Profundizando en la Ciberseguridad: ¿Qué es el BYOD y 9 Riesgos de Seguridad?

Infección de Dispositivos con Malware

El mayor riesgo de las políticas de Bring-Your-Own-Device (BYOD) es la infección por malware. Los empleados tienden a ser menos cuidadosos con la seguridad de sus dispositivos personales y prestan menos atención a las aplicaciones que instalan.

Pueden descargar archivos PDF, instalar juegos y otras aplicaciones para uso personal, y muchas de estas aplicaciones pueden estar infectadas con malware.

Dado que el dispositivo también contiene datos corporativos, el malware obtendrá acceso a ellos, provocando una violación de datos.

Aún peor, cuando el empleado llega al trabajo y conecta su dispositivo a la red de la empresa, el malware se propagará por toda la red, lo que llevará a una crisis.

Existen varios tipos de malware, que incluyen:

• Virus
• Troyanos
• Herramientas de phishing
• Registradores de pulsaciones
• Adware
• Gusanos
• Spyware
• Ransomware
• Malware sin archivo

Lo peor es que cualquier cosa en línea podría estar infectada con uno de estos malware. Todo lo que necesitas es un error de juicio al acceder a un sitio web desconocido o al descargar una aplicación, y tu dispositivo queda infectado.
Como empleador, tienes muy poco control sobre cómo el empleado usa su dispositivo personal en casa.

Entonces, no sabes si su dispositivo está infectado o no.

Soluciones

• Exige la instalación de soluciones antivirus en los dispositivos de tus empleados. Esto les alertará sobre aplicaciones o sitios web sospechosos, previniendo la infección por malware.
• Evalúa todas las aplicaciones que tus empleados hayan instalado en sus dispositivos personales al llegar al trabajo. Realiza escaneos de seguridad para asegurarte de que no haya riesgo de infección por malware.
• Implementa políticas de uso estrictas para evitar que tus empleados utilicen sus dispositivos personales de manera libre, ignorando los riesgos de ciberseguridad (por ejemplo, prohibir a los empleados instalar juegos o aplicaciones no relacionadas con el trabajo en sus dispositivos).
• Realiza controles rutinarios periódicos en los dispositivos BYOD para asegurarte de que no se hayan instalado aplicaciones inesperadas o que no estén infectados con malware.

Mezcla de Uso Personal y Profesional

Cuando implementas BYOD, es inevitable que los empleados mezclen el uso personal y laboral en sus dispositivos.

Esto crea vulnerabilidades de seguridad porque los datos corporativos se almacenarán en dispositivos que se utilizan para actividades no seguras, como las compras en línea.

Difícilmente puedes controlar los dispositivos de tus empleados porque no sabrás cómo los están usando en casa.

Esto es lo que podría suceder como resultado:

• El empleado presta el dispositivo a un amigo, lo que pone en peligro los datos sensibles
• El dispositivo se conecta a una red Wi-Fi no segura
• El empleado accede a un sitio web infectado, lo que pone en riesgo los datos sensibles
• El empleado descarga un archivo infectado, que termina accediendo a los datos corporativos privados en el dispositivo

Es extremadamente difícil controlar estas situaciones. BYOD representa un gran riesgo de ciberseguridad que no es fácil de evitar.

Soluciones

• Segrega el uso personal del uso empresarial para asegurarte de que el usuario no afecte los datos laborales al utilizar el dispositivo para necesidades personales. Esto se puede lograr mediante la encriptación de datos, un sistema de seguridad confiable y el principio de menor privilegio
• Exige el uso de una VPN para prevenir la interceptación maliciosa de comunicaciones cuando el dispositivo está conectado a una red Wi-Fi no segura
• Revoca el acceso a aplicaciones y datos de trabajo cuando el empleado se va para evitar cualquier acceso no autorizado o violación de datos en caso de negligencia por parte del empleado
• Impulsa la conciencia de seguridad para evitar la negligencia y el descuido en el uso personal en casa

Dispositivo Perdido o Robado

La probabilidad de que un empleado pierda su dispositivo personal es mucho mayor en comparación con un dispositivo de trabajo.

Una encuesta muestra que el 68% de las brechas de datos en el sector de la salud fueron causadas por la pérdida o el robo de un dispositivo de un empleado.

Esto sucede porque un dispositivo personal es más vulnerable a ser robado o perdido debido a cómo, dónde y cuándo se utiliza.

Un dispositivo de trabajo solo se usa en el trabajo, mientras que un dispositivo personal se utiliza en cualquier lugar donde el usuario vaya.

Cualquier persona que entre en contacto con el usuario podría robar o acceder a su dispositivo y poner sus manos en los sensibles datos corporativos.

Soluciones

• Capacita a tus empleados para que utilicen contraseñas y seguridad biométrica en sus dispositivos para evitar accesos no autorizados en caso de pérdida o robo del dispositivo
• Enseña a tus empleados a informar inmediatamente sobre un dispositivo perdido o robado para cancelar sus credenciales de acceso y evitar una violación de datos
• Encripta los datos de trabajo en el dispositivo del empleado para que no puedan ser accedidos fuera del entorno laboral

Uso de Wi-Fi No Seguro

Esto merece un lugar propio en la lista debido a lo peligroso que es el Wi-Fi para la seguridad de los datos en los dispositivos de los empleados.

Las redes Wi-Fi públicas son uno de los peores escollos en ciberseguridad debido a lo vulnerables que son a la manipulación externa.

Los ataques de intermediarios son muy efectivos para infiltrarse en conexiones Wi-Fi e infectar dispositivos conectados.

Los señuelos de Wi-Fi son más comunes de lo que crees, y es realmente fácil caer en sus redes si no puedes distinguir entre una red Wi-Fi maliciosa y legítima.

Otro tipo de ataque Wi-Fi es el Espionaje, donde los hackers aprovechan puntos de acceso no encriptados o falsos para infiltrarse en dispositivos conectados a redes Wi-Fi públicas. Dado que la mayoría de las redes Wi-Fi públicas no están encriptadas, los riesgos son muy reales.

Soluciones

• Indica a los empleados que no utilicen redes Wi-Fi públicas para evitar directamente un importante riesgo de ciberseguridad
• Obliga el uso de VPN para todos los empleados, lo que protege contra ataques Wi-Fi
• Fomenta la conciencia de ciberseguridad, especialmente en lo que respecta al uso de Wi-Fi público cuando están en movimiento
• Encripta los datos corporativos en el dispositivo para prevenir el acceso no autorizado incluso si el dispositivo es infiltrado después de usar una red Wi-Fi pública

Falta de Conciencia en Ciberseguridad y Negligencia

Según Verizon en su Informe de Investigaciones de Violaciones de Datos de 2023, el 74% de todas las violaciones de datos involucraron el elemento humano.

Con «elemento humano», se refieren a los empleados de la empresa que ya sea cometieron un error, fueron negligentes o actuaron por ignorancia. En resumen, estamos hablando de la ingeniería social.

La negligencia y la falta de conciencia en ciberseguridad pueden significar un desastre para cualquier empresa que opera en línea.

Cualquier cantidad de ciberataques se facilitan a través del elemento humano. Malware, phishing, gusanos, ransomware, puedes nombrarlo y encontrarás a una persona culpable de negligencia.

Así es como podría verse:

• Descargar un archivo de phishing de un correo electrónico falso
• Instalar una aplicación infectada desde la Play Store, que termina descubriendo datos sensibles en el dispositivo
• Visitar un sitio web infectado, que descarga un ransomware en tu dispositivo, que finalmente infecta la base de datos de la empresa
• Usar una red Wi-Fi no segura sin una VPN y caer presa de un ataque de intermediario
• Tener tu dispositivo robado, lo que termina revelando datos corporativos sensibles

La negligencia, el desinterés, la pereza, la falta de cuidado, todos estos son problemas para los empleados con acceso a datos sensibles.
Cuando traen sus propios dispositivos a la oficina, toda una serie de vectores de ataque se convierten en una realidad y debes prepararte para ellos.

Soluciones

• Enseña a tus empleados sobre ciberataques y actores de amenazas. Los empleados deben conocer los varios tipos de ciberataques, los riesgos asociados con la navegación en línea, cómo detectar estafas, cómo reaccionar ante ataques y qué no hacer mientras están en línea

• Realiza controles regulares e impone estrictas reglas de seguridad. No quieres que tus empleados sean negligentes o que no se preocupen por la seguridad de los datos corporativos. La capacitación en seguridad es una cosa, pero los controles regulares son la forma en que mantienes a los empleados atentos y conscientes

Acceso No Autorizado a Datos Sensibles

Cuando se trata de BYOD, uno de los riesgos más altos es que alguien acceda a datos sensibles sin autorización.

Esto podría significar robo, pero también podría significar el uso del dispositivo del empleado sin su conocimiento.

Dado que los empleados llevarán sus dispositivos a casa, alguien con malas intenciones podría abrirlos, acceder a datos sensibles y revelarlos.

También existe el riesgo de que alguien con malas intenciones robe el dispositivo. Esto podría convertirse en una violación de datos si el dispositivo no está asegurado adecuadamente.

Teniendo en cuenta que el 79% de los estadounidenses tienen sus teléfonos inteligentes con ellos durante 22/24 horas al día, es evidente ver la importancia de considerar el riesgo de robo de datos.

La pérdida del dispositivo también es una posibilidad. El error humano y la negligencia son factores que debes considerar al implementar BYOD en tu empresa.

Soluciones

• Contraseñas fuertes para todos los dispositivos de trabajo. Asegúrate de que tus empleados utilicen contraseñas fuertes en sus dispositivos. Idealmente, deberían poner otra contraseña en los archivos y carpetas corporativas
• La verificación biométrica reducirá aún más este riesgo, asegurando que quienquiera que tenga el dispositivo en sus manos no pueda usarlo
• Sistemas de autenticación de dos factores (2FA) en su lugar para que, incluso si alguien tiene el dispositivo en sus manos, no pueda acceder a los datos sensibles sin el código 2FA adecuado (o la llave física)
• Reportar inmediatamente el dispositivo perdido/robado para que los superiores puedan cancelar cualquier código de acceso en el dispositivo que un tercero pueda usar para acceder a las bases de datos de la empresa

Falta de Actualizaciones de Seguridad y Parches de Software

Otra razón por la cual BYOD podría representar un riesgo de seguridad grave es porque los empleados podrían no estar al día con sus actualizaciones de seguridad y parches de software.

Todos sabemos que la mayoría de las personas tienden a ser negligentes con sus dispositivos personales. Todo es cuestión de comodidad.

Pero esta comodidad tiene un gran impacto en la seguridad personal (y corporativa) cuando no se instalan las últimas actualizaciones de seguridad.

Esto es lo que podría suceder en este caso:

• Una vulnerabilidad recién descubierta (que desconoces) permitirá a los hackers infiltrarse en tu teléfono y robar datos sensibles
• Un ciberataque reciente que afecta a tu tipo de sistema operativo puede afectarte porque no has instalado el último parche de seguridad
• Diversas vulnerabilidades del sistema pueden abrir tu dispositivo a ataques de terceros con intenciones maliciosas

Fuera de la oficina, es posible que los empleados sean menos propensos a seguir precauciones de seguridad y a cuidar tanto como en la oficina.
Sin embargo, esto es igual de importante, si no más, para proteger los datos corporativos en el dispositivo.

Soluciones

• Haz revisiones periódicas de la última versión del sistema operativo de los dispositivos de tus empleados para asegurarte de que estén ejecutando el software y los parches de seguridad más recientes
• Enfatiza la importancia de instalar parches de seguridad y actualizaciones de software a tus empleados para que cambien su mentalidad desde el principio. Ignorar esto puede tener graves consecuencias para tu negocio

Shadow IT (Tecnología en las Sombras)

La tecnología en las sombras, o Shadow IT, ocurre cuando los empleados utilizan dispositivos no autorizados o instalan software no autorizado en dispositivos de trabajo sin informar al equipo de TI.

Aproximadamente el 80% de los trabajadores reconocen que utilizan aplicaciones SaaS que el departamento de TI desconoce.

Las razones pueden ser diversas, pero en la mayoría de los casos, los trabajadores afirman que informar todo al departamento de TI ralentizaría el flujo de trabajo.

Si bien esto podría ser cierto, el riesgo de seguridad que representa la tecnología en las sombras no debe ser ignorado.

Los empleados no son expertos en seguridad, por lo que podrían introducir nuevas vulnerabilidades de seguridad al utilizar software o hardware no aprobados.

Algunas de estas aplicaciones pueden tener bajos estándares de seguridad, falta de cifrado e incluso vulnerabilidades de seguridad.

Soluciones

• Enfatiza que no se permiten dispositivos o software no autorizados para que los empleados no se involucren en la tecnología en las sombras. Deja claros los riesgos de seguridad desde el principio y sé estricto con las regulaciones
• Trata de poner a disposición de los empleados todas las herramientas relacionadas con el trabajo para que no tengan que recurrir a la tecnología en las sombras. A menudo, esto sucede porque el Departamento de TI pierde tiempo aprobando una herramienta que los empleados necesitan para hacer su trabajo
• Aplica una detección de seguridad más efectiva de hardware o software no aprobados para descubrirlo antes de tiempo

Descuido en la Observación de las Políticas de Seguridad

Algunos empleados simplemente serán despreocupados, negligentes y descuidados con respecto a las políticas de seguridad que has establecido.

Esto podría suceder por diversas razones, como:

• Problemas personales
• Confianza excesiva en evitar riesgos de seguridad sin adherirse a regulaciones estrictas
• Falta de interés

Cualquiera de estas razones representa un problema importante para la seguridad de tu negocio. Deberías abordarlo lo antes posible.

Soluciones

• Descubre por qué los empleados son descuidados e intenta resolver este problema. Explícales el impacto potencial de una violación de datos y las posibles repercusiones si son responsables
• Despide a los empleados que son constantemente descuidados. Es mejor prescindir de un empleado que es constantemente descuidado y no puede cumplir con las reglas

¿Vale la Pena el BYOD en el Largo Plazo?

Las políticas de BYOD tienen algunos beneficios claros que deberías conocer:

• Costos iniciales mucho más bajos para el hardware proporcionado a los empleados. Como traen sus propios dispositivos al trabajo, ahorrarás en estos gastos.
• Mejora en la productividad de los empleados debido a su familiaridad con sus propios dispositivos.
• Mayor satisfacción de los empleados porque llevan un elemento de familiaridad al trabajo y no tienen que manejar simultáneamente un dispositivo personal y de trabajo.
• Mayor movilidad porque los empleados están siempre disponibles, incluso durante su tiempo libre oficial. Esto debería mejorar la capacidad de respuesta y la participación.
• Más flexibilidad para acceder a los recursos de la empresa desde cualquier lugar, lo que aumenta la moral, la participación y la lealtad de los empleados.

Estos son los principales beneficios de las políticas de Trae Tu Propio Dispositivo para una empresa y sus empleados.
Pero también he descrito los riesgos de seguridad anteriormente. Existe un potencial desastroso de violación de seguridad esperando ocurrir si las políticas de BYOD se utilizan y manipulan incorrectamente.

Deberás establecer algunas reglas básicas al implementar BYOD. Controles de seguridad, conciencia de ciberseguridad, desalentar activamente la negligencia de seguridad y la Sombra TI, todos estos son pasos necesarios hacia un ecosistema de BYOD saludable.

Sin embargo, no es imposible de lograr. Con las herramientas adecuadas y una buena planificación, BYOD puede mejorar significativamente el rendimiento de tu negocio.

¡Mantente al tanto de más contenido de ciberseguridad de PrivacyAffairs!

Fuentes

BitGlass – Informe de Seguridad BYOD 2021
Privacy Affairs – ¿Por Qué es tan Común el Phishing y Cómo Protegerse?
Perception Point – Seguridad BYOD: Amenazas, Medidas de Seguridad y Mejores Prácticas
Privacy Affairs – Profundización en Ciberseguridad: ¿Qué es el Principio de Privilegio Mínimo?
Kiteworks – Dispositivos Móviles Perdidos y Robados son la Principal Causa de Violaciones de Datos en el Ámbito de la Salud
Forbes – Los Verdaderos Riesgos del Wi-Fi Público: Estadísticas Clave y Datos de Uso
Verizon – Informe de Investigación sobre Violaciones de Datos 2023
Privacy Affairs – El Arte del Engaño Cibernético: Ingeniería Social en Ciberseguridad
Privacy Affairs – Profundización en Ciberseguridad: 18 Tipos de Ataques Cibernéticos y Métodos de Prevención
Leftronic – Estadísticas de Uso de Teléfonos Inteligentes: Alrededor del Mundo en 2023
Track – 21 Estadísticas de Gestión de Sombra TI que Debes Conocer
Jumpcloud – Beneficios Empresariales del BYOD