La seguridad en las empresas, hoy y cada vez más, implica proteger las herramientas de colaboración que se utilizan. Ahora que estamos en la era de internet, se da por hecho que las comunicaciones oficiales se realizan a través de la red. Esto abre la puerta a una inmensa flexibilidad en las formas de comunicarnos, incluyendo un amplio abanico de posibilidades para los ambientes de trabajo remoto e híbrido.
Sin embargo, sin una plataforma de colaboración completamente segura, la comunicación desde internet también abre la puerta a incontables problemas de seguridad. En especial, las empresas ahora se enfrentan al riesgo de ciberataques: los casos en los que, bien mediante credenciales de acceso robadas o explotando un software de colaboración poco seguro, los hackers roban información confidencial o interrumpen gravemente la actividad de la empresa.
Es fácil constatar el impacto de esas amenazas, pues en las noticias abundan historias sobre filtraciones de contraseñas, videoconferencias interrumpidas y todo tipo de ataques. Más allá del daño financiero inmediato, usar herramientas de colaboración con una seguridad deficiente también crea un serio riesgo para la reputación de la empresa. Entre estas gravísimas consecuencias, es crítico optar por herramientas de colaboración que ofrezcan la máxima seguridad posible a la hora de comunicarte en la red.
El problema es que con la ingente cantidad de ataques que se llevan a cabo y el asombroso número de vulnerabilidades que existen, a menudo resulta difícil definir cómo es la colaboración segura entre los miembros de un equipo. ¿Qué tipo de tecnología utilizan las herramientas digitales seguras? ¿Cuánto mantenimiento es necesario para que sigan funcionando a pleno rendimiento?
Para dar respuesta a estas preguntas, a continuación examinamos los principios que debemos buscar para detectar las herramientas de colaboración empresarial más seguras. Y aún hay más: te mostraremos cómo hacerlo con la mínima formación y supervisión por parte del departamento técnico.
Usa herramientas de colaboración cifradas
En primer lugar, no hay que infravalorar la importancia del cifrado en tus instrumentos de colaboración. Como es importante que esté presente en todos los niveles de tu organización, el cifrado para las herramientas de colaboración debería ser una parte inherente del sistema.
Para los más profanos en la materia, el cifrado en tecnología es una forma de codificar los datos que se intercambian en internet. De forma similar a las comunicaciones en tiempos de guerra, el proceso de cifrado codifica los chats de texto, llamadas de voz, videoconferencias y otros mensajes de forma que, aunque fueran interceptados, resultarían ilegibles para los piratas informáticos.
Por supuesto, algunas herramientas de colaboración destacan sobre otras si hablamos de cifrados. Uno de los más esenciales es el protocolo Secure Real-Time Protocol (SRTP), que codifica los datos con un complejo resultado de 160-bits usando una clave única que se comparte privadamente.
Pero para cifrar completamente tus herramientas de colaboración, hay otros métodos mejores. Otro protocolo que se puede usar junto al SRTP es Transport Layer Security (TLS), un estándar que igualmente codifica los datos mediante una clave privada. Algo fundamental en este proceso es que ambas partes se encuentran en un servidor TLS en el que no solo obtienen la clave para descifrar las comunicaciones, también adquieren certificaciones digitales para verificar sus identidades frente al otro.
Si se usan juntos, SRTP y TLS hacen que los datos estén mucho más seguros durante los intercambios. Como esta combinación es tan importante para la seguridad, un recurso de colaboración completamente cifrado debería incluir estos protocolos por defecto. Después de todo, si los usuarios pueden apagar estas medidas cuando quieran (o si el software permite su instalación sin ellas), surge la posibilidad de que la información sea interceptada y robada.
Sin embargo, hay que destacar que TLS se ha ido actualizando con los años y las versiones antiguas no son tan seguras. Al evaluar el cifrado de una herramienta de colaboración, asegúrate de que es compatible con TLS 1.2 o superior, ya que las versiones 1.0 y 1.1 ya no son efectivas.
Implementa la autenticación basada en certificados
Sin embargo, los hackers tienen más ases en sus mangas y no se conforman con robar datos en silencio y salir corriendo. Muchos ciberataques se producen interceptando intercambios de información y después usando los datos para suplantar identidades. Esto es lo que se conoce como un ataque con intermediario (man-in-the-middle): un hacker cotillea un intercambio de datos y elimina, altera o reutiliza los datos interceptados para sembrar el caos.
Esta amenaza justifica de sobra que las herramientas de colaboración incluyan la autenticación basada en certificados. Aquí, un servidor de confianza («autoridad de certificación”) verifica que un usuario es quien dice ser y después codifica su tráfico web y sus mensajes con un «certificado» digital como prueba de identidad. Después de eso, es posible verificar que las comunicaciones de ese usuario son auténticas.
La buena noticia es que el TLS cumple exactamente esta función. Además de cifrar las herramientas de colaboración, TLS también incluye el proceso de autenticación basado en certificados en su intercambio de datos. Aunque no es la única forma de reforzar los certificados digitales, esa protección añadida junto al cifrado hace que sea un aspecto muy valioso en una plataforma de colaboración segura.
En cualquier caso, este protocolo es crucial porque es increíblemente difícil falsificar un certificado digital. Para prevenir por completo las amenazas que hay ahí fuera y evitar sus daños, cualquier herramienta de colaboración cifrada debe usar la autenticación basada en certificados en los intercambios de datos, bien sea usando TLS o un sistema similar.
No te fíes de las conexiones externas
Uno de los principales obstáculos para la seguridad en las herramientas de colaboración es que no importa cuánta formación en IT y seguridad reciban los empleados, algunos de ellos seguirán pasando por alto los protocolos adecuados, inevitablemente. En otras palabras, esto implica crear contraseñas demasiados sencillas, usar atajos en lugar de mantener las conexiones seguras o ignorar de algún otro modo los protocolos de ciberseguridad. Todas estas acciones ponen en peligro a tu empresa.
Lo más frustrante es que la comodidad tiende a anteponerse sobre la seguridad y así resulta mucho más complicado proteger tus programas de colaboración. ¿La solución? No confiar en elementos que no sean cómodos y, en especial, prescindir de las medidas de seguridad externas.
Una de las medidas que conviene evitar son las redes privadas virtuales (VPN), un medio habitual para proteger las herramientas de colaboración virtuales. Las VPN crean una especie de túnel con conexiones que los hackers no pueden penetrar fácilmente. Sin embargo, las VPN pueden ser lentas de conectar y siempre exigirán completar algunos pasos adicionales al iniciar sesión. Muchas VPN también pueden reducir la velocidad, pues es necesario que la señal rebote en múltiples servidores.
Con estos obstáculos, es fácil imaginar que al menos algunos empleados no se subirán al carro de la VPN. Aunque el servidor de la empresa requiera una VPN para la conexión, parte de la plantilla podría fácilmente buscar una forma alternativa o, peor, directamente no conectarse al servidor principal. En consecuencia, las organizaciones que confían en una VPN podrían estar usando una herramienta de colaboración con una seguridad insuficiente.
Igualmente, algunas organizaciones protegen su plataforma de comunicación usando cortafuegos en sus rúters o controladores de borde de sesión externos (SBC). Aunque tanto los firewalls como los SBC pueden resultar útiles para proteger las herramientas de colaboración en línea, es crítico que ambos funcionen como parte de esa seguridad y no sean la principal forma de protección. Después de todo, si un empleado trabaja fuera de las instalaciones de su oficina o si esa configuración del rúter y SBC resulta alterada de algún modo, la protección desaparece.
En palabras sencillas, usar elementos adicionales externos para proteger tu herramienta de colaboración añadirá más complicaciones y pondrá trabas a la facilidad de uso. Para ir por delante de los usuarios que ponen la comodidad en primer lugar, busca un sistema que proporcione seguridad sin confiar en componentes externos.
Refuerza el inicio de sesión
Hablando de potenciar las buenas prácticas, una gran parte de la protección de las herramientas de colaboración empresarial reside en garantizar que los usuarios no se tomen demasiado a la ligera la creación de contraseñas. Hay motivos para que los principales sitios web exijan contraseñas con mayúsculas y minúsculas, números y caracteres especiales: la variación añadida hace que resulte significativamente más complicado para un hacker adivinar las credenciales de acceso.
Todos los programas de colaboración seguros deberían seguir el mismo principio: para crear un nuevo perfil, el sistema debe exigir que los usuarios creen una contraseña lo suficientemente compleja; si es muy corta o muy sencilla, el sistema les dirá que lo vuelvan a intentar. Sin este extra incorporado en el sistema, las organizaciones se arriesgan a dejar una vía de entrada abierta de par en par para los ciberpiratas.
Igualmente, es fundamental para la seguridad en su fase inicial el uso de la autenticación de doble factor (2FA). Como su propio nombre indica, este protocolo exige que los usuarios proporcionen una segunda forma de verificación después de introducir la contraseña correcta. Normalmente, esto se realiza enviando un código único al teléfono o correo electrónico del usuario.
Este paso reduce drásticamente la posibilidad de que un hacker acceda a un perfil, pues para ello necesita la contraseña y además el código único. Así, es importante que los administradores dispongan de la opción de requerir 2FA para proteger su plataforma de colaboración.
No obstante, todos estos pasos siguen teniendo lagunas: los usuarios deben recordar las contraseñas tan liosas que han creado (o guardarlas o anotarlas en algún lugar donde pueden ser robadas igualmente). En fin, si algunos usuarios siempre van a lo cómodo y no quieren complicarse, ¿no crees que podrán encontrar también una fórmula para que estos requisitos no les compliquen?
La respuesta a este problema está en la opción de inicio de sesión único (Single Sign-on o SSO). Mediante este método, los usuarios pueden iniciar sesión en una plataforma de terceros de confianza como Outlook o Google y aprovechar ese inicio de sesión para acceder a su cuenta. Como este proceso requiere que los usuarios entren en una cuenta ya existente en lugar de en una nueva, solo tienen que recordar una contraseña que ya usan, reduciendo las complicaciones al acceder a su programa de comunicación.
En conclusión, es importante que una plataforma de colaboración en equipo segura imponga la seguridad en el inicio de sesión de los usuarios. Y aun mejor será si la plataforma consigue un equilibrio entre seguridad y practicidad, como hace la incorporación del SSO.
Usa la nube para actualizaciones instantáneas
Vital para la ciberseguridad de cualquier sistema es conseguir actualizaciones y mejoras constantes. Por muy seguro que sea un software, los hackers siempre serán capaces de encontrar algún punto débil que explotar a su favor. Por eso, cualquier recurso de colaboración seguro debe estar permanentemente actualizado.
El problema es que si estas actualizaciones no llegan a tu sistema particular, seguirás expuesto a la posibilidad de sufrir ataques. Incluso el tiempo empleado descargando y aplicando el parche puede ser un riesgo, ya que durante ese momento sigues sin estar completamente seguro.
Una de las formas más fáciles de poner fin a esto es sencillamente conectar tu plataforma de comunicación a la nube. Con una configuración Cloud, tus programas de colaboración no existen en servidores individuales. Al contrario, se encuentran en un servidor compartido gestionado por tu administrador de sistemas. Por lo tanto, las últimas novedades en materia de seguridad para la herramienta de comunicación llegan y los parches se aplican instantáneamente.
Las posibilidades de sufrir un hackeo por una actualización demasiado lenta pueden parecer remotas, pero recuerda que, para disfrutar de seguridad plena, las herramientas de comunicación empresarial deben minimizar por completo sus puntos flacos. Para una protección fiable y una mayor tranquilidad, tu sistema debería estar estructurado para recibir y aplicar las actualizaciones lo más rápido posible.
Sistemas seguros, no solo buenas prácticas
En las herramientas de colaboración, para que haya seguridad en todos los niveles, lo más importante es considerar cómo el sistema implementa los protocolos por sí mismo, sin confiar en complementos externos ni en el sentido común de los usuarios.
Si bien es fundamental que la plantilla sea consciente de las principales amenazas a la seguridad y las formas de fraude más comunes, la mayoría de los empleados no tienen la experiencia o la paciencia necesarias para ser responsables de su seguridad. Para ser completamente fiable, una herramienta de colaboración segura debe incluir prácticas de seguridad incorporadas como parte de su diseño predeterminado.
Esta es exactamente la forma en que Wildix trata la seguridad. Con cifrado TLS y SRTP incorporado, más la seguridad adicional proporcionada por la tecnología WebRTC, Wildix es una herramienta de colaboración completamente segura por su diseño, sin la necesidad de VPN, SBC o firewalls externos. Descubre más sobre cómo enfoca Wildix la seguridad leyendo nuestra documentación online o en nuestra guía gratuita.
Viendo lo complicado que es que las herramientas de comunicación empresarial sean seguras, es esencial estar siempre atento y ser muy consciente de cómo gestiona las amenazas el sistema. Al valorar tu sistema de comunicaciones, asegúrate de evaluar muy bien cómo resuelve cada cuestión por separado, no solo en términos generales ni en los recursos de que dispones tú para hacerlo más seguro.
Para más consejos sobre ciberseguridad, ¡suscríbete para recibir gratis nuestro magazine!