OpiniónInfraestructuras

El correo electrónico no es un gestor documental

Por Juanjo Galán Business Strategy de All4Sec.

Juanjo Galán Business Strategy de All4Sec.
Juanjo Galán Business Strategy de All4Sec.

El riesgo de convertir el correo electrónico en un repositorio de información confidencial de la empresa ¿Quién no ha pensado en enviarse un email a sí mismo con un documento adjunto para trabajar posteriormente con él? ¿Quién no ha considerado que un documento anexado a un correo está más accesible si lo conserva en su buzón? ¿Quién no ha utilizado su cuenta de correo electrónico como repositorio de información?

Históricamente el buzón del correo electrónico ha sido el lugar en el que los usuarios hemos podido consultar cualquier tipo de documento recibido en tiempos pretéritos y que, por un motivo o por otro, necesitamos volver a examinar.

Información confidencial

Recurrir a la consulta del correo electrónico como sistema “centralizado de documentación” es una práctica demasiado habitual. Se trata de una costumbre que no está exenta de riesgos y que a menudo solemos pasar por alto. Los mensajes de correo electrónicos y sus documentos adjuntos son una fuente de información que los ciberdelincuentes tienen en enorme consideración.

Referencias financieras, intercambios de información privada con socios o colaboradores, datos personales de empleados o de terceras personas, facturas, documentos de envío de paquetes, etc. son tremendamente habituales en los ficheros adjuntos a los correos electrónicos. Correos que, por otra parte, no se encuentran cifrados y que, por tanto, pueden convertirse en información tremendamente valiosa en manos de un ciberdelincuente.

Información sin respaldo

Cuando uno de estos ciberatacantes accede al puesto de trabajo de una persona, habitualmente tiene el camino abierto a toda la información que el equipo contiene en ese momento; pero no solo porque el sistema de ficheros de la víctima esté al alcance del delincuente con un solo clic, sino también porque las aplicaciones de uso cotidiano, como el correo electrónico, normalmente permanecen abiertas y pueden ser consultadas sin ningún requisito adicional.

Este riesgo se convierte en temeridad cuando la información, recogida localmente, por ejemplo, en un fichero “PST”, se convierte en una isla dentro del sistema de información corporativa; una isla a la que solo el usuario del dispositivo puede acceder y consultar.

No es extraño encontrarse con procedimientos de respaldo dentro de las compañías que excluyen los ficheros del correo electrónico dentro de sus políticas de salvaguarda de información.

Al actuar así, los buzones de correos electrónicos se convierten en activos de alto riesgo que, llegado el caso, pueden ser no solo difíciles de recuperar, sino que además pueden causar problemas de cumplimiento normativo en la protección de datos (más aún cuando se trata de la gestión de datos personales).

Información en riesgo

No creemos necesario detallar los riesgos a la ciberseguridad que supone el correo electrónico. No pretendemos asustar al lector. Sin embargo, resulta indispensable pararse a pensar en cómo el buzón de correo electrónico puede convertirse en un libro de bitácora de toda nuestra actividad cotidiana. Y si no, respondamos con sinceridad a la siguiente pregunta: ¿quién no mantiene en su correo electrónico mensajes que recibió hace más de tres años?

Hacer un uso adecuado del correo y protegerlo con medidas de ciberseguridad son dos objetivos que todos deberíamos perseguir. Las políticas de seguridad de las compañías suelen recoger algunas recomendaciones en cuanto al envío o recepción de correos, al igual que los procedimientos de clasificación de la información determinan cómo gestionar la información que se envía o se recibe.

Medidas de protección

Las herramientas de protección como los DLP, las aplicaciones de cifrado de mensajes o los sistemas de copias de respaldo on-line las permiten afrontar algunos de los riesgos que acechan a la información recogida en los correos electrónicos. Con ellas, es posible atenuar parte de esos riesgos al tiempo que se evidencia la necesidad de incorporar otros mecanismos de acceso y control como son los sistemas MFA o los sistemas de filtrado de correos.

En su conjunto, todos aportan soluciones robustas a un servicio que resulta esencial en nuestras comunicaciones personales y profesionales.

Aun así, al final, tenemos que recordar que el uso que hacemos del servicio condiciona el nivel de riesgo que presenta. Y emplearlo como repositorio de información online no parece la mejor de las opciones.

Computing 816