Cómo protegerte al colaborar con trabajadores autónomos

Métodos de protección razonable contra ciberamenazas potenciales relacionadas con el trabajo autónomo.

Emplear trabajadores autónomos (freelancers) desde hace tiempo es parte de la rutina para muchos gerentes. Incluso en una organización grande, no todas las tareas pueden resolverse dentro del equipo, sin mencionar a las pequeñas empresas, quienes usualmente no pueden darse el lujo de contratar un empleado adicional. Sin embargo, conectar a una persona ajena al flujo de trabajo digital puede introducir riesgos cibernéticos adicionales, especialmente cuando trabajas con una persona directamente sin una agencia de por medio.

Peligros del correo electrónico entrante

Debes comenzar a pensar en amenazas potenciales cuando buscas al trabajador autónomo correcto. Es poco probable que contrates a alguien sin mirar su trabajo. Un trabajador autónomo podría enviarte un documento, un archivo con varios trabajos, o un enlace a un sitio externo, y te verás obligado a entrar al enlace o abrir el archivo. Pero, de hecho, ese archivo o sitio podría contener casi cualquier cosa.

Los investigadores con frecuencia descubren vulnerabilidades en navegadores o paquetes de oficina. Más de una vez, los atacantes se las arreglan para obtener el control de las computadoras corporativas al insertar scripts maliciosos en un documento de texto o al incrustar un paquete de exploits en el código de un sitio web. Pero algunas veces estos trucos podrían no ser necesarios. Algunos empleados ya están listos para hacer clic en un archivo recibido sin siquiera mirar la extensión, y podría ser un archivo ejecutable.

Ten en cuenta que un atacante podría mostrar un conjunto de trabajos completamente normal (no necesariamente de su propio trabajo) y enviar un archivo malicioso más tarde como resultado de una tarea. Además, alguien podría tomar el control de la computadora del autónomo, o de su casilla de correo, y utilizarlos para atacar a tu empresa. Después de todo, nadie sabe con qué protección cuenta su dispositivo o cuenta, y tu seguridad de TI no puede controlar lo que sucede ahí. No debes considerar los archivos recibidos como de confianza, incluso si llegaron de un autónomo con quien has trabajado por años.

Defensa

Si necesitas trabajar con documentos creados fuera de la infraestructura de la empresa, mantener la higiene digital es lo más importante. Todos los empleados deben estar al tanto de las ciberamenazas relevantes, así que vale la pena elevar su nivel de concienciación en seguridad. Además, podemos darte algunos consejos prácticos:

  • Asigna reglas estrictas para el intercambio de documentos, informa a los autónomos, y no abras archivos si no se cumplen estas reglas. ¿Archivo autoextraíble? No gracias. ¿Un archivo con una contraseña que se especifica en la misma correspondencia? Esto podría solo ser necesario para evadir los filtros antimalware del correo electrónico.
  • Dedica una computadora independiente, aislada del resto de la red, en una máquina virtual, para trabajar con los archivos de fuentes externas, o al menos para verificarlos. De esta manera puedes reducir de manera significativa cualquier daño potencial en caso de una infección.
  • Asegúrate de equipar esta computadora o máquina virtual con la solución de seguridad para bloquear la explotación de vulnerabilidades o los clics a un sitio web malicioso.

Derechos de acceso

Vamos a asumir que encontraste al especialista externo necesario. Para colaborar en un proyecto, los trabajadores autónomos obtienen acceso a los sistemas digitales de la empresa, a las plataformas de intercambio de documentos, sistemas de gestión de proyectos, servicios de conferencia, mensajería interna, servicios de nube, entre otros. Aquí debes evitar dos errores: no otorgues demasiado permisos al trabajador autónomo, y no olvides revocar el acceso después de que termine su trabajo.

En lo que respecta a otorgar derechos, lo que mejor es seguir el principio del menor privilegio. Un autónomo solo debería tener acceso a aquellos recursos que son necesarios para el proyecto actual. El acceso ilimitado al almacenamiento de archivos o incluso al historial de conversaciones podría ser una amenaza. No subestimes la información almacenada, incluso en servicios auxiliares. De acuerdo con los informes de prensa, el hackeo de Twitter de 2020 comenzó cuando los atacantes obtuvieron acceso al chat interno de la organización. Ahí, con métodos de ingeniería social, pudieron convencer a un empleado de la empresa de que les diera acceso a docenas de cuentas.

La revocación de derechos después de finalizar un proyecto tampoco es una formalidad. No estamos diciendo que una vez terminado el trabajo, el trabajador autónomo inmediatamente comenzará a hackear tu sistema de gestión de proyectos. La misma existencia de una cuenta adicional con acceso a información corporativa no es algo bueno. ¿Y si el trabajador autónomo configura una contraseña débil o reutiliza la contraseña de sus otras cuentas? En caso de una filtración, existe un punto de vulnerabilidad adicional en tu red corporativa.

Defensa

Lo más importante es eliminar o desactivar la cuenta del autónomo una vez terminada la relación laboral. O, al menos, cambiar el correo y contraseña asociados; esto podría ser un requerimiento en los sistemas que eliminan todos los datos asociados con una cuenta. Además, recomendamos:

  • Mantener un registro centralizado de quién tiene acceso a qué servicios. Por un lado, esto te ayudará a revocar todos los derechos después de finalizar el proyecto, y, por el otro, puede ser útil al investigar un incidente.
  • Solicitar a los contratistas que mantengan una buena higiene digital y utilicen soluciones de seguridad (al menos las gratuitas) en los dispositivos que usen para conectarse a los recursos de la empresa.
  • Implementar la autenticación de dos factores en todos los sistemas de nube cuando sea posible.
  • Montar una infraestructura independiente para los proyectos con trabajadores autónomos o subcontratistas y los archivos, si es posible.
  • Escanear todos los archivos cargados al almacenamiento en nube o al servidor corporativo en busca de malware.
Consejos