Por qué los regalos tecnológicos pueden causarte problemas

Desde calentadores de tazas y ventiladores portátiles hasta relojes inteligentes y teclados inalámbricos, la tentación de conectar y vincular estos dispositivos a dispositivos y redes corporativas suele pasar desapercibida. Algunos de los regalos tecnológicos que recibe durante las fiestas pueden introducir, sin que usted lo sepa, accesos no autorizados a las redes, abrir la puerta a los cibercriminales y provocar costosos problemas de ciberseguridad. 

Imagínate que estás en un hotel asistiendo a una conferencia. Decide conectar unos nuevos auriculares Bluetooth a tu portátil del trabajo, pero descubres que alguien está escuchando a escondidas una conversación delicada entre tú y un colega, escuchando cada detalle y preparándose para aprovechar información clave relacionada con un gran proyecto. 

Sí, los dispositivos Bluetooth están en riesgo, pero hay más de una forma de piratearlos y de hackear otros innumerables dispositivos conectados. A lo largo de los años, hemos visto una gran cantidad de incidentes:

El año pasado, presenciamos uno de los ataques de adversario en el medio (AitM) más conocidos, denominado BLUFFS . Los ataques permitieron a los piratas informáticos secuestrar conexiones Bluetooth explotando dos vulnerabilidades previamente desconocidas en el mecanismo de derivación de claves de sesión del estándar Bluetooth. 

En cuanto a los ataques AitM, hubo otro incidente en octubre de 2024 cuando, según Acronis TRU Security, Mamba 2FA asomó su fea cabeza. La plataforma de phishing como servicio (PhaaS) atacó cuentas de Microsoft 365 mediante estos ataques, donde los delincuentes pudieron eludir las protecciones MFA con páginas de inicio de sesión falsas, pero convincentes.

Con las iniciativas de bienestar corporativo en auge, cada vez más empresas invierten en gimnasios en sus instalaciones para fomentar una cultura empresarial más saludable, atraer a los mejores talentos y reducir el estrés de los empleados. En agosto de 2023, Peloton anunció Peleton for Business , una cartera unificada de soluciones de fitness y bienestar B2B para clientes empresariales. A los empleados les encantan las ventajas de poder levantar pesas a solo unos pasos de su puesto de trabajo. Pero muchas empresas desconocen que las máquinas de ejercicio inteligentes pueden suponer riesgos de ciberseguridad.

Los cibercriminales pueden entrar en tu red mientras estás sudando. En 2023, Dark Reading informó que las vulnerabilidades de Peloton permitían a los piratas informáticos espiar de forma remota a los usuarios de Peloton. Aunque Peloton determinó que las fallas solo podían ser explotadas por adversarios con acceso físico a las máquinas, el peligro aún acecha a las empresas con bicicletas Peloton conectadas digitalmente. Además, las bicicletas Peloton están equipadas con cámaras frontales que, como cualquier otra cámara inteligente, son presa fácil de los piratas informáticos.

Otro dispositivo tecnológico equipado con cámara que se enfrentó al escrutinio fue el Ring Doorbell. La Comisión Federal de Comercio de los Estados Unidos (FTC) emitió un comunicado de prensa que recordaba a los clientes de Ring sus derechos de privacidad. La FTC acusó a Ring, la empresa de cámaras de seguridad para el hogar inteligente, de comprometer ilegalmente la privacidad de sus clientes. Los empleados de Ring tuvieron acceso a los videos privados de los clientes. Otro factor que alimentó la indignación fue que Ring no implementó medidas fundamentales de privacidad y seguridad que permitieron a los atacantes controlar las cuentas de los clientes de Ring, las grabaciones de video y las cámaras.

Para las empresas, las cámaras pueden poner en peligro la seguridad de la organización y la información confidencial. ¿Cómo? Muchas empresas utilizan las cámaras inteligentes conectadas por Wi-Fi de Ring para supervisar las entradas y salidas de empleados, clientes y visitantes. Los piratas informáticos no solo podrían estudiar el comportamiento y las actividades de quienes están en la cámara, sino que también podrían escuchar conversaciones confidenciales y tal vez ver datos críticos. Si las cámaras apuntan a los monitores de las computadoras, los piratas informáticos podrían rastrear cada clic de un empleado e incluso verlo ingresar contraseñas.

En junio de 2023, la División de Investigación Criminal (CID) del Departamento del Ejército de EE. UU. informó sobre relojes inteligentes sospechosos que se enviaron por correo a miembros del servicio militar de EE. UU . La CID alertó a los miembros y al público de que los relojes inteligentes podrían contener malware destinado a otorgar acceso no autorizado a datos confidenciales, como información bancaria, de contacto y de inicio de sesión.

Lo que resulta desconcertante es que los consumidores y las empresas también son objetivos. Según Deloitte, el 48% de los consumidores mostraron una gran preocupación por la seguridad y privacidad de los datos en los relojes inteligentes y los rastreadores de actividad física. El temor se extiende a todas las organizaciones, ya que el 14,4% de los usuarios de Internet en edad laboral poseen dispositivos inteligentes portátiles . Las empresas deben lidiar con los empleados que desean conectar la tecnología portátil a sus dispositivos de trabajo, como los teléfonos inteligentes de la empresa.

Según un comunicado de prensa de 2024, más de un tercio de los ciberataques acaban en pérdidas de puestos de trabajo . Las cifras son incluso más desalentadoras que las de hace dos años, cuando se estimaba que una cuarta parte de los empleados perdían su trabajo tras cometer un error que comprometía la seguridad de su empresa. Sin duda, los trabajadores se enfrentan a grandes consecuencias por errores evitables. Pero lo peor es que los empresarios no pueden permitirse el lujo de dar segundas oportunidades a sus empleados.

En la comunidad de ciberseguridad , hay una frase muy conocida que utilizan muchos líderes de seguridad informática: “Las personas son el eslabón más débil de la ciberseguridad”. Lamentablemente, las consecuencias son nefastas para los empleados que incumplen accidentalmente las normas de ciberseguridad. Los empleadores están tomando medidas controvertidas con despidos inesperados que no solo son costosos de reemplazar, sino que también causan trastornos en los equipos existentes. Pero, para ser justos, despedir a un empleado debido a un vergonzoso percance de ciberseguridad tampoco es una decisión fácil para los gerentes y los líderes.

Si bien no puede renunciar por completo a todos los obsequios tecnológicos y otros dispositivos conectados, puede hacer su parte teniendo en cuenta las mejores prácticas de ciberseguridad. Considere lo siguiente: tómese un momento para evaluar los riesgos antes de conectar o emparejar nuevos dispositivos tecnológicos con dispositivos personales o corporativos, especialmente mientras estén en las redes de la empresa. Nunca está de más enviar un mensaje rápido a su departamento de TI si no está seguro de estos riesgos. Después de todo, cuanto más puedan los líderes y trabajadores de la empresa establecer una comunicación directa y una relación sólida con los profesionales de TI y seguridad, más efectivas serán las organizaciones a la hora de mitigar el riesgo cibernético. Y si es propietario de una empresa o un profesional de TI, asegúrese de que los empleados reciban una formación integral sobre concienciación de la seguridad .