Los dispositivos BYOD y de consumo amenazan la seguridad de tu empresa

Cada vez más gente se apunta al movimiento BOYD («Trae tus propios dispositivos») para hacer más cómodo y eficiente el trabajo en las empresas. Muchos puestos de trabajo son simples mesas donde las personas llegan, conectan sus portátiles, teléfonos móviles o tabletas, acceden al Wi-Fi y están listas para trabajar. No hay que perder tiempo en sincronizaciones, cambiar de software o copiar archivos. Cualquier dispositivo sirve y todo queda guardado en la nube.

El fenómeno BYOD puede suponer ciertos problemas si no se gestiona bien, especialmente en el ámbito de la ciberseguridad. Recientemente el laboratorio ThreatLabZ de Zscaler publicó un informe titulado «IoT in the Enterprise: An analysis of traffic and threats» donde explicaba cómo analizaron los datos de su red y su nube durante un mes completo: el tráfico, los diferentes tipos de dispositivos y dónde se conectaban para realizar sus transacciones. En total obtuvieron datos de unas mil empresas y 270 perfiles de dispositivos de 150 fabricantes diferentes.

Los resultados son bastante relevantes, sorprendentes a veces. Más que nada por la gran cantidad de dispositivos que aparecieron en el estudio: desde altavoces Amazon Echo y Apple, a marcapasos, relojes inteligentes, cámaras IP de vigilancia y hasta coches eléctricos. Naturalmente también había dispositivos más comunes: televisiones inteligentes, impresoras (de papel y 3D) y grabadores multimedia (set-top-boxes) de vídeo. Históricamente se han dado graves problemas e incidentes con estos dispositivos IoT. Y todo eso pasaba por la misma red.

Todo tipo de dispositivos

Aunque los dispositivos multimedia son los más comunes, no son los que más tráfico consumen. En eso ganan los dispositivos de recolección de datos –más del 80% del tráfico total– seguidos de las impresoras. Resulta interesante además que de cada tipo de aparatos (ya sean televisores, relojes o smartphones) hay más de una decena de marcas con presencia relevante. En las pruebas incluso aparecieron dispositivos médicos (como monitores de insulina y marcapasos) que hacen uso de Internet para funcionar. Y conectados desde las cercanías apareció tráfico de automóviles Tesla, Honda y hasta señales de mandos a distancia de puertas de garaje.

Las comunicaciones de estos dispositivos resultan poco seguras: sólo el 18% utilizan la capa de seguridad SSL mientras que un 41% lo hacen parcialmente y otro 41% se comunica mediante el protocolo en abierto. Esto hace que tan solo el 8,5% de la información viaje cifrada, mientras que más del 91,5% viaja como «texto legible» para cualquiera que monitorice la red.

Consigue la guía para proteger tu negocio

Medidas para mejorar la eficacia del BYOD

La seguridad de las comunicaciones y los datos en un entorno BYOD puede estar en riesgo si se confía únicamente en que sean los usuarios quienes la gestionen, algo que es muy común sobre todo en pequeñas y medianas empresas donde cada cual resuelve sus propios problemas técnicos. Se convierte en un problema añadido tanto si se les permite simplemente llevar a la oficina sus propios dispositivos (que además suelen ser de su propiedad) como si se trata de dispositivos IoT que pasan más o menos desapercibidos.

Las recomendaciones son en parte las mismas que para los dispositivos IoT en las empresas, incluyendo:

• Instalar los dispositivos IoT dentro de Redes Privadas Virtuales (VPN) con salidas controladas a Internet, incluso con restricciones al tráfico de entrada y salida o de puertos.
• Recordar la importancia de cambiar las contraseñas por defecto de todo dispositivo que vaya a entrar en la empresa y de mantener actualizado su firmware.

No está de más aplicar políticas tales como realizar una auditoría de seguridad periódica tanto de los dispositivos conectados a la red de la empresa como del tráfico que circula por ella. Puede ser la mejor forma de detectar los posibles problemas antes de que se produzcan: un simple análisis de qué tipo de dispositivos están conectados, qué tráfico envían o reciben y si los datos viajan seguros o no.

Nota: La infografía es propiedad de ZScaler. Fuente: IoT in the Enterprise.