EDICIÓN ESPECIAL CORONAVIRUS →

La Agencia Española de Protección de Datos (AEPD) ha señalado que las plataformas tecnológicas de productividad utilizadas en las organizaciones se han convertido en uno de los activos más interesantes para los ciberdelincuentes por la posibilidad de acceder a información estratégica y confidencial.

La Agencia Española de Protección de Datos (AEPD) ha señalado que las plataformas tecnológicas de productividad utilizadas en las organizaciones se han convertido en uno de los activos más interesantes para los ciberdelincuentes por la posibilidad de acceder a información estratégica y confidencial.

El correo profesional, que antes era el único canal de información interna en muchas entidades, ha dejado paso a las plataformas tecnológicas de productividad y ofimática en la nube. A través de estas plataformas fluye una gran parte de la información de la organización, en particular, datos de carácter personal y, en los últimos tiempos, las plataformas se han convertido en uno de los activos más interesantes para los ciberdelincuentes por la posibilidad de acceder a información estratégica y confidencial.

I. Correo electrónico y plataformas de productividad y ofimática en la nube

El correo electrónico, desde su invención en la década de 1960, se ha ido popularizando a la vez que las redes y servicios de comunicaciones de datos se iban haciendo más accesibles. En la actualidad sigue siendo en una de las herramientas de comunicación más usadas, tanto en el ámbito laboral como en el privado.

En la arquitectura tradicional, el correo electrónico se encontraba alojado en los servidores de la organización y estaba administrado por personal propio o externo. Con la introducción de las nuevas tecnologías, como la mensajería instantánea o las redes sociales, el escenario es diferente. Ahora se usan los recursos computacionales en la nube que proporcionan las grandes multinacionales tecnológicas.

El correo electrónico ha crecido también en funcionalidad. Si antes era un simple medio de intercambio de mensajes de texto, ahora constituye una parte clave del proceso de toma de decisiones de la organización al haber añadido funcionalidades extra como compartición de documentos en la nube, videoconferencia, encuestas, multimedia, etc.

Como resultado de esta evolución, las entidades han acumulado grandes repositorios de información en la nube. Normalmente, estos almacenes están accesibles con las mismas credenciales del correo electrónico. La nube almacena y procesa información actualizada, y también histórica, de organizaciones públicas y privadas de cualquier ámbito, desde pequeñas empresas a grandes compañías, pasando por centros educativos.

Entre las plataformas más usadas pueden citarse productos como Office365 de Microsoft, o Google Suite que actualmente copan el mercado en los entornos profesionales.

II. Riesgos para la privacidad

El acceso a las plataformas de productividad online también ha evolucionado. Al principio era necesario utilizar el ordenador corporativo conectado a la intranet para acceder al correo electrónico. Ahora, sin embargo, es posible acceder desde cualquier dispositivo con conexión a internet que tengamos a nuestro alcance, independientemente de la red a la que estemos conectados. En la mayor parte de los casos, ya no se requiere disponer de una aplicación específica para el acceso, basta simplemente con un navegador web, y una única dirección común para el acceso de los empleados de todas las organizaciones que utilicen la misma plataforma corporativa. Esta es una de las ventajas de tener la información en la nube, pero a su vez un riesgo inherente a esta tecnología.

Debido a esta facilidad para conectarse, y que la superficie de ataque a estos sistemas sea todo Internet, pueden enumerarse, entre otros, las siguientes amenazas:

El responsable del tratamiento ha de adoptar medidas para minimizar la probabilidad de que se materialicen las amenazas anteriores. Entre otras, podemos destacar:

Es recomendable consultar los servicios que nos informan de las cuentas que han sufrido brechas de seguridad en otras webs por si algún miembro de la organización ha reutilizado sus credenciales.

reglas

Reglas de redirección de correo en Office 365.

Este post forma parte de una serie sobre brechas de seguridad, entre los que se encuentran: