• 111111
• 12345678
• abc123
• 1234567
• password1
• 12345
• 1234567890
• 123123
• 000000
• iloveyou
• 1234
• 1q2w3e4r5t
• qwertyuiop
• 123
• monkey
• dragon
• 123456a
• 654321
• 123321
• 666666
• 1qaz2wsx

El listado completo de las contraseñas débiles  las pueden encontrar aquí.

En el listado de las peores contraseñas también aparece términos muy comunes como "superman", "pokemon", ”genius”, o nombres como "carlos", "angela", "maria" o "gabriel", escritos así, sin mayúsculas ni tildes.

Hay otras contraseñas también muy inseguras, que sin embargo no aparecen en el listado, como por ejemplo cuando los empleados de una misma compañía utilizan el nombre de la empresa y el año para acceder a las plataformas personales o corporativas.

No se deben de reutilizar las contraseñas

• Para NCSC, uno de los mayores riesgos para las personas y las compañías es utilizar la misma contraseña para varias plataformas. La contraseña "123456", por ejemplo, ha aparecido 23 millones de veces en las filtraciones a partir de las que se hizo el listado.
• Los atacantes constantemente están probando estas contraseñas más comunes en nuestras redes sociales, correos electrónicos y sistemas corporativos. Estas contraseñas débiles pueden comprometer nuestra privacidad y exponer información sensible.
• Una contraseña débil puede ser el punto de entrada a toda la información de nuestra organización porque los atacantes suelen hacer “movimientos laterales” entre los activos informáticos de la organización.

Recomendaciones

Algunas recomendaciones para tener contraseñas más seguras:

• Utilizar palabras aleatorias pero fáciles de recordar y/o combinaciones de ellas con un mínimo de 8 dígitos alfanumérico.
• Las contraseñas de cuantas bancarias, sistemas de almacenamiento, el correo electrónico o redes sociales, es mejor no repetir las contraseñas.
• Se recomienda implementar un sistema de autenticación en dos pasos que soliciten una segunda clave de acceso como una pregunta de seguridad o un código temporal. Esta funcionalidad la tienen los correos electrónicos, redes sociales y sistemas corporativos pero depende de los usuarios habilitar dicha funcionalidad.

Fuentes:

• https://www.bbc.com/mundo/noticias-internacional-48015898
• https://www.ncsc.gov.uk/news/most-hacked-passwords-revealed-as-uk-cyber-survey-exposes-gaps-in-online-security