El teletrabajo y la incorporación de colaboradores externos han ampliado de forma silenciosa los límites operativos de las empresas españolas. El acceso a sistemas críticos ya no se concentra en la oficina, sino que se reparte entre hogares, dispositivos personales y terceros con distintos. … niveles de control. Esta dispersión ha cambiado la naturaleza del riesgo digital.
Pedro Jorge Viana, responsable de preventas de Kaspersky Iberia, sitúa el foco en el cambio de modelo. La seguridad, explica, dejó de basarse en estructuras cerradas y pasó a depender de múltiples puntos de acceso repartidos fuera del control directo de la empresa. En ese escenario, «los atacantes optan por el camino más eficiente», asegura.
Redes domésticas y dispositivos personales, sin una gestión profesional continuada, ofrecen menos resistencia que infraestructuras centrales protegidas por sistemas avanzados de seguridad y monitorización, comenta.
facilitador
La comisión de ciberseguridad de la asociación española de industria digital Ametic apunta a un desplazamiento claro del riesgo. Mientras que el entorno corporativo cuenta con capas de protección consolidadas, el trabajo en remoto se apoya con frecuencia en infraestructuras domésticas y herramientas que escapan a los controles habituales. Este contexto, explican desde la asociación, favorece ataques basados en ingeniería social.
«Ahora, los empleados acceden a recursos corporativos desde Múltiples dispositivos y redes domésticas, que a menudo no cuentan con la misma protección que las infraestructuras corporativas», dice Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
Incidentes recientes confirman que muchos ataques siguen entrando por accesorios remotos mal protegidos. Jorge Viana, de Kaspersky, advierte de que numerosos VPN y sistemas de escritorio remoto desplegados con urgencia hace unos años no han evolucionado al mismo ritmo que las amenazas. La ausencia de autenticación multifactor o de una segmentación adecuada permite que, tras superar el primer control, el atacante actúe como un usuario legítimo, explica. A este riesgo se suma el uso intensivo de servicios en la nube y aplicaciones SaaS, donde el robo de sesiones activas y credenciales ha alimentado un mercado de herramientas cada vez más especializado, comenta.
«Además, la explosión de la IA ha aumentado este peligro al multiplicar el impacto de los errores y convertir los descubiertos en puertas de entrada a ataques masivos y automatizados», dice Nieva, de Check Point Software.
Impacto negativo
Se paga caro la falta de una segmentación adecuada o de la autenticación multifactor
En el plano operativo, los problemas suelen ser menos favorables de lo que parece. Diego León, CEO de Flameera, observa que la exposición directa a internet de equipos y servicios internos continúa siendo habitual, sobre todo en organizaciones con menor madurez en ciberseguridad.
El rastreo automatizado de servicios como el escritorio remoto permite detectar configuraciones débiles en cuestión de minutos, explica. A ello se añade la reutilización de contraseñas entre ámbitos personal y profesional, «un factor que sigue facilitando el compromiso de cuentas», dice León. La prevención pasa «por limitar accesos, reforzar hábitos básicos y contar con capacidad de detección continua», matiza.
El aumento de este tipo de incidentes responde también a una transformación estructural. Juanjo Pérez Mostajo, responsable de ciberseguridad en Var Group, explica que «el trabajo distribuido ha multiplicado los puntos desde los que se accede a los sistemas corporativos, combinando dispositivos diversos, redes heterogéneas y servicios cloud interconectados.
Esta fragmentación, asegura este experto, dificulta aplicar criterios homogéneos de protección y deja margen a identidades mal gestionadas. Las diferencias de riesgo entre empleados remotos y colaboradores externos dependen en gran medida del nivel de madurez en ciberseguridad de cada organización. León, de Flameera, señala que las empresas más avanzadas tienden a equiparar ambos perfiles, facilitando dispositivos corporativos y aplicando los mismos controles.
confianza cero
Uno de los principales errores que cometen las empresas es seguir gestionando accesos e identidades bajo un modelo de confianza ligado a la ubicación, explica Carlos A. Fernández, director de la división xMDR de Cipher. El teletrabajo ha diluido por completo el perímetro corporativo y ha convertido el hogar del empleado en un nuevo punto crítico, añade. A esta falta de adaptación se muchos permisos excesivos que no se revisan con regularidad, procesos de contratación remota poco robustos y una escasa visibilidad sobre el uso de herramientas no autorizadas, dice.
Cuando un ciberataque se produce a través de un colaborador externo, la responsabilidad última recae en la empresa afectada. Carlos A. Fernández advierte de que externalizar servicios no implica externalizar el riesgo, especialmente cuando los atacantes explotan debilidades en los procesos de identidad y control de accesos. Las consecuencias, advierte, «pueden ir desde sanciones regulatorias y pérdidas económicas hasta un daño reputacional difícil de revertir». De ahí la necesidad de un enfoque basado en confianza cero, con controles reforzados, auditorías continuas y una gobernanza clara.
Sin barreras
La reutilización de contraseñas en el ámbito personal y profesional es un error muy extendido
El auge del teletrabajo ha ampliado también el marco de obligaciones legales para las empresas españolas. Desde Ametic, su comisión de ciberseguridad subraya que la ciberseguridad ya no es solo una cuestión técnica, sino también regulatoria. Normativas como el RGPD, la LOPDGDD o la Ley 10/2021 de trabajo a distancia elevan las exigencias sobre cómo se gestionan los accesos a datos y sistemas fuera de la oficina.
Este marco normativo convive con un amplio desconocimiento práctico en muchas organizaciones. José María Fachado, director de ciberseguridad de i3e, advierte de que numerosas empresas no están familiarizadas con las obligaciones que introducen marcos europeos como NIS2 o DORA, especialmente en entornos de teletrabajo.
En la práctica, muchos empleados y colaboradores acaban utilizando medios propios por comodidad o falta de recursos corporativos, «lo que incrementa el riesgo y convierte el trabajo remoto en una puerta abierta a incidentes si no se asegura el entorno desde el inicio, comenta».
Reforzar la cultura
A corto y medio plazo, la reducción del riesgo pasa por «medidas concretas y asumibles», dice Fachado. El teletrabajo puede implementarse de forma segura si las empresas cuentan con asesoramiento especializado y parten de una base mínima de protección, como el uso de VPN, autenticación multifactor y entornos corporativos correctamente configurados. Estas tecnologías no son necesariamente complejas ni costosas, pero requieren planificación, explica el experto de i3e. Más allá de las herramientas, Fachado insiste en reforzar la cultura de ciberseguridad y en disponer de planos de continuidad y recuperación ante incidentes.
Desde Var Group, Pérez Mostajo señala que las empresas deben reforzar los controles en los entornos de acceso remoto y de colaboración externa. Entre las prioridades cita la aplicación de modelos de confianza cero, el endurecimiento de la autenticación y la exigencia de unos mínimos de higiene digital en los dispositivos, sean corporativos o personales.
También subraya la importancia de estandarizar criterios de seguridad con terceros y de contar con sistemas de monitorización capaces de detectar actividad anómala fuera del perímetro tradicional. Con estas medidas, explica, es posible mantener la flexibilidad del trabajo distribuido sin asumir un riesgo desproporcionado.
