El número de organizaciones que han desplegado soluciones de conectividad (wifi/LAN) de tipo doméstico/consumo en entornos de edificios corporativos (campus, oficinas, factorías, tiendas, etc.) es mínimo. Las razones son evidentes dadas las desventajas y carencias que presentan este tipo de soluciones frente a las de ámbito empresarial.
La pregunta que debemos hacernos es si, en el escenario actual, en el que para muchas organizaciones el teletrabajo ya no es una solución de contingencia sino una nueva forma de organizar el trabajo, y donde nuestros domicilios se han convertido en una extensión del entorno corporativo, tiene sentido que las organizaciones sigan apoyándose y confiando en soluciones de conectividad wifi de tipo doméstico, como los routers proporcionados por las operadoras, dadas las evidentes limitaciones que presentan.
Sin duda, el hecho de que los trabajadores de una organización realicen su actividad diaria desde sus domicilios aumenta la superficie de ataque a proteger por parte de la organización. Los entornos domésticos, que hasta ahora no eran especialmente atractivos para los ciberdelincuentes, se han convertido de la noche a la mañana en un objetivo prioritario de ataque, dada la altísima probabilidad de que haya personas teletrabajando y accediendo a activos valiosos de información corporativa (especialmente el caso de los directivos, gerentes y mandos intermedios de las organizaciones).
En este nuevo paradigma de organización distribuida, el router doméstico es la única barrera que separa al trabajador de Internet (es como si en nuestras oficinas tradicionales prescindiésemos de todas las soluciones de ciberprotección y conectásemos los usuarios directamente al router que da acceso a Internet). Estos routers corresponden a unos pocos modelos que ha estandarizado cada operador, y son ampliamente conocidos en el mercado, especialmente sus vulnerabilidades.
La conexión de dispositivos corporativos a una red wifi proporcionada por ese router, que está fuera del ámbito de control y gestión de la organización, no parece una práctica recomendable. En su lugar, utilizar un punto de acceso empresarial, que está totalmente controlado y gestionado por la organización, para proporcionar a través de un único dispositivo una red wifi corporativa, un firewall (para brindar protección perimetral) y políticas de seguridad avanzadas (como identificación/ filtrado de aplicaciones y contenidos), es una aproximación mucho más idónea.
El hecho de que los trabajadores de una organización realicen su actividad diaria desde sus domicilios aumenta la superficie de ataque a proteger por parte de la organización
Las soluciones de teletrabajo basadas en redes wifi/LAN proporcionadas por puntos de acceso de nivel empresarial (como la solución de Aruba ‘Oficina en Casa’) son claramente diferenciales al garantizar un nivel de prestaciones óptimo y un entorno mucho más seguro y confiable, sin trasladar la responsabilidad de la seguridad corporativa al trabajador. El despliegue de Oficina en Casa es muy sencillo, ya que no es necesario realizar ninguna configuración del punto de acceso en el domicilio; el usuario solo tiene que conectarlo con un cable al router doméstico y el punto de acceso se autoconfigura de forma totalmente automática, y al cabo de unos minutos tendrá la red wifi corporativa operativa en su domicilio.
A continuación, detallamos algunos riesgos asociados a las soluciones de teletrabajo que utilizan redes wifi proporcionadas por los routers domésticos como mecanismo de conexión a Internet (el documento completo se puede consultar en Internet*); este sería el caso de las soluciones basadas en cliente VPN.
Índice de temas
Conexión a redes wifi no seguras
La necesidad de conectarse al wifi doméstico obliga a dejar abierta la posibilidad de que un dispositivo corporativo se pueda conectar a cualquier red wifi seleccionada por el propio usuario. Por el contrario, las soluciones basadas en una conexión wifi proporcionada por un punto de acceso empresarial, permiten que en el dispositivo corporativo solo esté habilitada la posibilidad de conexión al identificador de red wifi corporativo, bloqueando la conexión a cualquier otra red wifi.
De esta forma, la organización tiene control total y garantía de que el dispositivo solo se puede conectar a la red wifi corporativa que se está radiando en el domicilio, y así todo el tráfico queda sujeto a las políticas que se hayan definido en el firewall de aplicación, integrado en el punto de acceso. La experiencia de conexión a la wifi para el teletrabajador es la misma que en la oficina.
Ausencia de segmentación de acceso en el entorno doméstico
Los dispositivos corporativos se conectan a la misma red wifi que el resto de dispositivos domésticos (ordenadores personales, tablets, smartphones, electrodomésticos inteligentes, domótica, smart TV…), lo que hace posible que todos estos dispositivos sean visibles y se puedan comunicar entre ellos al estar en la misma red.
Cualquier dispositivo que haya sido comprometido por un ciberatacante supone un riesgo para el resto de dispositivos en esa red, ya que podría atacar a los dispositivos corporativos con el objeto de introducir algún malware en estos dispositivos que le permitiese acceder a información sensible almacenada en el dispositivo, acceder al entorno corporativo utilizando el dispositivo como puerta de entrada o lanzar algún tipo de ataque, una vez que el dispositivo se volviese a conectar en su puesto de trabajo habitual en una oficina corporativa.
En el caso del punto de acceso empresarial, los dispositivos corporativos están conectados a una red corporativa totalmente separada de la red doméstica, que no es visible/alcanzable para el resto de los dispositivos. Con un direccionamiento IP independiente gestionado por la organización, no hay posibilidad de comunicación entre dispositivos corporativos y domésticos.
Los puntos de acceso de la solución de Aruba Oficina en casa disponen de funcionalidades de seguridad avanzadas, como un firewall, capaz de reconocer más de 2.500 aplicaciones, y funcionalidad de filtrado de contenidos, que permite identificar la categoría y la reputación de los contenidos de Internet a los que está accediendo el teletrabajador. Utilizando estas funcionalidades se pueden definir políticas de uso de la red, diferentes para cada usuario, basándose en la aplicación que se está utilizando (permitir/denegar/limitar ancho de banda) y el tipo de contenido al que se quiere acceder, evitando que los dispositivos corporativos puedan acceder a contenidos no deseados o que pueden ser maliciosos. Para ayudar a las organizaciones en la adopción de soluciones de teletrabajo seguras, Aruba ha elaborado una guía detallada con diferentes estrategias para garantizar la Continuidad de negocio (**).
(*): https://connect.arubanetworks.com/5-principales-riesgos-de-seguridad
