La seguridad de la información en viajes
Solo durante los últimos tres años he impartido formación en concienciación de seguridad en viajes a más de cuatrocientos viajeros frecuentes y expatriados.
Algunos me han contado desagradables experiencias vividas en primera persona que sus empresas no conocían. Casi todos mostraron su preocupación por el terrorismo, la delincuencia violenta, los accidentes de tráfico e incluso los potenciales choques culturales y, sobre todo, por un problema de salud. Pero solo tres o cuatro expresaron su preocupación por la seguridad de la información, y no me refiero al contexto de los sistemas de información o sistemas informáticos, sino a un nivel holístico.
Sin embargo, muchos de ellos pertenecen a empresas con un elevado volumen de información propietaria, esa que solo tiene valor para ellas y para sus competidores, clientes, reguladores, etc., y que resulta ser la razón de ser de una empresa. Desgraciadamente suele estar protegida de una forma inadecuada.
Para una empresa, la información, el know-how y el conocimiento son las joyas de la corona. Pero para una persona ajena a este mundo no resulta fácil entender los diferentes aspectos que abarcan la seguridad de la información. Su concienciación es temporal y emerge, aunque suele durar poco, después de algún incidente o a través de la visión de algunas películas de estreno que tocan este impactante asunto, pero no saben que los guiones de estas no nacen de la creatividad de sus autores; es al revés.
De hecho, la mayoría de los viajeros frecuentes y expatriados, a pesar de trabajar en empresas que gestionan millonarios proyectos internacionales, poseen tecnología muy avanzada o son punteras en algún sector, no son conscientes de su vulnerabilidad ni del interés desorbitado que pueden tener terceros por poseer su know-how y de lo que pueden llegar a hacer para obtenerlo.
Sin ninguna duda, es más barato robar que el I+D; esto lo saben bien y lo practican algunos países de manera frecuente. En alguno no existe siquiera la mínima seguridad jurídica. Por lo tanto, un viaje a algunos países extranjeros supone un reto para la protección de la información y es necesario – entre otras medidas – modificar los hábitos en internet que pueden representar un riesgo. Pero los viajeros no saben (o no quieren saber por comodidad) que cuando viajan incrementan su perfil de riesgo y que en algunos países (conocidos como nation state actors) pueden ser objeto de acciones de espionaje industrial por parte de particulares e incluso de gobiernos. Países en los que muchas visitas de extranjeros, especialmente de algunas empresas, podrían ser monitorizadas e incluso producirse intromisiones en las comunicaciones e incluso en los espacios físicos como hoteles, etc. Por lo tanto, se no debe esperar un razonable entorno de privacidad.
«La mayoría de los viajeros frecuentes y expatriados no son conscientes de su vulnerabilidad ni del interés desorbitado que pueden tener terceros por poseer su know-how y de lo que pueden llegar a hacer para obtenerlo.»
Por ejemplo, en Rusia, la ley federal permite intervenir cualquier comunicación, capturar y analizar toda la información que se transmita a través de las redes de comunicaciones de este país. Esta medida abarca internet, mensajes de correo electrónico, llamadas de teléfono e incluso faxes. Y aunque este caso concreto conlleva importantes connotaciones políticas, en otros países el objetivo prioritario es la obtención de información empresarial de valor para venderla, utilizarla directamente o incluso extorsionar con ella. ¿Alguno cree todavía que los millonarios contratos internacionales se dilucidan exclusivamente por pequeñas diferencias en las ofertas económicas y técnicas?
Hoy en día, cada viajero puede llevar consigo varios dispositivos móviles: teléfono, tableta, ordenador portátil e incluso otros, como medidores de actividad, lo que incrementan el riesgo y las posibles vías de acceso, que además suelen estar interconectadas. En ellos se mezcla además el uso privado con el profesional. Más allá de la pérdida física de un dispositivo móvil permanecer conectado digitalmente significa a menudo hacerlo a través de redes públicas en aeropuertos, estaciones, hoteles, oficinas, etc., que no disponen de las mínimas medidas de protección. Estas redes esconden en ocasiones malware de organizaciones criminales que buscan robar los datos para llevar a cabo un fraude de identidad.
Como recomendaciones generales de seguridad conviene actualizar el software de los dispositivos móviles con los que vaya a viajar, lo mismo que se hace con sus homólogos fijos; realizar una copia de seguridad de la forma que se considere más conveniente (un dispositivo físico de almacenamiento o la nube); e instalar contraseñas de acceso y bloqueo de pantalla a los dispositivos. Además, tratar de no llevar varios dispositivos o utilizar otros que no almacenen datos de interés y en cualquier caso instalar y configurar algún sistema de encriptación.
También es muy importante no dejar el dispositivo desatendido (la incidencia de robos es muy elevada y precisamente los dispositivos son el objetivo principal sino el único); no enchufar accesorios que no son de confianza; no introducir las credenciales en ordenadores públicos; conectarse solo a redes conocidas y con medidas de seguridad; practicar la navegación segura con páginas HTTPS, lo que solo se cumple en muy determinadas ocasiones; no acceder a links desconocidos o que no se han solicitado; y cambiar las credenciales antes de viajar, y borrarlas y recuperar las originales al regresar.
Sin embargo, lo más importante es darse cuenta de que la información sensible no solo se obtiene de dispositivos electrónicos. En la mayoría de las ocasiones se consigue a través de acciones de ingeniería social, de relaciones humanas a través de redes sociales o incluso por medio de una relación física y que en muchas ocasiones se trasmite inintencionadamente en una conversación informal con un desconocido o dejando una documentación en una mesa o en la habitación del hotel. Basta con escuchar una conversación telefónica para obtener gran cantidad de información. No se preocupe si esta es parcial (una valoración incorrecta) y cree que no tiene ninguna trascendencia por inconexa; ya se encargará alguien de relacionarla y construir un interesante puzzle.
«A pesar de las recomendaciones de sus departamentos de seguridad IT, cada día miles de empleados incumplen una o varias de las normas básicas.»
Por último, no se puede olvidar que en algunos países están prohibidas las herramientas de software para la detección de ataques informáticos (hackeo). Además, se debe estar preparado para desbloquear los dispositivos y poner también a disposición de las autoridades aduaneras todos los dispositivos de almacenamiento. En algunos países negarse puede constituir un grave delito, como puede hacerlo la tenencia de algunos contenidos sensibles de carácter religioso o sexual.
A pesar de las recomendaciones de sus departamentos de seguridad IT, cada día miles de empleados incumplen una o varias de las normas básicas. No saben que los sistemas de protección son tan débiles como lo sea uno solo de sus componentes y que en este caso este eslabón más vulnerable no es otro que el elemento humano. Los adversarios tienen muchos recursos y mucho tiempo; no les importa esperar. Más tarde o más temprano alguien abrirá la puerta.
Por Juan Muñoz, experto en Gestión de Crisis y en el Deber de Protección (Duty of Care)