Miércoles, 15 Abril 2020 12:28

Reportajes UCO: Claves para teletrabajar de forma segura y proteger nuestros equipos de ciberataques

Escrito por G.C./M.J.P.
Prestaciones de la Licencia Campus con Microsoft Prestaciones de la Licencia Campus con Microsoft

En tiempos excepcionales como los que estamos viviendo, en los que de la noche a la mañana hemos transformado nuestros equipos personales en instrumentos de teletrabajo, las medidas para protegerlos y, así, salvaguardar los datos con los que trabajamos, también tienen que ser excepcionales. Aunque muchos nos permitamos ser más laxos con nuestros equipos personales en el día a día, desde el momento en que estos cumplen la doble función de servir también como equipo de trabajo, hay que adoptar unas medidas mínimas de ciberseguridad para no comprometer la integridad de los datos, ficheros y expedientes que, aunque los manejemos desde casa, siguen siendo de la Universidad de Córdoba.

Para ello, contamos con las recomendaciones y guías del Servicio de Informática de la UCO, de Juan Antonio Caballero, Coordinador General para la Adaptación de Infraestructuras Estratégicas; los profesores Juan Carlos Gámez y Juan Antonio Romero, del Aula de Redes y Seguridad para la Sociedad Digital, y de Francisco Esteban, delegado de protección de datos de la UCO

Aunque hay multitud de ataques de seguridad y sería imposible abarcarlos todos, además de la complejidad técnica que ello supone, seguir unas recomendaciones mínimas es contar con unos cimientos sólidos para evitar fallos de seguridad. Según los expertos consultados, el punto de partida recomendado es: usar siempre software / licencias originales; separa el entorno laboral del personal; revisar todas las contraseñas; desconfiar de todo lo que llegue por internet de remitentes desconocidos y nunca ejecutar ningún archivo de internet sin estar seguro de su procedencia; y usar redes privadas virtuales. Veamos cada una de ellas con más detenimiento.

1. Usar siempre software original

Que lo barato sale caro es un dicho que decimos mucho y practicamos poco. El software pirata no protege tu equipo de la misma forma que uno original, que, por el contrario, no suele ser caro y cuya inversión siempre es más que recomendable. “Este es el punto de partida número 1 de la seguridad informática”, comenta Juan Antonio Romero del Castillo, profesor de Ciencia de la Computación e Inteligencia Artificial y miembro del Aula de Redes y Seguridad de la UCO. Uno puede optar por software libre, muy usado en ámbitos universitarios, que tiene una comunidad de desarrolladores muy importante y que también pone un gran énfasis en la seguridad del mismo. Si se opta por Windows o Mac, que son los sistemas operativos más comunes, la protección del componente firewall permite proteger el equipo de software malicioso o atacantes que intenten conectarse al equipo del usuario de forma remota, es decir, analiza el tráfico a tu ordenador desde internet e impide entradas no autorizadas o sospechosas. Tener activado este componente es crucial para la seguridad de nuestros equipos. Los programas o software originales permiten actualizaciones que, de forma habitual, solucionan brechas de seguridad que las compañías van detectando.

Además, toda la comunidad universitaria de la UCO, ya sean estudiantes o personal, tiene la posibilidad de instalarse de forma gratuita el paquete Office 365 Educación, gracias al convenio que la institución mantiene con Microsoft. Office 365 Educación es un conjunto de servicios que permiten realizar y compartir tus trabajos e incluye Office Online (Word, PowerPoint, Excel y OneNote), 1 TB de almacenamiento en OneDrive, Yammer y sitios de SharePoint. Además, es posible instalar las aplicaciones completas de Office gratis e incluye la nueva herramienta Microsoft Teams, para videoconferencias e intercambio de documentos. Mientras se esté vinculado a la UCO, como estudiante o como trabajador, se puede usar este plan de forma totalmente gratuita. Por tanto, no hay excusas para no tener en nuestros equipos programas oficiales que nos garantizan seguridad y confianza.

Este paquete, además, permite usar Office en el móvil y en la tablet y, además, admite el trabajo en línea con Office Online y OneDrive, es decir, cualquier usuario puede trabajar online con otras personas y consultar los cambios que realicen en tiempo real, evitando la vieja práctica de enviar por correo electrónico documentos. Trabajar en línea refuerza la seguridad de nuestro trabajo.

 

2. Separar el entorno personal del laboral

En principio, al estar forzados a teletrabajar usando nuestros propios equipos, podría parecer que esto es más complicado. Sin embargo, es posible hacerlo si usamos las redes privadas virtuales (VPN) o las herramientas que la UCO pone a nuestra disposición. “Las VPN son una especie de túneles que permiten comunicación directa y segura entre tu equipo y la red a la que te conectas, en nuestro caso, la UCO. Gracias a ese canal es como si tu equipo estuviese "realmente" en las instalaciones de la empresa”, explica Juan Carlos Gálvez, profesor de Arquitectura y Tecnología de Computadores y miembro del Aula de Redes y Seguridad de la UCO. En el caso de nuestra institución, pueden descargarse e instalarse las redes VPN para distintos sistemas operativos.

Francisco Esteban, delegado de protección de datos de la UCO, pone el acento en este punto. “Hay que separar siempre el entorno del trabajo del entorno personal. Aunque trabajes con tu equipo desde casa y eso lo haga más complicado, lo ideal es usar siempre toda la información en remoto, es decir, lo que tenga que estar en Moodle, que esté en Moodle, lo que tenga que estar en el escritorio remoto, que esté allí. Y no sacar información de esos escritorios hacia un entorno personal”, explica. “Esto es, además, instrucción de Gerencia. La idea es esa: nosotros estamos en casa, pero los datos están en la Universidad, y los expedientes y la documentación no salen de la universidad, se manejan siempre en los mecanismos que la UCO tiene previstos. La custodia de un expediente que uno revise en su casa es de quien lo hace, pero lo hace en nombre de la Universidad. Estos sistemas que la UCO provee tienen personas expertas en seguridad informática detrás, así que lo que hagamos allí siempre estará más protegido”.

Por tanto, usar siempre Moodle si somos docentes (http://www.gestion.uco.es/continuidad/) y trabajar en los escritorios en remoto si somos PAS (http://www.gestion.uco.es/continuidad/gestion).

 

3. Descargar solo programas de confianza y no ejecutar nunca archivos de internet cuyo origen desconozcamos.

Muy relacionado con el punto 1, debemos tener especial cuidado con los programas y aplicaciones extra, no incluidos en nuestro paquete del sistema operativo, que vienen a solventar necesidades que han surgido con el teletrabajo. Sí, hablamos de las famosas aplicaciones y programas para videoconferencias. Retomando lo comentado en el punto 2, hay que extremar la precaución y discernir muy bien entre el uso personal y el laboral de nuestros equipos. Aún así, los expertos consultados recomiendan no instalar nunca nada que nos haya llegado por un enlace. Es mejor recurrir siempre a aplicaciones que se descarguen de Google Play o el App Store y que tengan a una compañía de confianza detrás. “Hay que ser selectivos”, nos recuerda Francisco Esteban. “Casi todas suelen tener empresas serias detrás, pero también es cierto que casi ninguna suele estar libre de tener en algún momento problemas de seguridad. Es mejor elegir alguna que tenga una gran empresa detrás, como la clásica Skype, que es de Microsoft actualmente. Google también tiene aplicaciones como Meet o Hangout. Estas pueden ser más fiables que alguna startup que nazca en estos momentos y cuyas políticas de tratamiento de datos no son siempre claras”, sostiene Esteban. Son las ya conocidas Zoom o House Party, cuya seguridad se ha visto en entredicho en estas semanas.

Sin embargo, para el entorno laboral no tenemos excusas, ya que la UCO pone a nuestra disposición tres herramientas tanto para PDI como para PAS. Son herramientas con licencia oficial y, por lo tanto, con soporte técnico por parte del Área de Tecnologías de la Información. La primera, integrada en Moodle y para uso del PDI, es Blackboard Collaborate. Esta herramienta da soporte para videoconferencias con el estudiantado. Alternativamente, y debido a la gran demanda de videoconferencias para teledocencia, se ha habilitado Cisco Webex. Para su utilización es necesario darse de alta como profesor o profesora, enviando un correo electrónico a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.. Como herramienta complementaria de colaboración y reunión, se puede usar Microsoft Teams, gracias a la suscripción de la UCO al Programa Campus / ESS de Microsoft. Esta es, asimismo, la recomendada para las reuniones de equipo del PAS. Permite videoconferencias, chats, compartir ficheros, etc. 

En otras palabras, cualquier miembro de la comunidad universitaria que use las herramientas con licencia recomendadas, puede contar con el soporte del Servicio de Informática para aclarar dudas sobre instalación, uso, etc.

 

4. Revisar nuestras contraseñas

La multitud de usuarios y contraseñas que manejamos hoy día y la dificultad -o pereza- para recordarlos nos sitúa en un espacio de vulnerabilidad apto para ciberataques. Por tanto, es un momento óptimo para revisar nuestras contraseñas y romper con la vieja costumbre de usar la misma contraseña para todo. Juan Carlos Gámez nos lo recuerda: “No dejes ni una sola que no sea una contraseña fuerte (que sea complicada de adivinar por un delincuente) y cambia las contraseñas que lleves mucho tiempo sin cambiar. No uses la misma contraseña en todos sitios”. Incide, además, en tener especial cuidado con la contraseña de la UCO (el usuario y correo de la UCO permite acceder a información sensible en distintas plataformas y aplicaciones de la Universidad), así como de sitios sensibles como la banca online, redes sociales, etc.

Los expertos consultados aconsejan usar un programa de gestión de contraseñas. Aunque hay infinidad y muy dispares, uno muy usado, que incluso es considerado por el INCIBE (Instituto Nacional de Ciberseguridad - https://www.incibe.es/protege-tu-empresa/catalogo-de-ciberseguridad/listado-soluciones/keepass-password-safe) es Keepass. Este programa tiene soluciones para distintos dispositivos y sistemas operativos e incluso ofrece no tener que instalar nada en el equipo y poder llevarlo de un equipo para otro en un pen drive (https://keepass.info/download.html). Keepass tiene la ventaja, además, de ser gratuito.

 

A estas cuatro recomendaciones básicas se añaden dos más. La primera, si usamos Wifi en casa, es cambiar las configuraciones predeterminadas, lo cual incluye la contraseña de la red. También es aconsejable desactivar la administración remota. “Lo mismo que tienes un buen cerrojo en la puerta de tu casa, debes intentar tener una buena seguridad en la red de tu casa”, explica Juan Carlos Gámez. Esta operación depende del tipo de router. Cada compañía de telecomunicaciones explica cómo hacerlo en sus webs corporativas. 

La segunda recomendación apela a nuestro sentido común. Ahora que estamos todos aún más conectados de lo normal y recibiendo continuamente información a través de diversos canales, hay que tener especial cuidado con el llamado social hacking. Se trata de una práctica muy extendida que consiste en recibir mensajes con gancho y que están adaptados a cada tipo de público (regalo de un menú a domicilio de cierta cadena de comida rápida, un contenido morboso, una solución milagrosa o simplemente echarle la culpa de nuestros males a otro, por citar varios ejemplos). Los resultados van desde implantarnos información falsa en la cabeza, para que luego nos confunda a la hora de tomar decisiones, pasando por la acumulación de datos personales para el envío de publicidad, hasta una posible estafa o suplantación de identidad para acceder a nuestras cuentas o pedir un préstamo a nuestro nombre. Los expertos en seguridad informática no se cansan de apelar al sentido común: desconfiar de fuentes que no parecen fiables o cuyo remitente desconocemos, no facilitar nunca nuestros datos personales ni bancarios, no hacer click en enlaces sospechosos de emails sobre productos o servicios que no hemos solicitado y, por supuesto, no contribuir a la propagación de noticias falsas (fake news) o bulos (hoax) del tipo que sea. En estas últimas semanas se han propagado especialmente fraudes que han usado el tema del COVID-19 como coartada. 

En definitiva, en esta época que nos ha tocado vivir y trabajar, podemos contribuir con buenas prácticas a hacerlo de forma más segura. Y si tienes alguna duda sobre cuestiones de seguridad y protección de datos  puedes consultar al Comité de Seguridad de la UCO y al delegado de protección de datos en las direcciones  Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.  y Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..

 

Información adicional

Visto 4780 veces Modificado por última vez en Viernes, 24 Abril 2020 10:17