Antonio Gil Moyano

No cabe duda de que los programas de mensajería se han convertido en una herramienta de comunicación imprescindible para nuestra vida personal y profesional. Tampoco hay duda de que las aplicaciones de videollamadas, o la ampliación de esta funcionalidad a las ya existentes, han sido toda una revolución durante la pandemia, donde se convirtieron en la única forma de comunicación visual debido a la implantación obligada del teletrabajo. ¿Qué opciones existen? Son muchas las opciones, pero en este artículo nos vamos a centrar en algunas de las más profesionales, por su conexión con otras aplicaciones y funcionalidades, siempre garantizando la seguridad de la información que se comparte y la privacidad en las comunicaciones. Se ha escrito mucho sobre esto, incluso hay varias publicaciones que hacen referencia a un informe realizado el año pasado por la Agencia de Seguridad Nacional (NSA) de Estados Unidos, donde se analizan las fortalezas y vulnerabilidades, ya que considera que el teletrabajo es un asunto de seguridad nacional. En nuestro país también se realizan estudios por parte de organizaciones preocupadas por la seguridad nacional, de los ciudadanos y de las empresas, tales como el Instituto Nacional de Ciberseguridad (INCIBE) o el Centro Criptológico Nacional (CCN) adscrito al Centro Nacional de Inteligencia (CNI). En nuestro, nos vamos a centrar en el informe publicado por el Centro Ciptológico Nacional (CCN - Cert), titulado "Recomendaciones de seguridad para situaciones de teletrabajo y refuerzo en vigilancia CCN-CERT BP/18". En su capítulo 7 habla de la seguridad que debería aplicarse a las videoconferencias y reuniones virtuales. Vamos a analizar algunas de estas recomendaciones: La app/software debe provenir de repositorios verificados y autenticados como pueden ser los repositorios del fabricante o los repositorios de aplicaciones de los proveedores de la plataforma (Microsoft, Google, Apple, Samsung, LG, etc.). La identificación y autenticación mediante usuario y contraseña debe cumplir unos mínimos requisitos de fortaleza (ej.: longitud mínima recomendada de caracteres, combinación de letras, números y caracteres especiales, número máximo de intentos fallidos de autenticación, etc.). Las conexiones entrantes deben ser aceptadas por el usuario, no debe existir la posibilidad de autorrespuesta. Deben ofrecer la posibilidad de acceder a la sesión con o sin video/audio. Las sesiones de vídeo deben de cumplir al menos con los siguientes requisitos relativos a la seguridad en las comunicaciones: Utilizar canales seguros TLS 1.2 en las llamadas cifradas para la señalización y AES-128 o 256 en el tráfico de media. Recomendable el tráfico SRTP para audio, vídeo y contenido (media) con cifrado AES-128. En tráfico UDP asegurar el cifrado AES-128 y asegurar que el intercambio inicial de claves sea sobre un canal seguro en TLS. La compartición de documentos debe asegurar la confidencialidad de los datos y repositorios, según determina el Esquema Nacional de Seguridad. Teniendo en cuentas estas recomendaciones, veamos cómo se ajustan cada una de las 3 herramientas que hemos seleccionado. Microsoft Teams Sin duda cumple con todos los requisitos que se necesita para una solución de videoconferencia "corporativa", no solo por venir de un fabricante de confianza, sino porque toda la seguridad y funcionalidad vienen configuradas en Microsoft 365 y Office365. Eso la hace robusta y estable pero, sobre todo, confiable, que es lo que necesitamos las empresas y profesionales para utilizar una solución de estas características. En esta guía, editada por Microsoft en Octubre del 2020, se puede ver más en detalle todos los aspectos relativos sobre como Teams controla las amenazas comunes de seguridad: Ataque mediante clave conocida Ataque por denegación de servicio de red Interceptación Suplantación de identidad (imitación de direcciones IP) Ataque de intermediario Ataque de reproducción RTP Mensajes instantáneos no deseados Malware, virus… Zoom Posiblemente sea la solución de videoconferencia más utilizada en el ámbito profesional y personal, se hizo muy popular durante el confinamiento debido a que es fácil en su manejo, de bajo coste de uso y cuenta incluso con un plan gratuito, aunque mejorable en cuanto a seguridad se refiere. En el apartado de privacidad y seguridad de su página aparecen consejos sobre: Cómo configurar Zoom antes de iniciar una reunión. Ajustes de seguridad para bloquear una reunión, expulsar, silenciar o denunciar participantes, desactivar transferencia de archivos o anotación, controlar el uso compartido de la pantalla, desactivar chat privado o control de grabación, entre otras. En relación con la protección de los datos que compartimos, habla del cifrado mediante AES 256 del vídeo, audio y uso compartido de la pantalla, firmas de audio y capturas de pantalla con marcas de agua, cifrado también del almacenamiento local y en la nube de las grabaciones y transferencia de archivos. Habla también de las diferentes certificaciones de seguridad y sobre la política de privacidad hablan de los diferentes métodos de autenticación utilizando aplicaciones ya existentes o mediante contraseña, también de la autenticación de doble factor, autorización del asistente para grabaciones, información técnica básica de los participantes de la reunión, almacenamiento de información básica del perfil… Llama la atención los tres últimos párrafos, donde avisan expresamente de que: Nunca han tenido intención de vender nuestra información a anunciantes y que no tienen intención de hacerlo. No supervisan nuestras reuniones ni su contenido. Cumplen con todas las políticas, reglas y normativas de privacidad en las jurisdicciones donde opera, entre las que incluyen el RGPD y la CCPA . Esto guarda relación con el informe del CCN sobre el uso de Zoom y sus implicaciones para la seguridad y privacidad. Recomendaciones y buenas prácticas publicado con motivo de los ciberataques sufridos durante el confinamiento. En sus conclusiones habla de que siguiendo la configuración y las salvaguardas adecuadas, Zoom ofrece un entorno de reunión virtual seguro y protegido, con independencia de que este software se encuentre actualmente en el objetivo de los ciberatacantes dada su popularidad. Google Meet Al igual que Microsoft, es la solución de videoconferencia integrada en G Suite con lo que conecta sin problemas con Gmail, Google Calendar, Docs, Drive, Jamboard o Cromecast entre otros. En este enlace puedes ver la seguridad y privacidad que aplica a los usuarios como: Medidas de seguridad para proteger las videollamadas como por ejemplo que los usuarios anónimos (sin cuenta de Google) no puedan unirse a la reunión, entre otras. Cifrado de todos los datos de forma predeterminada, entre el cliente y Google tanto desde los navegadores como desde las aplicaciones Meet de Android o iOS. Autenticación de doble factor (2FA). Sobre la privacidad y transparencia hablan de que, como usuarios tenemos el control sobre nuestra información, y de que aplican las leyes de protección de datos y otros estándares del sector. También de que no utilizan nuestros datos con fines publicitarios, ni tampoco venden los datos a terceros, al igual que Zoom llama la atención estos mensajes "tranquilizadores" para los usuarios. Prácticas recomendadas de seguridad para tener una reunión de confianza y crear una experiencia segura. ¿Qué aplicación debo elegir? Como conclusión, debemos elegir aquella solución que más se ajuste a nuestras necesidades como empresa o profesional, siempre teniendo en cuenta la integración con las diferentes herramientas que utilicemos para el desarrollo de nuestro trabajo. Si esto lo consideramos prioritario deberemos elegir entre Microsoft y Google, si lo que vamos buscando es una aplicación exclusivamente de videollamada, priorizando la sencillez sin muchos requisitos, Zoom en la candidata. En cuanto a la seguridad, como ya sabemos, ninguna solución es 100% segura, aunque la competencia ha provocado que todas hayan implantado medidas de seguridad que antes no tenían y que, sin duda, el objetivo es generar la confianza que necesitamos para trabajar compartiendo nuestra información garantizando la confidencialidad, integridad y disponibilidad de la misma. En cualquier caso, siempre debemos revisar las opciones de seguridad de cada solución e implantar las que más nos convenga, lo recomendable es que esta configuración la realice el administrador IT o de ciberseguridad de la empresa.

Como continuación del primer artículo en el que veíamos tanto la regulación del teletrabajo como las medidas de seguridad y privacidad en esta modalidad, en esta segunda entrega vamos a profundizar en lo realmente interesante de la norma: el equilibrio legal y técnico entre las partes, en este caso, empleador y empleado. Equilibrio entre el poder de control del empleador y el derecho a la privacidad del trabajador La línea que marcan los Tribunales para el lícito acceso del empresario a la información corporativa de dispositivos comienza con el deber de éstos según la regulación previa de contar con políticas sobre el uso de sus dispositivos, asunto que se regula en la actual Ley de Protección de Datos. Y la pregunta del millón: ¿puede el empleador acceder a la información de dispositivos y correos corporativos? "Depende". Depende del punto de vista desde el que se mire, el del empleador o el del trabajador, ya que la respuesta puede ser tan variada como las casuísticas existen en la realidad empresarial. Lo primero que habría que comprobar es la existencia de regulación previa de normas de uso de dispositivos. En el caso en que la respuesta fuese afirmativa, habría que analizar el documento en cuestión y comprobar cuáles son las medidas de control reguladas y la existencia o no de prohibiciones expresas de uso personal. Esta prohibición puede motivarse por razones de seguridad de la información. Por otro lado, en el caso de no existir tal regulación y, ante el acceso a la información corporativa del trabajador, podrá alegar haber sido vulnerado su derecho a la privacidad, ya que los tribunales entienden que, ante la ausencia de regulación, existe cierta tolerancia en el ámbito laboral del uso personal de equipos de empresa. En ambos casos y para evitar problemas de arbitrariedad del empleador, se le requiere acreditar la existencia de sospecha previa sobre el incumplimiento laboral de su trabajador y, con base a este indicio, se podría justificar el inicio de la investigación y la obtención de pruebas, ajustándose a los principios de necesidad, idoneidad y proporcionalidad, de tal forma que pueda permitir al empleador probar la infracción a la vez que se garantiza la máxima diligencia del derecho a la intimidad del trabajador. Para solucionar la minimización de acceso a la información, los técnicos suelen utilizar programas informáticos que permiten llevar a cabo búsquedas heurísticas basadas en criterios de palabras claves, selección de rango de fechas y ficheros con base al código de su firma hash, de esta manera pueden discernir el grano sobre la paja, en una maraña informativa y de correos electrónicos. Es una cuestión habitual entre abogados y peritos informáticos preguntarse: ¿quién se considera el responsable de la legalidad de las pruebas obtenidas? Y la respuesta de ambos profesionales es que los empleadores suelen delegar la responsabilidad en los peritos informáticos en la obtención de las evidencias digitales, incluso, en muchas ocasiones, estando presentes los abogados de empresa, ya que estos suelen desconocer la regulación específica de la materia. En este sentido y con el fin de limitar responsabilidades sobre la validez de las pruebas, es una recomendación para estos profesionales, peritos informáticos, que reflejen esta circunstancia sobre validez de prueba y limitación de responsabilidad de forma específica en el objeto del contrato de prestación de servicios. Siendo lo más correcto incorporar a un tercer actor, como es la figura de un abogado especialista en pruebas e investigaciones tecnológicas, que permita al empleador establecer una correcta estrategia probática digital para acreditar el hecho de la sospecha previa y, en consecuencia, la legitimación para su posterior investigación. Acompañando este profesional al empleador a lo largo del proceso que pudiera derivarse, por ejemplo, un despido disciplinario, desde la obtención de las evidencias digitales hasta la defensa en sala. Herramientas técnicas de control y acceso a la información dispositivos de empresa Dado que disponemos de un equipo de soporte IT y ciberseguridad en nuestra empresa, conocemos bien lo que ha supuesto para nuestros clientes este cambio tan repentino en la forma de trabajar sin estar preparados y sin haber tomado las medidas necesarias que garanticen la seguridad de la información y la continuidad de sus negocios. Hemos tenido que configurar su infraestructura para adaptarla a un uso masivo del teletrabajo, así como los equipos personales de los usuarios que, por lo general, no cumplían con los requisitos mínimos de seguridad. Se trata de un escenario complejo y requiere del uso de herramientas que permitan el control y acceso seguro a la información de la empresa. Antes de elaborar una política de seguridad de la información relacionada con la gestión de activos y teletrabajo debemos hacernos estas preguntas: Sobre los activos ¿Existe una política sobre el uso aceptable de los activos de la empresa como el ordenador o portátil, móvil, correo electrónico, mensajería instantánea, internet, redes sociales, etc.? ¿Se permite el uso de los activos de la empresa de forma personal? Si es así, ¿se ha documentado y explicado adecuadamente lo que significa un uso inapropiado? ¿Ha sido aceptado y firmado por el empleado? ¿De qué forma se controla y gestiona esto? ¿Existe algún tipo de monitoreo o trazabilidad? Una vez finalizada la relación empleado/empresa, ¿cómo se devuelven esos activos? ¿Existe un procedimiento y documento para esta finalidad? ¿Qué ocurre si no se devuelven? Sobre el teletrabajo ¿Existe una política específica de teletrabajo orientada a los usuarios móviles? ¿Los controles que se aplican son los mismos para todos los usuarios al margen de su localización? ¿Para los dispositivos móviles existe algún tipo de herramienta MDM (Mobile Device Management) que permita su control y cifrado? ¿Se han implantado medidas específicas que garanticen el uso durante el teletrabajo? Como por ejemplo: Uso de conexión VPN (Virtual Private Network) Contraseña segura con doble factor de autenticación (2FA) Copias de seguridad Actualizaciones del sistema Soluciones específicas de seguridad (no sólo antivirus) Seguridad en la nube (el 95% de los ataques en la nube serán responsabilidad de los usuarios) INCIBE ha elaborado una guía de ciberseguridad en el teletrabajo para orientar en esas buenas prácticas. Conclusiones Es obligatorio conocer y aplicar, en cualquier incumplimiento laboral a través de las nuevas tecnologías en el orden laboral, lo que se conoce como el Test Barbulescu II, en nombre a una famosa sentencia del Tribunal Europeo de Derechos Humanos en la que se dan criterios para el lícito acceso a la información de los dispositivos/correos corporativos. Donde lo primero que se tiene que hacer es comprobar la existencia de políticas de uso de dispositivos de empresa y si las mismas se ajustan a la realidad de la organización, a la metodología del trabajo y la existencia de prohibiciones expresas de uso personal, con el fin de que el trabajador no pueda alegar lo que se conoce como “expectativa de privacidad” en el uso personal de dispositivos corporativos y, por ello, pudiera llegar a declararse nula la prueba obtenida por vulneración de Derechos Fundamentales. Y si, por último, se aplicaron los principios de necesidad, idoneidad y proporcionalidad, para el acceso a la información de los equipos informáticos del trabajador. Entendiendo que, con el cumplimiento de lo anteriormente expuesto, tanto desde el punto de vista legal como desde la ejecución técnica, la obtención de la prueba debería considerarse lícita y, en consecuencia, tenerse en consideración por el Tribunal, sometiéndose a criterios de pertinencia y libre valoración, así como a los principios de publicidad, oralidad, inmediación, contradicción y concentración en el acto del juicio oral. No existe la ciberseguridad al 100 %, como tampoco la plena seguridad jurídica. Caso práctico: mi empleado me engaña Nuestra empresa dispone de una aplicación de registro de empleados, donde cada día deben identificarse al empezar, de forma que queda registrada la hora de llegada y salida. Nuestro empleado trabaja con una aplicación que también registra todo el proceso/actividad de esta mientras trabajamos en ella. Esta función lleva desarrollándola desde hace 10 años, aunque últimamente notamos algún que otro comportamiento extraño junto a algunas bajas injustificadas. Además, algunas de sus compañeras se quejan de acoso y la gerencia le ha llamado la atención en varias ocasiones. La empresa y el empleado llevan un control de las faltas y ausencias al puesto de trabajo, se detecta una discrepancia en un día concreto en el que el empleado afirma haber asistido. Nuestro trabajo de análisis forense comienza analizando la aplicación de registro de acceso y también la de su trabajo. Detectamos que ese día en concreto se registran dos accesos con ese usuario: uno a las 8:00, que apenas dura 2 segundos; y otro a las 8:05, que se prolonga hasta las 14:00, hora de salida. En el diseño de la aplicación se tuvo en cuenta no solo el registro del usuario, sino también la IP desde la que se conecta el usuario. Esta IP siempre es la misma, la de la empresa, ya que todos los usuarios trabajan desde dentro de la red y no está contemplado el teletrabajo en la empresa. Se detecta que la IP registrada es externa y por tanto esa conexión se ha realizado desde fuera de la empresa. También se analiza el log de la aplicación de gestión y se comprueba que no hubo actividad alguna durante ese día para ese usuario. Se procede entonces con la denuncia y solicitud al juzgado para que el operador de comunicaciones identifique y geolocalice la IP registrada. El informe de la operadora acredita que la IP corresponde a una ADSL que está a nombre del empleado y geolocalizada en su domicilio habitual. Resolución del caso Todas las evidencias encontradas (IP de la conexión externa, actividad de la aplicación de gestión y geolocalización de esta con informe técnico de la operadora) apuntaban a que fue el empleado, desde su casa, quien realizó la conexión para hacer ver a la empresa que ese día estuvo trabajando en la oficina. Finalmente, la resolución fue favorable para la empresa. Primera parte del artículo disponible aquí: CYBER SECURITY Teletrabajo: equilibrio entre control empresarial y privacidad de los trabajadores (I) 17 de diciembre de 2020

A estas alturas, cerrando el año 2020 y mirando hacia atrás, nadie se hubiera imaginado el avance en la digitalización de organizaciones y empresas por la irrupción del teletrabajo debido a la actual situación global de pandemia. Un avance ante el que empleadores y trabajadores se han tenido que adaptar implementando metodologías de trabajo a distancia y, en vista de que el teletrabajo ha venido para quedarse, algunos gobiernos han optado por su regulación, como por ejemplo España, que lo hizo el pasado mes de septiembre con el Real Decreto-Ley 28/2020, Argentina el pasado agosto con la Ley 27.555 o Chile en el mes de marzo con la Ley 21.200. También observamos como otros países de la región ya la tenían previamente regulada en su ordenamiento jurídico como son Colombia que lo hizo ya por el año 2008 con la Ley 1.221 o Perú en el año 2013 con la Ley 30.036 o, por último, Costa Rica que se sumó el pasado año 2019 con la Ley 9.738. Regulación del teletrabajo en España La Ley de Trabajo a Distancia viene a armonizar los estándares básicos que los empleadores tienen que aplicar para la implantación del teletrabajo en sus organizaciones. Esta modalidad ya era una realidad para empresas pequeñas y ágiles como las startups; sin embargo, para organizaciones y administraciones de mayor tamaño, ha sido una improvisación total, como se pudo comprobar con los confinamientos que se produjeron a partir del mes marzo. Esta circunstancia evidenció la falta de metodologías y sistemas de adaptación del trabajo en remoto, aumentando la superficie de exposición de los datos de las organizaciones y, en consecuencia, agravando los problemas de ciberseguridad, más aún teniendo en cuenta que el uso de equipos informáticos personales y conexiones a través de redes particulares provocó que la información corporativa saliese del perímetro de seguridad que ofrecen las instalaciones de las organizaciones. Pese a las críticas del sector empresarial en la tramitación del anteproyecto de la ley del trabajo a distancia, finalmente Gobierno, empresarios y sindicatos lograron alcanzar un acuerdo. Uno de los puntos de fricción fue la obligación de cubrir los gastos ocasionados a los trabajadores. La decisión es que competerá el pago por los empleadores en aquellos casos en los que sus trabajadores teletrabajen en un porcentaje superior al 30% de su jornada, es decir, para jornadas de cinco días y cuarenta horas semanales, aplicará la norma para aquellos que trabajen desde su domicilio más de un día y medio semanal, computados en periodos trimestrales. Esta circunstancia podría lastrar el auge del teletrabajo, ya que supone para el empleador un doble desembolso, mantenimiento de oficinas y pago de gastos del teletrabajador. Lo más interesante de la norma y que une el binomio técnico y legal, lo encontramos en el apartado h) del artículo 7, en el que se trata la necesidad de la regulación de los medios de control empresarial, los cuales deben de constar por escrito en el acuerdo de teletrabajo. En este sentido, existe un interesante campo legal que requiere el estudio de la jurisprudencia de los altos tribunales, caso por caso, y comprobar cómo los juzgadores entienden que se consigue el lícito acceso a la información de equipos informáticos y/o correos electrónicos corporativos de los empleados. Siendo las bases para el éxito de un buen acuerdo la confianza y el equilibrio del poder de control del empleador y el derecho a la intimidad del trabajador. Seguridad y privacidad en el teletrabajo Dentro de este nuevo paradigma en la forma de trabajar es evidente que, después de las personas, la información continúa siendo el principal activo de las empresas y que su seguridad, ahora más que nunca, puede estar comprometida debido al uso de equipos personales que están fuera del control de la empresa. La ausencia de una política de uso adecuado de los sistemas de información en la mayoría de las empresas es uno de los motivos principales por los que no se está realizando una gestión adecuada de estos recursos, que en muchos casos puede afectar gravemente a la continuidad del negocio. Como auditor de seguridad de la información, perito tecnológico y empresario, me encuentro con la responsabilidad de implantar las medidas necesarias para mitigar o reducir los riesgos asociados a la seguridad de la información pero, si el incidente se produce, también de investigarlo recopilando y analizando evidencias que ayuden a identificar el origen del problema. El objetivo de la norma ISO/IEC 27001:2013 es proteger la confidencialidad, integridad y disponibilidad de la información en las empresas, entre otros, incluye aspectos relativos al Teletrabajo y al Uso Aceptable de los Activos de la empresa. El punto 8.1.3 marca como objetivo documentar el uso apropiado de la información describiendo los requisitos de seguridad de los activos puestos a disposición del empleado, como el ordenador o portátil, móvil, cuenta de correo... siempre comunicándolo de forma adecuada para evitar el uso indebido como la extracción de información sin autorización (confidencialidad) manipulación de la información (integridad), suplantación de identidad o ransomware (disponibilidad), entre otros. Esta política de uso aceptable puede ser adoptada por la empresa al margen de la certificación. La pregunta es, si firmamos un acuerdo de confidencialidad o NDA con nuestros empleados, ¿por qué no documentamos una política y firmamos un documento de uso adecuado de los activos? Esto evitaría muchos problemas técnicos y legales ante posibles incidentes relacionados con la seguridad y privacidad en el teletrabajo, en primer lugar, porque se informa y se explica debidamente al empleado de lo que puede o no hacer con los recursos de la empresa, en segundo lugar, se firma un documento que así lo acredita y si finalmente se produce el incidente, no se podrá alegar desconocimiento de las normas y políticas relacionadas con la seguridad de la información de la empresa. El punto 6.2 se habla específicamente de garantizar la seguridad de la información en el uso de recursos para movilidad y teletrabajo, igualmente se trata de un objetivo muy extenso que no podemos tratar en profundidad, pero que resumimos en el siguiente punto, que aplica a los riesgos asociados a esta práctica, a los controles que deben implantarse para reducirlos o mitigarlos y al establecimiento de métricas que permitan hacer un seguimiento adecuado. Este es un ejemplo de documento a firmar por el empleado, que debe incluir los aspectos RGPD relativos al tratamiento de sus datos personales por parte de la empresa: En la segunda parte de este post seguiremos profundizando sobre este tema, puntualizando tanto en el equilibrio entre el control empresarial y la privacidad como en las herramientas de control. Esperamos que os sea de utilidad. Segunda parte del artículo ya disponible: CYBER SECURITY Teletrabajo: equilibrio entre control empresarial y privacidad de los trabajadores (II) 23 de diciembre de 2020