Facebook cumple 15 años: ¿Qué significa esto para los equipos de seguridad?

La red social más popular del mundo ha cumplido 15 años. En los últimos años, su tendencia a recoger los datos personales de sus usuarios le ha causado graves problemas, exponiendo a decenas de millones de clientes a publicidad política específicamente dirigida y al robo de identidad a gran escala. Incluso es cuestionable que sin Facebook y empresas como ésta, los legisladores nunca habrían sentido la necesidad de crear el GDPR.

Pero, ¿cuáles son los principales retos de seguridad para los equipos de TI en el futuro? Estos, de hecho, giran principalmente en torno al shadow IT.

Una sombra sobre la seguridad

Hace quince años todo el mundo hablaba del riesgo de BYOD (Bring Your Own Device) en la empresa. Hoy en día, no es necesariamente el dispositivo el que representa el mayor riesgo para la seguridad corporativa en este contexto, sino las aplicaciones que se ejecutan en esos dispositivos. Cuando hablamos de la amenaza de BYOA (Bring Your Own Applications) hay dos aplicaciones de Facebook que se sitúan en primer plano: WhatsApp y Messenger.

El problema, como ocurre con la mayoría de las TI ocultas, o shadow IT, es que estos productos de consumo son están tan extendidos y se utilizan tanto que, a menudo, los usuarios empresariales evitan los equivalentes corporativos. Se estima que el año pasado hubo aproximadamente 1.500 millones de usuarios mensuales de WhatsApp y más de 1.300 millones de usuarios de Messenger. ¿Por qué molestarse en usar un producto inferior cuando es más rápido y más fácil a la hora de configurar grupos en plataformas como ésta con colegas? En ocasiones, pueden salvar vidas: se dice que los médicos del Servicio Nacional de Salud (NHS) de Reino Unido han confiado mucho en estas plataformas en el pasado para colaborar rápidamente en situaciones de emergencia.

Sin embargo, a pesar de su facilidad de uso y de sus capacidades de cifrado seguro de extremo a extremo, estas aplicaciones representan un riesgo para las TI corporativas. ¿Por qué? Porque los equipos de TI no supervisan lo que se comparte a través de estas plataformas. Podría ser una IP corporativa altamente sensible, tratarse de datos de propiedad intelectual, o de datos de clientes/empleados, que ahora están regulados por el GDPR. Es poco probable que los consumidores hayan dado su consentimiento explícito para que sus datos sean compartidos en dichas plataformas de terceros.

El uso generalizado de plataformas de mensajería de consumo como estas expone a la organización a ciberriesgos por varios motivos. Las cuentas pueden estar protegidas con contraseñas débiles o con credenciales reutilizadas en otros sitios. Esto significa que podrían ser fácilmente descifradas,  adivinadas o forzadas en ataques de relleno de credenciales. El año pasado, incluso surgió la noticia de una nueva táctica que apuntaba a las debilidades de los sistemas de correo de voz de los operadores para acceder ilegalmente a las cuentas de WhatsApp. El phishing también sigue siendo una táctica popular para difundir malware y obtener acceso a cuentas de mensajería. Justo a principios de febrero, se advirtió a los diputados ingleses sobre una nueva estafa de phishing que se estaba llevando a cabo después de que se comprometiera la cuenta de WhatsApp de un miembro del partido conservador.

Aunque el año pasado WhatsApp mejoró la granularidad de los controles que se dan a los administradores de grupos de chat, el riesgo de fuga de datos sigue existiendo. Es cierto que se podría dejar a los individuos en grupos mucho tiempo después de que estos hayan dejado la organización, ofreciéndoles la oportunidad de enviar información corporativa sensible a su nuevo empleador, o de hacerla pública en caso de que tuvieran algún tipo de resentimiento.

Recuperar el control

Todo ello debería plantear algunas cuestiones importantes para los responsables de seguridad TI. Lo que sucede a continuación es crítico porque las organizaciones no pueden seguir adelante durante los próximos 15 años permitiendo a un gran número de empleados manejar datos confidenciales a través de canales no regulados. Si es así, es posible que terminen siendo una de las más de 60.000 empresas que ya han reportado brechas de datos a los reguladores de GDPR.  

Los responsables de TI necesitan acercarse a sus usuarios. Necesitan aceptar por qué los empleados están utilizando esas apps e intentar, al menos, fomentar un uso más seguro. Esto podría incluir la autenticación multifactor (2FA) para un acceso seguro a la cuenta, y garantizar que los dispositivos móviles tengan un borrado remoto y se bloqueen automáticamente con un código de acceso después de unos segundos de inactividad. Se debe instar a los administradores de grupos a auditar a los miembros en todos los chats grupales para asegurarse de que solo se incluya al personal legítimo. El NHS de Reino Unido ya ha publicado una guía para su personal: otras organizaciones deberían hacer lo mismo.

Esto podría requerir un cambio de mentalidad en nombre de las TI. Pero hay que ser conscientes de que si no se innova, los empleados lo harán, en detrimento de la seguridad y el cumplimiento. 

En el lado positivo, Facebook está haciendo sus propios movimientos hacia el espacio de la mensajería empresarial con su plataforma Workplace. Se trata de un paso positivo, dado que las herramientas de seguridad de terceros están disponibles para conectarse a las instalaciones a través de las API, lo que proporciona a los departamentos de TI una mayor visibilidad y control sobre la mensajería y la colaboración. Podría valer la pena ofrecer esto al personal como una alternativa segura a WhatsApp y Messenger. Sin embargo, mientras los usuarios sigan favoreciendo las apps de consumo más populares, los administradores de TI tendrán que ser más proactivos.

Un pequeño número de empresas ha intentado facilitar aún más las cosas a los usuarios finales utilizando los inicios de sesión de Facebook para sus aplicaciones empresariales. No obstante, esta es una tendencia que no nos gustaría ver crecer en los próximos años. Hay un equilibrio entre usabilidad y seguridad, y como demostró la brecha de Facebook del año pasado, consolidar los inicios de sesión en un solo proveedor de plataforma puede en realidad aumentar el ciberriesgo.   

Facebook no es en sí mismo el problema aquí, por supuesto. Las herramientas de Google, Slack y otros proveedores representan desafíos similares para la seguridad TI de las empresas. Es el único nombre más grande que existe. Y si sabemos algo sobre los ciberdelincuentes, es que siempre gravitarán hacia los grupos más grandes de usuarios.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.