Seguridad

Tu empresa podría estar espiándote a través de tu BYOD

empresas-espian-empleados-a-traves-de-sus-dispositivos-personales
Escrito por Lara Olmo

Cuando nos hablan de espionaje tendemos a pensar en servicios secretos o en piratas informáticos. Pero no hace falta irse tan lejos: si tienes un dispositivo BYOD, es probable que tu empresa sepa mucho más de ti de lo que crees.

El uso extendido del BYOD (bring your own device) hace tiempo que trae de cabeza a muchas compañías, y es que resulta inevitable que ciertos datos corporativos se pongan en riesgo si los empleados emplean sus dispositivos personales para gestionarlos y conectarse a las redes de sus empresas.

De un tiempo a esta parte es habitual que, como medida preventiva, las organizaciones opten por soluciones de software de gestión de dispositivos móviles (MDM), para controlar los BYOD y canalizar los datos a través de la red corporativa mediante una red privada virtual (VPN) o un proxy global.

Sin embargo, este tipo de herramientas plantean un conflicto entre la privacidad de los empleados y la seguridad de las empresas y entra en conflicto con el Reglamento General de Protección de Datos de la Unión Europea (RGPD) que acabad e ser aprobado hace unos meses.

Aunque los empleados  dan su consentimiento para que el software de MDM se instale en sus dispositivos personales, aún a sabiendo que supone un control por parte de sus empresas, lo que probablemente desconozcan es hasta qué punto pueden ser monitorizados y “espiados” con este tipo de medidas.

Para comprobarlo, la firma de seguridad Bitglass hizo un experimento con varios BYOD de trabajadores de una compañía, y descubrió que ésta podía acceder a toda esta información personal:

  • Acceso a todo el historial de navegación: el tráfico se canaliza a través de un proxy global, pudiendo registrar la actividad de navegación de los empleados.
  • Acceso a todas las credenciales de acceso (de correo electrónico, redes sociales, servicios, etc): mediante el uso de un proxy global y un certificado de confianza se pudieron romper los cifrados SSL. Al volver a canalizar el tráfico basado en SSL sin cifrar, todos los inicios de sesión de esos servicios quedaron expuestos.
  • Interceptar las comunicaciones privadas entrantes y salientes: tanto de las aplicaciones empresariales como externas, incluyendo iOS. También pudieron hacer un inventario de todas las apps instaladas en los BYOD.
  • Geolocalización: en el experimento lograron activar el GPS en segundo plano sin que el usuario lo supueria, de forma que era posible conocer en todo momento qué hacía y dónde fuera de su horario laboral.

El 56% de las empresas españolas no respeta la ley europea de protección de datos

  • Restringir las copias de seguridad: los software MDM pueden borrar de forma remota cierta información, como los contactos de la agenda. Puede incluso impedir que el usuario haga copias de seguridad como medida preventiva, imposibilitando la restauración de iCloud y otros servicios.
  • Restringir las funciones básicas: desde usar ciertas aplicaciones a bloquear el terminal de forma remota, entre otras.

Con estos resultados, es evidente que las soluciones MDM entran en conflicto con el RGPD. Hasta que su aplicación no sea obligatoria en 2018, las empresas deberán optar por otras soluciones para encontrar el equilibrio entre su seguridad y la privada de sus empleados, que podrá negarse a la instalación de este tipo de tecnología en sus terminales.

Existen soluciones de software BYOD sin agentes para controlar el flujo de datos del dispositivo sin consecuencias negativas de intrusión.

Vía | Eduard Meelhuysen

Sobre el autor de este artículo

Lara Olmo

Periodista 2.0 con inquietudes marketeras. Innovación, redes sociales, tecnología y marcas desde una perspectiva millenial. Vinculada al mundo startup. Te lo cuento por escrito, en vídeo, con gráficos o como haga falta.