Inicio / Protege tu empresa / Blog / Móviles personales y otros «wearables» en la empresa: los riesgos del BYOD

Móviles personales y otros «wearables» en la empresa: los riesgos del BYOD

Publicado el 04/02/2014, por Juan D. Peláez (INCIBE)
Homer Simpson con las Google Glass

 

La necesidad de estar permanentemente conectados e interactuar con nuestro entorno es una realidad en la sociedad actual, que está impactando de manera significativa en las empresas, favoreciendo el crecimiento económico.

Son numerosas las ventajas o características que ofrece la tecnología móvil en el entorno laboral, entre otras, para:

  • mejora de la relación con clientes, proveedores, Administraciones Públicas, y entre departamentos,
  • permitir la flexibilidad laboral y el teletrabajo,
  • reducir costes de desplazamientos,
  • en el caso de los móviles personales, la circunstancia de que el dispositivo sea pagado por el propio empleado.

Estas ventajas o características de la tecnología móvil ligadas a las comunicaciones e Internet, sin duda están siendo aprovechadas para la mejora de la productividad laboral.

Los «wearables» en la empresa

Algunos de los dispositivos «wearables» (llevables), que se pudieron ver en la CES 2014 (Feria Internacional de Electrónica de Consumo): gafas de realidad aumentada, pulseras inteligentes fuelband que miden la actividad diaria de una persona, SmartWatch con GPS y comunicación 3G o Bio-Sensores acoplados a la ropa, están siendo poco a poco una realidad dentro de las empresas.

El año 2014 será el año de la “inteligencia para llevar”, los llamados ‚«wearables», prendas o complementos conectados a Internet, se prevé que en dos años se venderán en el mundo 80 millones de dispositivos para monitorizar la actividad física, según el informe de la Sociedad de la Información  en España, elaborado por Telefónica.

La serie “Los Simpsonsemitida por la cadena de televisión FOX que ha proyectado todo tipo de tendencias de la sociedad, sacándoles siempre el lado más cómico y muchas veces llegando a la sátira ha tratado también este tema. El trabajador de la planta nuclear Homer Simpson ve como sus compañeros de trabajo usan las Google Glass en el entorno laboral, y decide comprase unas, mostrando distintas situaciones y aplicaciones que sin duda serán una realidad en un futuro.

Personajes de la serie "Los Simpsons" con las Google Glass en el trabajo

Los dispositivos móviles propiedad del trabajador, se están convirtiendo en uno de los principales mecanismos utilizado para tareas relacionadas con el trabajo. Desde estos dispositivos es posible acceder a los equipos, aplicaciones e información corporativa mediante distintas tecnologías (3G, wifi, Bluetooth e incluso mediante la conexión USB del ordenador o portátil corporativo).

Bring your own device (BYOD)

Esta manera de actuar denominada bring your own device (BYOD), “trae tu propio dispositivo", además de los mencionadas ventajas para la empresa, trae también distintos riesgos que deben ser tenidos en cuenta tanto desde el punto de vista técnico como de gestión.
En cuanto a los dispositivos móviles (Smartphones, Tablets, etc.), la compañía debe concienciar al empleado, para que en caso de que éste lo use para temas de trabajo, incorpore las mismas medidas de seguridad que los dispositivos utilizados dentro de la compañía. Entre ellas las siguientes recomendaciones (más información en www.osi.es): 

  • El dispositivo debe tener un mecanismo de autenticación robusta para su acceso.
  • Tener instalado y actualizado un antivirus en el dispositivo, en caso de existir alguno, asegurándonos de que escanea de forma automática todos los ficheros que se guardan en el dispositivo o en la tarjeta de memoria. También el sistema y las aplicaciones deben estar siempre actualizados para evitar que posibles fallos de éstos sean utilizados para infectar nuestros dispositivos.
  • No permitir el almacenamiento de información sensible dentro del dispositivo. Y en caso de que se produzca recomendar el uso de cifrado.
  • Controlar las aplicaciones que se instalan, recomendable siempre es hacerlo desde las tiendas oficiales: Google Play, Apple Store, Windows phone, BlackBerry World, etc.
  • No visitar enlaces que nos lleguen a través del correo, mensajería instantánea o redes sociales de personas desconocidas. Pero cuando un remitente conocido nos facilite un enlace, podemos hacer uso de un analizador de enlaces online como VirusTotal o URLVoid para cerciorarnos de que la web de destino no es peligrosa. En caso de duda, siempre es mejor no abrirlo y preguntar a nuestro contacto.
  • No utilizar redes WiFi desconocidas y desactivar interfaces de red del dispositivo que no vayan a usarse.

En general el establecimiento de una política de seguridad dentro de la organización que especifique lo que se puede y no se puede hacer es esencial para proteger la información de la empresa y otras cuestiones legales como el derecho de la empresa a borrar datos del dispositivo en caso de pérdida, robo o cese de actividad de un trabajador en la compañía.

Prueba de concepto - Haciendo tethering

La falta de políticas de seguridad en BYOD, puede llevar en algunos casos, a abusos por parte del empleado, que ponen en riesgo la organización, como la práctica del tethering.

Tethering con cable USB

El anclaje a red o tethering es un método por el cual un dispositivo móvil con conexión a Internet actúa como pasarela para ofrecer acceso inalámbrico a la red a otros dispositivos, como puede ser un ordenador, el dispositivo móvil hace el papel de un módem o enrutador inalámbrico. Esto se puede realizar mediante conexión wifi, Bluetooth o físicamente mediante un cable, como el USB.
En esta prueba de concepto vamos a ver lo sencillo que resulta conectar el PC de la empresa a internet utilizando la conexión 3G del dispositivo móvil personal, para realizar cualquier tipo de acción no permitida por la compañía.

Algunas acciones de riesgo que se podrían llevar a cabo mediante tethering, son por ejemplo: acceder a páginas web que supuestamente están prohibidas por política de empresa, sustraer información de la empresa evitando dejar constancia en logs (registros), acceder a internet en ordenadores desde donde supuestamente no tiene acceso a internet por cuestiones de seguridad, o incluso infectar el ordenador con algún malware descargado de internet.
Esta conexión se puede hacer mediante wifi, bluetooth, o directamente por el puerto USB, con un cable basado en conectores USB/MicroUSB.

Tethering en Android y iOS

En Android 4.1.2 a través del menú del dispositivo: Ajustes->Zona wifi y modem USB.
En iOS a través del menú del dispositivo: Ajustes>Compartir Internet.

Para evitar esta práctica, es recomendable desactivar los parámetros de configuración adecuados en el sistema operativo del equipo corporativo.

Conclusiones

El fenómeno del BYOD, tanto para dispositivos móviles como para otros wearables, en el entorno laboral es una práctica que puede traer numerosas ventajas a la organización, pero debe llevar una reacción apremiante por parte de las empresas para marcar unas pautas en cuanto a su uso, mediante la elaboración de una política de seguridad BYOD. Esta política debe contemplar entre otros aspectos, cuestiones de seguridad en el dispositivo, de acceso a la información corporativa e implicaciones legales.

 

Etiquetas: 
Políticas
Movilidad
Buenas prácticas
Empresa
Artículos relacionados
Mano azul saliendo de la pantalla
INCIBE | 14/03/2023
Historia real: la mala planificación en actualizaciones puede llevar a estas situaciones
Carteles con flechas Reactiva-Proactiva
INCIBE | 07/03/2023
¿Por qué adoptar un enfoque proactivo en nuestra organización?
Manos con imagen de correo electrónico
INCIBE | 28/02/2023
Los riesgos y las medidas de seguridad del correo electrónico