Saltar a contenido

LAN Wars: La amenaza fantasma

Hace mucho mucho tiempo, en un escritorio cercano....

La red corporativa está sumida en el caos. La implementación de políticas de seguridad en los sistemas de la empresa se encuentra en disputa.

Esperando resolver sus asuntos con un puñado de herramientas no aprobadas, los codiciosos rebeldes TI han detenido toda colaboración con el equipo de TI e instaurado su propio software.

Mientras el equipo de TI debate interminablemente sobre otros asuntos, el CISO ha enviado en secreto a dos expertos en ciberseguridad, guardianes del cumplimiento y el zero trust, para restaurar el orden y mantener la seguridad en la red.

¿Te suena esta película? Mejor aprender sobre ella ahora que cuando se convierta en una película de terror. En este post hablaremos sobre el problema del Shadow IT y cómo afrontarlo.

¿Qué es el Shadow IT?

El Shadow IT, o TI en la sombra, es como esa fuerza rebelde que opera al margen del Imperio - perdón, del departamento de TI oficial. Se refiere a todas aquellas aplicaciones, dispositivos y servicios que los empleados utilizan sin la aprobación formal.

Algunos casos pueden ser:

  • Usar WhatsApp para compartir documentos de trabajo porque el sistema oficial es demasiado lento.
  • Que un equipo interno decida usar Trello porque el JIRA de la empresa es complicado para ellos.
  • Hacer uso de iLovePDF para convertir documentos de la empresa.
  • Instalar un crack de PhotoShop por no tener licencia.
  • Montar AnyDesk para poder acceder a tu equipo desde casa.

Y no, no estamos hablando de casos aislados. Según estudios recientes, hasta el 80% de los trabajadores admiten usar aplicaciones no autorizadas en su trabajo diario. Desde servicios en la nube gratuitos hasta aplicaciones de productividad, el Shadow IT está más extendido de lo que muchos CISOs quisieran admitir.

Riesgos de esta práctica

Como en la mayoría de los casos, los peligros acechan en las sombras. Algunas prácticas aparentemente inofensivas pueden llevar a ataques devastadores. Veamos los principales focos de Shadow IT y los riesgos asociados:

Dispositivos Personales (BYOD)

El uso de dispositivos personales puede parecer inofensivo, e incluso deseable por la flexibilidad que otorga al usuario, pero estos "infiltrados" en nuestra red pueden:

  • Exponer nuestra red a amenazas externas: Este equipo puede haber sido comprometido previamente por malware o algún otro ataque y actuar como vector de entrada.
  • Exponer información corporativa en esferas no confiables: Algunas características como la sincronización en la nube pueden exponer información a third parties no confiables.
  • Facilitar movimientos laterales: Un atacante puede usar la máquina para moverse cómodamente por la red al no contar con las soluciones de seguridad corporativas.

Aplicaciones No Autorizadas

El uso de aplicaciones puede ahorrar un tiempo precioso al equipo de la empresa, pero siempre debe haber un proceso de aprobación y asegurarnos de que se cumplen ciertos estándares. Las aplicaciones instaladas sin control pueden tener consecuencias devastadoras, entre las que se incluyen:

  • Introducir vulnerabilidades en los equipos que alojan la aplicación: Estas aplicaciones pueden contener vulnerabilidades de seguridad aprovechables por un atacante para ganar privilegios o comprometer el sistema que aloja la aplicación.
  • Exponer nuestra red a amenazas externas: Todos conocemos algún caso de persona que descarga cierto software (OBS por ejemplo) desde el navegador y el primer resultado les lleva a instalar un clon de la aplicación que contiene algún tipo de malware. Esto pasó con Keepas hace un tiempo.

Extensiones de navegador

Estos pequeños añadidos, aparentemente inofensivos, pueden ser tan peligrosos como un droide espía:

  • Exponer nuestra compañía a amenazas externas: No es algo nuevo, pero recientemente se ha visto la escala. Hace unos meses comprometieron una serie de extensiones de navegador y las usaron para robar información del navegador de los usuarios de la extensión. Si bien podríamos pensar que es un caso aislado, existen portales de venta extensiones de navegador, donde cualquiera podría comprar una extensión confiable para los usuarios y posteriormente manipular su código.
  • Exponer información corporativa en esferas no confiables: Ya sea con fines maliciosos o no, muchas extensiones deben procesar información del navegador del usuario y mandar cierta información a los servidores del creador de la aplicación. Cabe preguntarse cómo de seguros están los datos que se almacenan y cuánto control hay realmente sobre qué datos se mandan.

Agentes de IA y Chatbots

"Estos sí son los bots que buscas." Los nuevos aliados tecnológicos también pueden entrañar riesgos:

  • Envío de información confidencial a servicios externos: Si bien con entrenamiento y con sentido común estos agentes pueden ser muy útiles para el usuario y ahorrar muchísimo tiempo, el uso indiscriminado puede llevar a mandar información confidencial a los proveedores del servicio...

Cómo afrontarlo

La solución no es construir otra Estrella de la Muerte. En lugar de eso, necesitamos un enfoque más inteligente:

Entender las necesidades reales

Antes de sacar el sable láser, es fundamental comprender por qué los usuarios recurren al Shadow IT. Este proceso comienza con una evaluación exhaustiva del panorama tecnológico actual de la organización. La realización de encuestas periódicas nos permitirá identificar las carencias y frustraciones que experimentan los usuarios con las herramientas oficiales. Es crucial establecer canales de comunicación abiertos donde los empleados puedan expresar sus necesidades tecnológicas sin temor a represalias.

El análisis de los patrones de uso de herramientas no autorizadas nos proporcionará información valiosa sobre las funcionalidades que los usuarios consideran imprescindibles. Esta información, combinada con la identificación de cuellos de botella en los procesos oficiales, nos ayudará a comprender dónde necesitamos mejorar nuestras soluciones corporativas.

Monitorización y Detección

Un sistema efectivo de control del Shadow IT requiere una estrategia de monitorización robusta pero no intrusiva. La implementación de sistemas de descubrimiento de aplicaciones en la red debe complementarse con herramientas de monitorización del tráfico que nos permitan identificar patrones de uso inusuales o potencialmente riesgosos. Deben realizarse auditorías periódicas de dispositivos y aplicaciones, pero siempre respetando la privacidad de los usuarios y manteniendo un equilibrio entre seguridad y confianza.

Crear una estrategia inclusiva

La clave está en el entrenamiento y la comunicación constante. El desarrollo de programas de formación específicos para cada departamento permite abordar las necesidades particulares de diferentes grupos de usuarios. Estos programas deben ir más allá de simples presentaciones, incluyendo talleres prácticos y sesiones de preguntas y respuestas que permitan a los usuarios comprender realmente los riesgos y las alternativas disponibles.

La creación de un programa de embajadores de seguridad puede ayudar a difundir las mejores prácticas de manera más orgánica dentro de la organización. La comunicación regular de actualizaciones, junto con la celebración de casos de éxito, ayuda a mantener el compromiso de los usuarios con las políticas de seguridad. El reconocimiento público de aquellos que adoptan y promueven prácticas seguras puede crear una cultura positiva en torno a la seguridad de la información.

Conclusiones

El Shadow IT no es el lado oscuro de la fuerza; es más bien un síntoma de necesidades no satisfechas en tu organización. En lugar de combatirlo con prohibiciones y restricciones, la verdadera victoria está en entender por qué surge y crear un ecosistema tecnológico que combine seguridad con usabilidad.

Recuerda: la fuerza del cambio está en el equilibrio entre control y flexibilidad. Como dijo un sabio maestro Jedi corporativo: "El Shadow IT, controlar debes, pero destruir no necesitas".

La próxima vez que descubras una aplicación no autorizada en tu red, antes de entrar en pánico, pregúntate: ¿Qué necesidad está cubriendo? ¿Cómo podemos ofrecer una alternativa mejor? La respuesta a estas preguntas te guiará hacia una gestión más efectiva de tu infraestructura IT.

Stay safe. Stay smart. Stay secure.