La Agencia Española de Protección de Datos ha publicado una serie de posts sobre las brechas de Seguridad desde diferentes ámbitos; en este último, analiza los riesgos de las plataformas de productividad cada vez más utilizadas en las organizaciones y más atacadas por parte de los ciberdelincuentes.
Correo electrónico y plataformas
El correo electrónico antes era el único canal de información interna en muchas entidades, pero en la actualidad es un complemento más a las plataformas de productividad y ofimática en la nube como office365, trello, asana, slack, etc. Estas plataformas se han convertido en unos de los activos más interesantes para los ciberdelincuentes por la posibilidad de acceder a información estratégica y confidencial.
Riesgos para la privacidad
Este tipo de plataformas, así como el correo electrónico ya no requieren de una instalación del programa en local (servidor corporativo) sino que podemos acceder desde cualquier dispositivo con un navegador web e internet.
Debido a este nuevo contexto pueden aparecer amenazas como:
- Intentos de acceso a plataformas corporativas por fuerza bruta.
- Intentos de acceso a través de la reutilización de las credenciales en otros servicios de internet que han sido objecto de una brecha de seguridad.
- Robo de las credenciales a través de ataques de ingeniería social como phishing, que acaban dando por resultado que el usuario introduzca sus credenciales corporativas en páginas fraudulentas controladas por los ciber atacantes.
- Exposición de información personal al no diferenciar las herramientas empleadas en el entorno laboral del entorno privado.
El responsable de tratamiento ha de adoptar medidas para minimizar la probabilidad de que se materialicen las amenazas anteriores como:
- Elegir soluciones y prestadores de servicio confiables y con garantías prestando atención a la configuración de las opciones de seguridad y privacidad.
- Establecer procedimientos y recomendaciones de acceso a las herramientas corporativas en movilidad y teletrabajo.
- Establecer políticas restrictivas de acceso a las herramientas de productividad corporativas desde dispositivos no corporativos.
- Usa un segundo factor de autenticación: las suites de ofimatica online suelen contar con la posibilidad de no solo acceder con usuario y contraseña, sino añadir robustez a la autenticación mediante un token, un mensaje SMS o el uso de una app en otro dispositivo. Esto también es importante activarlo en el correo electrónico.
- Emplear contraseñas robustas mediante una política corporativa de uso de las mismas.
- Podemos consultar en páginas como esta si alguna cuenta ha sufrido una brecha de seguridad en otras webs para valorar si se han expuesta credenciales.
- Comprobar accesos indebidos: realizar una gestión correcta de los registros de acceso a estos portales nos puede dar mucha información, como accesos producidos durante horas en las que no se debería acceder, direcciones IP geolocalizadas en lugares sin presencia de la organización, o constantes errores de acceso en alguna de las cuentas. Estos rastros nos darían pistas sobre un posible tipo de ataque.
- Comprobar las redirecciones en los buzones de correo: una vez se han comprometido las credenciales de acceso, una de las primeras acciones que realizan los ciberdelincuentes es crear una regla de redirección de correo para intervenir nuestros correos. En office 365, por ejemplo, en el apartado reglas podemos comprobarlo.
- Formar a los integrantes de la empresa en la cultura de la protección de datos y seguridad. Aparte de cumplir con la normativa es de vital importancia que todos los trabajadores conozcan los riesgos que implica la gestión de datos en su día a día y las directrices a seguir en caso de incidencia.
- Establecer sistemas de auditoria periódica (especialmente en las empresas que tienen designado DPD) para revisar acciones anómalas sobre el sistema y protocolos.
Si vuestra empresa se ha visto afectada por algún tipo de ataque y se han podido ver comprometidos los datos personales de clientes, usuarios, trabajadores, etc. será importante notificar la brecha ante la AEPD (antes de 72h). Contactad con nosotros y os ayudaremos con este trámite.