Seguridad

¿Puede prevenirse la propagación de malware por e-mail? Siguiendo estas prácticas, sí

Mucho cuidado: este email de la Agencia Tributaria para la Renta 2016 es un timo

Con estos sencillos consejos conseguiremos hacer de nuestra empresa un entorno más seguro frente a las ciberamenazas procedentes del correo electrónico.

Cada día enviamos una media de 112 correos electrónicos desde nuestras direcciones corporativas, según un estudio de la Escuela de Computación Interactiva del Instituto Georgia Tech. Se trata de una cifra inusitadamente alta (dada la proliferación de herramientas colaborativas más eficientes y rápidas) que refleja el vestigio de una era tecnológica anterior donde estos mensajes eran la única vía de comunicación entre distintos profesionales dentro y fuera de la corporación.

Entre tanto email no es de extrañar que proliferen algunos envíos maliciosos, que estén al servicio de la distribución de documentos y archivos especialmente diseñados para infectar nuestros ordenadores y, en última instancia, los servidores y demás equipos TI de la compañía. No en vano, el correo electrónico es uno de los vectores típicos de ataque, en tanto que es una vía muy fácil para que los ciberdelincuentes expandan su terrible semilla ante la ignorancia y la confianza excesiva que demuestran muchos usuarios en su día a día.

¿Es posible frenar la propagación de un malware, cual epidemia de gripe se tratase, cuando está involucrado nuestro correo electrónico? Se trata de una superficie de ataque que ha visto cómo los antivirus han ido integrándose en este entorno y se iban desarrollando estrategias holísticas para este contexto, pero sigue siendo un campo muy fértil para los delincuentes informáticos.

Identificar patrones de riesgo

No es una norma exclusiva del correo electrónico, pero sí que resulta especialmente útil en estos entornos: las empresas deben evaluar cuál es la superficie real de ataque que exponen a través de sus servicios de email y qué peso tienen estas amenazas en el conjunto de vectores de ataques que pueden afectar a la organización. Para ello, se debe realizar una auditoría del tipo de documentos que se comparten entre los empleados, hacia fuera de la empresa y aquellos que llegan a la compañía; así como trabajadores con mayor riesgo de infección o que incumplen de forma sistemática las políticas de seguridad de la empresa.

De esta forma se podrán establecer patrones que nos ayuden a identificar por dónde puede venir un nuevo ataque a la compañía, poniendo barreras en ese terreno y llamando la atención del equipo técnico para cubrir de forma especial ese vector. Además, se podrán crear medidas de prevención ante una posible pérdida de datos que tenga en cuenta las vulnerabilidades reales (por ejemplo: backup diario en lugar de semanal para según qué perfiles de empleados).

Establecer fuentes de confianza

Aunque pueda parecer desalentador, tenemos una mala noticia: ni aún tomando todas las precauciones anteriores se puede garantizar que una empresa vaya a estar a salvo de las amenazas que los ciberdelincuentes piensan para los cientos de e-mail que recibimos a diario. Es por ello que las organizaciones deben complementar su estrategia puramente técnica de respuesta ante estos malware con una aproximación más humana y basada en un principio básico de cualquier sociedad: la confianza.

En ese sentido, crear grupos de contactos que segreguen nuestros correos electrónicos por el nivel de confianza de la fuente (personal interno, clientes habituales, proveedores, conocidos, contactos desconocidos, etc.) permite también bloquear o limitar la recepción, apertura e interacción con e-mails de dudoso origen que -potencialmente- contienen malware.

Poner puertas al campo

La expresión popular indica que no se le pueden poner puertas al campo… y es totalmente cierto. Pero sí podemos establecer ciertos límites que, si bien no son infalibles, guardan cierta lógica a la hora de protegernos de posibles correos electrónicos infectados. Por ejemplo, ¿qué sentido tiene que un experto de ventas reciba documentos que incluyen macros o componentes hechos en Javascript? ¿Por qué un becario de contabilidad tiene permiso para ejecutar documentos de Powerpoint susceptibles de ser modificados por un cibercriminal?

Establecer restricciones sobre el tipo de documentos permitido para cada departamento, profesional o grupo de trabajo puede ser una medida impopular (en caso de que sea necesario abrir un archivo vetado habría que avisar al equipo TI) pero muy útil para prevenir infecciones de malware en la corporación. Algo así como un cortafuegos en pleno monte para evitar la extensión de las amenazas informáticas.

Cuidado con el móvil

Y si el correo electrónico es fuente de preocupación para los responsables de seguridad de las empresas, no lo es menos la acequia por la que fluyen muchos de estos mensajes: el teléfono móvil. El fenómeno del BYOD (Bring your own device, por sus siglas en inglés) fue uno de los temas más candentes en la escena tecnológica hace un par de años debido a la problemática inherente a utilizar el mismo dispositivo para funciones personales y laborales.

Dos mundos con normas de seguridad distintas, vulnerabilidades muy heterogéneas y protocolos de actuación dispares que permitían extender las amenazas cibernéticas de juegos y apps sin verificar al entorno corporativo. También de malware extendido a través de nuestro email particular a los sistemas de la empresa; máxime si tenemos en cuenta que muy pocos usuarios cuentan con antivirus en sus smartphones y que es más complicado detectar un archivo fraudulento (por ejemplo, que presente caracteres extraños en su nombre) debido a las limitaciones propias del terminal.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.