Las empresas corren un mayor riesgo de convertirse en blanco de ciberdelincuentes debido al uso de Shadow IT por parte de los empleados: se trata del uso de aplicaciones, dispositivos o servicios de nube pública, que no están autorizados o no cumplen con las políticas de seguridad de los departamentos de TI. Un estudio reciente de Kaspersky revela que el 77% de las empresas en todo el mundo sufrió ciberataques en los últimos dos años, y el 11% lo sufrió a raíz del uso de Shadow IT por parte de los empleados.
La investigación reveló que 1 de cada 10 empresas ha sufrido ciberataques en los últimos dos años debido al uso de programas o aplicaciones no autorizadas, asimismo, la industria TI ha sido la más afectada, víctima del 16% de los ciberataques debido al uso no autorizado de Shadow IT en 2022 y 2023. Otros sectores afectados por el problema fueron el de infraestructuras críticas, así como las organizaciones de transporte y logística, con un 13% de los incidentes en cada área.
El reciente caso de Okta demuestra claramente los peligros de utilizar Shadow IT. El año pasado, un empleado que utilizaba su cuenta personal de Google en un dispositivo de la empresa, permitió involuntariamente a los actores de amenazas acceder sin autorización al sistema de atención al cliente de la compañía. Ahí los ciberdelincuentes lograron secuestrar archivos que contenían tokens de sesión que luego podían utilizarse para realizar ataques. Este incidente cibernético duró 20 días y afectó a 134 clientes de la empresa, según el informe de Okta.
La industria TI ha sido la más afectada, víctima del 16% de los ciberataques debido al uso no autorizado de Shadow IT en 2022 y 2023
Cuando se habla de Shadow IT puede tratarse de aplicaciones no autorizadas instaladas en los equipos de los empleados, o de memorias USB y dispositivos móviles no solicitados, entre otros. Pero también hay algunas opciones que son menos llamativas. Un ejemplo es el hardware que queda obsoleto tras la reorganización de la infraestructura informática. Puede ser utilizado por otros empleados, adquiriendo vulnerabilidades que, tarde o temprano, encontrarán su camino en la infraestructura de la empresa.
En cuanto a los programadores, como ocurre a menudo, ellos mismos pueden crear programas a la medida para optimizar el trabajo dentro de un equipo o departamento, o para resolver problemas internos, haciendo que el trabajo sea más rápido y eficaz. Sin embargo, no siempre piden autorización al departamento de TI para utilizarlos, y esto podría tener consecuencias desastrosas.
La situación con el uso generalizado de Shadow IT se complica por el hecho de que muchas organizaciones no tienen documentadas las sanciones que sufrirán sus empleados como consecuencia de ir en contra de las políticas de TI en esta materia. Además, se prevé que Shadow IT podría convertirse en una de las principales amenazas para la ciberseguridad corporativa en 2025.
