El BYOD. TRAE TU PROPIO DISPOSITIVO. Imagen creada con IA
En la era de la transformación digital, la frontera entre la vida personal y laboral se ha borrado casi por completo. El teletrabajo y la búsqueda de una mayor flexibilidad laboral han impulsado una tendencia que, aunque ofrece ventajas a las organizaciones, pero se ha convertido en una pesadilla para los equipos de seguridad de la Información. El BYOD (Bring Your Own Device) que puede traducirse al español como «trae tu propio dispositivo», gravita entre los factores de mayor peso que minan los perímetros de red y la ciberseguridad.
Se afirma esto porque lo que comienza como una política de flexibilidad de las instituciones puede convertirse rápidamente en la brecha perfecta para que actores maliciosos comprometan la seguridad de la red. En este análisis, se explora el por qué la falta de un mecanismo seguro para el uso de dispositivos personales es un riesgo crítico y cómo las organizaciones pueden mitigarlo sin renunciar a la operatividad.
¿Qué es el BYOD y a qué debe su popularidad?.
Este concepto BYOD se refiere a la práctica de las organizaciones que permite a sus empleados utilizar sus dispositivos personales -teléfonos inteligentes, tabletas, ordenadores portátiles y muy comúnmente las memorias USB- para acceder a la información de la empresa y desarrollar tareas laborales.
La lógica de su adopción es sencilla: aumenta la satisfacción del empleado porque utiliza herramientas con las que se siente cómodo y por otra parte, reduce los costos de hardware para la organización, junto al hecho que potencia la productividad al hacer posible el desarrollo de labores desde cualquier lugar. No obstante, esta conveniencia tiene un costo muy elevado si no se gestiona con rigor profesional.
El costo que se menciona es que el perímetro se torna permeable cuando el uso inadecuado de un dispositivo genera una amenaza.
El problema fundamental del BYOD radica en la pérdida de control sobre el punto final de conexión. Una organización puede tener el cortafuegos más robusto salido al mercado y sistemas de detección de intrusos de última generación, pero si un empleado conecta un dispositivo personal con un sistema operativo desactualizado a la red Wi-Fi, todo ese muro defensivo se vuelve irrelevante por las brechas qué tiene el software del equipamiento personal.
Un uso inadecuado y carente de normas, cosa que ocurre con una frecuencia muy alta, puede incidir negativamente en la red institucional de diversas maneras. El dispositivo personal actúa como un puente inseguro entre el mundo digital caótico y el santuario de datos de la institución. Si se usa un teléfono comprometido por un código maligno adquirido a través de una descarga en un sitio de dudosa reputación o a través de un correo de phishing, el atacante obtiene un acceso lateral directo y «legítimo» a la red institucional en el momento en que el dispositivo se conecta.
Las afectaciones no solo son técnicas. El robo o pérdida de un dispositivo personal sin cifrado, que se usa para entrar a la red institucional, puede desembocar en una filtración masivade datos masivas, que viola las normas de la protección de datos y causa daños reputacionales incalculables.
Las malas prácticas que abren la puerta al incidente. Por solo poner ejemplos: cuantas cosas puede ocurrir a partir de la conexión de un teléfono móvil carente de antivirus y que se utiliza con frecuencia fuera de la red institucional.
Pudiera mencionarse el caso de una memoria usb qué se conecta en una PC sin protección ni actualización y luego entra al perímetro de red si que se aplique las medidas de control reglamentadas.
Para entender mejor la magnitud del riesgo es vital agregar otras conductas en el orden técnico que, bajo la lupa de la ciberseguridad, constituyen verdaderas minas antipersonales.
1. Falta de segmentación de red: Conectar el dispositivo personal a la misma red Wi-Fi en que se ubican medios con información crítica. Si el dispositivo es infectado, el programa maligno se mueve de forma lateral hacia la información sensible y causa pérdidas notables.
2. Uso de aplicaciones no aprobadas (Shadow IT): Los empleados a menudo utilizan aplicaciones que no han sido autorizadas por la administración de la red. Estas pueden ser fuente de problemas para la seguridad de la empresa pues puede traer consigo puertas traseras u otros males.
3. Sistemas operativos obsoletos que a diferencia de los dispositivos corporativos gestionados por la administración de la red, carecen de los últimos parches de seguridad, dejando vulnerabilidades conocidas expuestas.
4. Conexiones públicas inseguras. El acceso a redes Wi-Fi públicas con el dispositivo personal para acceder al correo corporativo sin utilizar una VPN autorizada (Red Privada Virtual) expone las credenciales y datos a la presencia de una interceptación del tipo «hombre en el medio » .
5. Ausencia de autenticación fuerte. Muchos dispositivos personales solo utilizan un PIN de 4 dígitos o, peor aún, ningún método de bloqueo, facilitando el acceso a la información corporativa en caso de robo físico.
Para mitigar el riesgo es vital imponer el uso de medidas esenciales para un BYOD seguro.
Lo esencial es que no se trata de prohibir el BYOD, algo que sería contraproducente en el entorno actual de manejo de las TIC, sino de gestionarlo de forma segura.
Para cualquier organización que acepta esta práctica conociendo sus riesgos, es una necesidad implementar un marco de seguridad estricto que se base en el principio de «confianza cero» (Zero Trust).
Entre las medidas a considerar para evitar incidentes, son indispensables:
1. Implementación de la administración de dispositivos móviles (MDM – Mobile Device Management). El uso de software de gestión de dispositivos móviles es una cuestión que no puede tener aspectos negociables. Solo así es posible separar los datos de la organización de los personales. Por ello es vital, aplicar cifrado al dispositivo, forzar el uso de contraseñas robustas y, lo más importante, realizar un borrado remoto de la información empresarial en caso de pérdida o robo sin afectar los datos personales del empleado.
2. Uso obligatorio de VPN institucional para todo acceso a los recursos de la organización,así se garantiza que el tráfico de datos viaje cifrado y sea invisible en redes públicas.
3. Establecer un contenedor de aplicaciones, así los datos corporativos estarán en un entorno aislado o «sandbox» en los dispositivos personales. Esto impide que las aplicaciones personales accedan a los datos de la empresa y viceversa. Aunque es vital que la información que pueda comprometer a la organización no salga de su perímetro físico para minimizar los riesgos.
4. El cifrado de datos es una medida importante para todo el dispositivo, o al menos la partición donde se almacenan los datos corporativos, así se reduce la posibilidad de que queden expuestos los datos.
5. Aplicar una política sobre que se considera uso aceptable. Con ella la organización establece un contrato que detalla qué está permitido y qué no. El empleado debe firmar un documento donde acepte, por ejemplo, la instalación de agentes o sensores de seguridad o la revisión del dispositivo en caso de investigación forense.
6. En ciberseguridad la capacitación continua es esencial porque la barrera humana sigue siendo el eslabón más débil. Esta capacitación no debe circunscribirse solo al cumplimiento de normas, sino a la explicación del «por qué» existen. Así los empleados podrán entender que un descuido en su dispositivo personal puede poner en peligro la información de sus compañeros y de la organización.
De todo lo expuesto hasta aquí se puede concluir que el BYOD que trae consigo eficiencia y es hoy inevitable, es también un vector de ataque sofisticado. La seguridad no depende de la tecnología que se utiliza, sino de cómo se gestiona, por lo que mantener buenas prácticas no es un obstáculo para la flexibilidad, sino el sostén para la supervivencia de la organización sin riesgos en esta esfera.