Empresas y Gobierno, desprotegidos ante el teletrabajo: "Faltan medios y ciberseguridad"
El teletrabajo ha desbordado a empresas, a CCAA e incluso al Gobierno. Y lo peor es que muchos de sus empleados, sin quererlo, han puesto en peligro la ciberseguridad de todos por falta de medios
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fb92%2Fb0e%2F7ec%2Fb92b0e7ec45be7aa3c96dfd3d841d66e.jpg)
Ricardo (nombre modificado) encendió el ordenador y se conectó en el chat interno con su jefe, ya que tenía que pasarle unos contratos y unos presupuestos para uno de sus clientes. Hasta que, una vez hecho el envío, llegó el drama:
–Oye, te has conectado con VPN, ¿no?
–Eeehh... ¿cómo se hacía eso?
–¡La madre que me p****! Sal ahora mismo y mira las instrucciones que nos mandaron por email para conectarnos por VPN. Si no sabes, te llamo y te ayudo, pero no vuelvas [al chat] hasta que lo hayas hecho.
Ricardo trabaja en el departamento de marketing de una gran empresa española y esto le pasó la tercera semana de marzo, cuando España estrenaba el confinamiento y la empresa mandó a todos a casa para teletrabajar. Desde entonces sabe, prácticamente de memoria, que una VPN es una conexión privada virtual que le permite entrar en la red interna de su empresa sabiendo que todo lo que haga, salvo rara catástrofe, será privado y seguro.
Empresas teletrabajando en una red insegura
Si a Ricardo no le cayó una bronca grave de su jefe ("solo un pequeño cabreo, pero se me pasó pronto", reconoce dicho superior) es porque él no era el único que había cometido ese error. "De la noche a la mañana tuvimos que mandar a toda la empresa a casa, estaba claro que esto iba a pasar", nos reconoce el jefe. De hecho, no ha sido el único fallo. "Gente conectándose desde equipos que tienen virus, otros que no recuerdan su contraseña de acceso y al meterla mal varias veces se les bloquea, otros que usan un USB que tiene 'malware'...".
En realidad algunos fallos pueden achacarse a los empleados, pero otros no. "Cuando vimos que habría que irse a casa ya teníamos varios cientos de ordenadores portátiles listos para el teletrabajo, pero claro, aquí somos miles de personas. Los primeros portátiles fueron para las personas que necesitaban algún programa concreto: la gente de recursos humanos, los de administración, los que pagan las nóminas... Los demás empezamos con nuestros portátiles personales mientras desde la empresa, deprisa y corriendo, íbamos comprando los equipos y las licencias de los programas. En cuanto teníamos los nuevos portátiles listos, los íbamos mandando a casa de los empleados".
"Todas las grandes empresas españolas hemos cometido errores de ciberseguridad muy graves durante estas semanas"
En cualquier caso, asegura que la situación de su empresa no es ni mucho menos la excepción, sino la norma: "Todas las empresas podemos tener ciertos protocolos de teletrabajo y de ciberseguridad para equis empleados, pero nadie está listo para mandar a miles de personas a casa y pretender que la red informática siga siendo segura", reconoce.
Con este panorama, "me consta que la mayoría de las grandes empresas españolas nos estamos acoplando rápido, pero todas hemos cometido errores de ciberseguridad muy graves estas semanas. Nos faltan medios y, sobre todo, ciberseguridad".
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc16%2F9f5%2F982%2Fc169f59829c66384d88408da84a03a08.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc16%2F9f5%2F982%2Fc169f59829c66384d88408da84a03a08.jpg)
Gobierno y CCAA tiran de chequera
Los gobiernos y Administraciones Públicas también se han visto desbordados por la necesidad urgente de teletrabajar. En algunos de estos casos ha sido especialmente preocupante, ya que muchos de estos organismos han tenido que reforzar y aumentar su carga de trabajo por el covid-19 o recurrir a programas muy concretos (a menudo hechos 'ad hoc' para su propia institución) con el que relizar su trabajo diario.
Son muchos los ejemplos. El Ministerio de Sanidad, por ejemplo, ha tenido que aprobar por la vía urgente una serie de compras y contrataciones realizadadas exclusivamente para poder hacer frente al teletrabajo de estos días. Una de ellas consiste en la compra de 600 licencias SAS/SPE/PCE, mediante las que un empleado, además de identificarse en la red del organismo mediante usuario y password, tiene que introducir una segunda contraseña que será generada por un dispositivo físico que solo él tiene y que genera una contraseña distinta cada minuto. De este modo, aunque un ciberdelincuente tenga la primera contraseña de acceso, no tendrá la segunda si no le roba el dispositivo físico a dicho empleado.
Pero hay muchos más casos. En el cuadro de arriba podemos ver apenas 20 adjudicaciones públicas hechas en los últimos días por parte de diversas instituciones públicas, que solo en esta mínima selección se han gastado más de 5 millones de euros en muy pocos días.
Entre estos contratos destacan varios como el de la Generalitat de Cataluña, que ha comprado diversos portátiles a Telefónica por 1,8 millones de euros; la Seguridad Social, que ha gastado 2,5 millones en software y hardware para los escritorios virtuales de sus trabajadores; el Gobierno de Baleares, que ha empleado más de 300.000 euros en comprar portátiles y licencias de Chrome Education; o el Tribunal de Cuentas, que ha desembolsado 151.000 euros para comprar 130 ordenadores portátiles.
"Hay muchísimas empresas expuestas"
Para Román Ramírez, consultor indepediente de ciberseguridad y fundador de la RootedCON, las vulnerabilidades de ciberseguridad que están experimentando ahora mismo las empresas e instituciones públicas son innumerables. "Hay gente trabajando con equipos infectados, o con vulnerabiliidades de BlueKeep, o empleados que pican en el 'phishing' por email, o con servidores expuestos... En Shodan [una web para detectar vulnerabilidades 'online'] se ve que hay incremento sistemático de puertos de acceso remoto que tienen vulnerabilidades. Si no hay un doble factor de autenticación, es peligroso para todos".
Además, lo peor de todo: "Hay muchas empresas con las mismas contraseñas desde hace años para que no haya discusiones o problemas de recuperación. Lo ideal sería cambiarlas cada poco, pero casi nadie lo hace. Esto pasa en las del Ibex35, en las administraciones y en todas partes". Además, "esas contraseñas pueden estar expuestas en plataformas como GhostProject. Si no las han cambiado, pueden estar ahí".
"Hay muchas empresas del Ibex y administraciones con las mismas contraseñas desde hace años o que están expuestas en internet si no las cambiaron"
Ante esta situación, el Instituto Nacional de Ciberseguridad de España (Incibe), dependiente del Ministerio de Asuntos Económicos y Transformación Digital, también está haciendo una campaña de concienciación para que las empresas sean conscientes de los riesgos de ciberseguridad a los que pueden verse expuestas mientras dure el teletrabajo.
Además, está ofreciendo una serie de consejos para evitar problemas. Entre ellos destacan conectarse a través de una VPN, mejorar el protocolo de identificación de los empleados (con doble autenticación, contraseña de un solo uso, identificación biométrica o tarjetas inteligentes), reforzar los sistemas antivirus, restringir los accesos (qué empleados pueden acceder a un contenido concreto y cuáles no) o monitorizar en tiempo real todos los procesos que se están ejecutando en la red informática. Todo sea para evitar sustos y sobre todo, para que el teletrabajo no acabe desembocando en graves problemas de ciberseguridad para nuestras empresas y administraciones públicas.
Ricardo (nombre modificado) encendió el ordenador y se conectó en el chat interno con su jefe, ya que tenía que pasarle unos contratos y unos presupuestos para uno de sus clientes. Hasta que, una vez hecho el envío, llegó el drama: