Garantizar la seguridad en el trabajo a distancia
Sin duda, un requisito irrenunciable para el teletrabajo es la seguridad. Es incuestionable que, cuando un empleado accede al sistema desde fuera de la oficina, tiene que hacerlo con una conexión protegida. No solo se trata de protegerse a sí mismos, sobre todo es una cuestión de mantener a la empresa a salvo del daño financiero y las repercusiones públicas que pueden acarrear los ciberataques.
A menudo, al preguntarnos cómo podemos conseguir esta conexión segura, surge la opción de recurrir a una VPN (Red Privada Virtual o Virtual Private Network). En teoría, parece lo suficientemente fiable: el departamento de IT prepara la conexión, los empleados se conectan y, voilà, ya están seguros.
Sin embargo, este esquema pasa por alto los principales problemas de las VPN. En lugar de garantizar la seguridad de los trabajadores remotos, las VPN suelen proporcionar una ilusión de máxima seguridad para las empresas que redunda en menos seguridad para la plantilla que trabaja a distancia.
¿Todo el mundo está conectado siempre?
Una cuestión que es necesario abordar es que una VPN requiere que el empleado respete escrupulosamente el proceso para funcionar correctamente: la única forma de que la conexión sea segura es que los usuarios estén correctamente conectados a la web mediante esta red privada. Sin esa conexión, no hay nada que proteja sus comunicaciones de los hackers.
Seguro que las empresas recuerdan a sus empleados que nunca deben olvidarse de conectar su VPN mientras trabajan desde casa, pero en algunos casos esta política de la empresa no se materializará del todo. Supongamos, por ejemplo, que un empleado se despierta tarde y, preocupado por iniciar sesión cuanto antes, olvida conectar su VPN. Supongamos, en otro ejemplo, que necesita hacer una llamada VoIP rápida a otro compañero fuera de su horario laboral habitual y no se le ocurre volver a conectar la VPN.
Las consecuencias de estos errores pueden ser muy graves, sin duda. Pero el problema es que solo son eso, errores humanos, y es mucho más fácil que se produzcan si se utiliza una VPN.
No es precisamente un galgo…
También pueden darse negligencias en el uso de las VPN por su forma de consumir el ancho de banda.
La VPN crea una red privada usando una conexión a Internet existente y cifra los archivos que se transmiten a través de ella, por lo que el uso de datos con una VPN aumenta de un 10 a un 15%. Para los empleados que ya tienen una conexión a Internet mediocre en sus casas, esta diferencia puede ser dramática. Si bien es posible mejorar el bitrate en una oficina doméstica, la verdad es que al final del día estos métodos no sirven de mucho.
Así que si una descarga se interrumpe o si la calidad de las videollamadas falla, será muy tentador para el trabajador desconectar su VPN para compensar estos problemas (sí, aunque en la empresa le hayan advertido que no lo haga).
Protección a una sola carta
Supongamos que todos los empleados que teletrabajan utilizan su VPN correctamente y sin fisuras. ¿Es suficiente para que una empresa con la plantilla repartida en diferentes sedes pueda operar de forma segura?
Seguramente no. Recuerda que, por mucho que consigas una conexión privada muy segura, una VPN solo supone una capa de protección contra los hackers y otros agentes malintencionados. Una vez superada esta capa, las posibilidades de interceptar las comunicaciones son infinitas, como si los hackers fueran un miembro más del equipo. Es un método de seguridad que apuesta toda su eficacia a una sola carta, sin más defensas una vez superado el acceso a la conexión inicial.
En otras palabras: conseguir acceso a las credenciales de la VPN es una auténtica mina para los hackers, un billete directo a todas las comunicaciones de la empresa. Irónicamente, recurrir a una VPN ofrece a los ciberatacantes una hoja de ruta clara para atacar la conexión de tu empresa.
¿Confías en tu proveedor?
No es para nada imposible que los hackers consigan acceder a la VPN. Todo lo que un agente malintencionado tiene que hacer es acudir directamente a la fuente: el proveedor VPN.
Hay una cuestión inherente al funcionamiento de las VPN: el proveedor de la red conserva todas las credenciales de acceso de la red. Por desgracia, esta realidad no está exenta de problemas, ya que la mayoría de las compañías ha sufrido filtraciones de datos por parte de terceros en 2018. (Ten en cuenta también que incluso el reconocido proveedor de VPN NordVPN ha sufrido filtraciones masivas de información).
En fin, si consideramos que instalar una VPN únicamente aporta una capa de protección contra los hackers, esto implica que el proveedor es efectivamente un caballero solitario encargado de la ingente tarea de proteger toda tu red. Si al plantearlo así te saltan las alarmas, lo mejor es considerar otras opciones.
Más allá de las VPN: alternativas viables
Entonces, ¿qué otras opciones hay?
En lugar de dirigir todas las comunicaciones de la empresa a un único servidor con medidas de seguridad, es mucho más seguro y práctico implementar estándares de seguridad en todas las comunicaciones desde sus cimientos. Esto implica incluir métodos de seguridad como el cifrado, la creación de canales privados de extremo a extremo y otros recursos de seguridad incorporados directamente en la plataforma de comunicación de la empresa. Esta propuesta es segura por definición ya que incorpora la seguridad en el diseño de la solución: es lo que se conoce como secure-by-design, tal y como se explica aquí.
A medida que el Smart Working se consolida como el marco operativo para las empresas, es cada vez más importante comprender íntegramente todas las implicaciones de las distintas opciones de seguridad para tu empresa y, en el caso de las VPN, vale la pena valorar si resulta más conveniente buscar otras alternativas.
Para recibir más consejos sobre tecnología y teletrabajo, ¡suscríbete y recibe gratis nuestro Magazine!