Saltar al contenido

Las brechas de seguridad en tiempos de teletrabajo. A cargo de Daniela Jiménez León.

AD 201/2020

LAS BRECHAS DE SEGURIDAD EN TIEMPOS DE TELETRABAJO

Resumen: El teletrabajo se ha instalado en España como respuesta a las restricciones establecidas durante la pandemia. Muy pocas empresas tenían implantada una cultura de teletrabajo, por lo que muchas tuvieron que adaptarse a esta situación sin contar con medidas de seguridad adecuadas. En consecuencia, aumentaron los ciberataques, dando lugar a brechas de seguridad. A lo largo del presente artículo se analizarán las medidas técnicas y organizativas que las empresas deben implementar para mitigar los riesgos asociados al teletrabajo.  

Palabras clave: RGPD, teletrabajo, ciberseguridad, protección de datos, brechas de seguridad, AEPD, medidas técnicas y organizativas.


Durante los últimos años, la protección de datos de carácter personal se ha convertido en un tema muy importante debido al auge de las redes sociales y al movimiento virtual de datos y, en definitiva, a la globalización. Han aumentado los delitos a través de internet debido a un uso indebido de los datos y a la facilidad de acceso a información personal. Por eso, resulta interesante estudiar cómo las empresas y organismos manejan y protegen esos datos.

De la misma manera, la crisis del coronavirus ha dado una oportunidad al teletrabajo, pero muchas empresas no estaban preparadas para la avalancha de cambios que iba a suponer esta nueva forma de trabajo. Aumentó masivamente la venta de ordenadores, tanto a nivel corporativo como particular. Esto supuso miles de personas conectadas a la vez transmitiendo datos y cibercriminales al acecho aprovechando la falta de seguridad en muchos dispositivos para realizar ciberataques. Por ello, la implantación del teletrabajo ha generado muchos riesgos de seguridad, lo que ha supuesto una desprotección de los datos personales de los empleados y de los datos confidenciales de la empresa. En consecuencia, han aumentado los ciberataques, originando brechas de seguridad.

Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal, tal y como señala la Agencia Española de Protección de Datos (AEPD). Se pueden distinguir tres tipos de brechas[1]:

El RGPD obliga a las empresas, más concretamente al responsable de tratamiento, a comunicar estas brechas a la autoridad de control competente (en España la AEPD) en el plazo máximo de 72 horas desde que se tuvo constancia de la brecha, de conformidad con el artículo 33 del RGPD. Igualmente, la brecha se debe notificar al interesado en caso de que entrañe un alto riesgo para los derechos y libertades de éstos, a fin de que tomen las medidas oportunas, tal y como establece el artículo 34 del RGPD.

Por tanto, en caso de producirse una brecha, es de obligado cumplimiento su notificación a la autoridad de control, puesto que la falta de notificación constituye una infracción conforme a la normativa de protección de datos, dando lugar a la imposición de multas administrativas. Esta comunicación puede implicar el reconocimiento de un incumplimiento por parte del encargado o responsable del tratamiento, lo que puede dar lugar a una investigación de la autoridad de control y, por ende, a una sanción administrativa[2].

En lo que respecta a las amenazas que afectan a la seguridad de los dispositivos de teletrabajo, este año han aumentado considerablemente los ataques de ransomware y phishing.

Por un lado, el ransomware o secuestro de datos, es un tipo de troyano que bloquea los archivos o dispositivos del usuario y exige que paguen un rescate por ellos a través de ciertos métodos de pago en línea. Muchas empresas que se han visto atacadas por este malware no saben si pagar o no pagar. En este sentido, según revela el informe State of Ransomware 2020 de Sophos, el pago del rescate aumenta el coste total del ataque puesto que frenar un ataque de este tipo tiene un coste medio de 733.000 dólares para las compañías que no pagan el rescate, mientras que para las que sí pagan asciende a 1.448.000 dólares[3]. Por tanto, en la mayoría de los casos, resulta más caro pagar el rescate que buscar los medios adecuados para recuperar el control de los datos. Además, el pago del rescate no garantiza recuperar la información y es probable que los ciberdelincuentes exijan más dinero. También hay que tener en cuenta que, si se procede al pago del rescate, los ciberdelincuentes sabrán que la empresa está dispuesta a pagar cualquier cantidad de dinero por recuperar la información robada, por lo que estará en el punto de mira para futuros ciberataques.

Por otro lado, el phishing se trata de un método que busca recopilar información de carácter personal y confidencial de forma fraudulenta mediante el envío de correos electrónicos o algún sistema de mensajería instantánea por parte de un ciberdelincuente o phisher simulando ser una entidad legítima. El objetivo de esta técnica es robar información privada de empresas o particulares, infectar el dispositivo con malware o realizar un cargo económico. Suelen incluir un enlace que redirige a páginas web falsificadas o archivos infectados consiguiendo que el usuario introduzca sus datos personales (como contraseñas, información financiera, etc)[4].

Además de estos ciberataques, también se han producido ataques de denegación de servicio (DoS), ataques contra la nube o ataques de malware (virus, botnet, rootkit, adware, spyware, troyano, gusano, etc).

No obstante, las brechas de seguridad no se producen únicamente a consecuencia de ciberataques, sino que también se pueden originar por descuidos de los empleados, por una mala gestión de la información, por incumplimiento de la normativa de protección de datos, etc. En este sentido, hay que destacar que, con el teletrabajo, la información corporativa es cada vez más accesible a personas ajenas a la organización, por haber cambiado la oficina por el domicilio, lo que supone estar rodeado de familiares, compañeros de piso, amigos, etc. Dejar documentación al alcance de cualquiera, abandonar el puesto de trabajo sin cerrar sesión o dejar las contraseñas anotadas en post-it puede suponer un riesgo enorme para la seguridad de los datos.

Para intentar mitigar los riesgos asociados al teletrabajo, es necesario que las empresas adopten medidas técnicas y organizativas. Con respecto a las medidas técnicas, las más recomendables son las siguientes:

  • Red privada virtual o VPN. El uso de esta red permite una extensión segura de una red local sobre una red pública no controlada. La conexión se realiza de forma segura dado que se establece una especie “túnel” o canal cifrado de comunicación entre el lugar de trabajo y el dispositivo por dónde “viajan” los datos de forma segura[5].
  • Contraseñas seguras y autenticación de doble factor. Se deben activar herramientas para generar contraseñas difíciles de averiguar, combinando caracteres especiales, mayúsculas, números, etc. Igualmente, conviene implementar el doble factor porque comprueba dos veces mediante mecanismos diferentes la identidad del usuario. Además, muchos ciberataques realizados a granes empresas se podrían haber evitado con sistemas de doble factor de autenticación[6].  
  • Técnicas de seudoanonimización.
  • Copias de seguridad.
  • Antivirus.
  • Cortafuegos.
  • Restringir el acceso a la información en función del rol que desempeñe cada trabajador.

Con respecto a las medidas organizativas, las más efectivas son las siguientes:

  • Implantación de políticas.

Es importante implantar políticas de protección de datos, de seguridad de la información, de teletrabajo y otras más específicas para garantizar la seguridad de los datos. Las políticas de protección de datos recogen normas, prácticas, garantías y principios que deben seguir las organizaciones en materia de protección de datos. El Considerando 78 del RGPD establece que el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan los principios de protección de datos. Igualmente, el artículo 24.2 del RGPD señala lo siguiente: “cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”. La aplicación de estas políticas no es de carácter obligatorio, pero si es recomendable, sobre todo para cumplir con el principio de responsabilidad proactiva del artículo 5.2 del Reglamento. Las políticas de protección de datos facilitan la comprensión de la normativa a nivel interno, haciéndola accesible a los empleados.

Por otro lado, las políticas de seguridad de la información tratan aspectos y elementos esenciales dónde se debe aplicar seguridad y debe estar bajo control, tal y como estable el Instituto Nacional de Ciberseguridad (INCIBE). Estas políticas deben cubrir todos los aspectos que supongan un riesgo y deben adecuarse a las necesidades y recursos de la compañía. Según la ISO 27001, toda política de seguridad debe contener una definición de los objetivos, adaptabilidad, compromiso, comunicación y revisión. Estas políticas deben apoyarse en otras más específicas para garantizar un cumplimiento adecuado sobre ciertos temas como, por ejemplo, una política de contraseñas, de copias de seguridad o de mesas limpias.

Por último, las políticas de teletrabajo son necesarias para definir las formas de acceso a la red corporativa, de uso de los equipos informáticos, de conexiones seguras a través una VPN, de utilización de aplicaciones, de los riesgos existentes, etc.

  • Formaciones continuas a los trabajadores en materia de protección de datos y ciberseguridad

Es imprescindible formar a los empleados en seguridad de la información y en protección de datos porque, no hacerlo, puede poner en riesgo la seguridad de estos datos personales. El desconocimiento de los empleados sobre qué hacer o cómo actuar ante una determinada situación, se puede corregir con formaciones periódicas sobre distintos temas.

Otras medidas organizativas recomendadas son el nombramiento de un Delegado de Protección de Datos, la elaboración de un registro de incidencias o la realización de auditorías y evaluaciones de impacto.

Una brecha de seguridad puede afectar gravemente a la imagen corporativa, por la pérdida de la confianza de los clientes y stakeholders al haber visto vulnerados sus datos personales. Por ello, es importante tener previsto un plan de continuidad en caso de producción de brechas de seguridad a fin de no paralizar el servicio y poder recuperarse más rápidamente de esta situación.

Los datos nos demuestran que la mayoría de las empresas no han invertido lo suficiente en ciberseguridad, por lo que aun queda mucho camino para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales. De hecho, según indica el “Informe sobre ciberseguridad en el teletrabajo 2020” de Fortinet, el “60 % de las organizaciones han revelado un aumento de brechas de seguridad durante la transición del teletrabajo y tan sólo el 32 % ha invertido más en ciberseguridad”.

En definitiva, el teletrabajo ha supuesto un aumento de las brechas de seguridad debido a que las empresas no estaban preparadas para implantar este sistema de forma tan acelerada. Es necesario que todas las organizaciones, independientemente de su tamaño, de su actividad o del número de trabajadores, inviertan gran parte de su presupuesto en medidas que garanticen la seguridad de los datos personales a fin de evitar brechas de seguridad.

Referencias Bibliográficas

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

Guía para la gestión y notificación de brechas de seguridad (2020). Agencia Española de Protección de Datos.

REYES KAHANSKY, C.M. El deber de notificar y el derecho a la no autoinculpación en la protección de datos personales. Revista de Derecho UNED (2019),núm.24.

SWINHOE, D. (septiembre de 2020). ¿Cuál es el coste de una brecha de datos? CSO, núm. 51. Recuperado de: https://cso.computerworld.es/pubs/cso51/

Phishing “El anzuelo en tu bandeja de entrada”. Instituto Nacional de Ciberseguridad. Recuperado de: https://www.incibe.es/aprendeciberseguridad/phishing

Ciberseguridad en el teletrabajo: una guía de aproximación para el empresario. Instituto Nacional de Seguridad.

Doble factor de autenticación: ¿qué es y por qué lo necesito? (19/2/2014). Welivesecurity. Recuperado de: https://www.welivesecurity.com/la-es/2014/02/19/doble-factor-autenticacion-que-es-porque-lo-necesito/

Daniela Jiménez León

22 de diciembre de 2020


Daniela Jiménez León

Jurista implicada con las causas sociales. Graduada en Derecho y Administración y Dirección de Empresas por la Universidad Rey Juan Carlos. Máster de Acceso a la Abogacía en la Universidad Camilo José Cela y actualmente realizando el Máster en Dirección de Compliance & Protección de Datos en la Escuela Internacional de Posgrados. Asesora legal en Reclamador.es.


[1] Guía para la gestión y notificación de brechas de seguridad (2020). Agencia Española de Protección de Datos, p.21.  

[2] REYES KAHANSKY, C.M. El deber de notificar y el derecho a la no autoinculpación en la protección de datos personales. Revista de Derecho UNED (2019),núm.24, p. 14.

[3] SWINHOE, D. (septiembre de 2020). ¿Cuál es el coste de una brecha de datos? CSO, núm. 51. Recuperado de: https://cso.computerworld.es/pubs/cso51/

[4] Phishing “El anzuelo en tu bandeja de entrada”. Instituto Nacional de Ciberseguridad. Recuperado de: https://www.incibe.es/aprendeciberseguridad/phishing

[5] Ciberseguridad en el teletrabajo: una guía de aproximación para el empresario. Instituto Nacional de Seguridad, p. 11.

[6] Doble factor de autenticación: ¿qué es y por qué lo necesito? (19/2/2014). Welivesecurity. Recuperado de: https://www.welivesecurity.com/la-es/2014/02/19/doble-factor-autenticacion-que-es-porque-lo-necesito/

Deja un comentario

A %d blogueros les gusta esto: