{"id":23887,"date":"2022-02-07T16:15:45","date_gmt":"2022-02-07T22:15:45","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23887"},"modified":"2022-02-07T16:15:45","modified_gmt":"2022-02-07T22:15:45","slug":"working-with-freelances-dangers","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/working-with-freelances-dangers\/23887\/","title":{"rendered":"C\u00f3mo protegerte al colaborar con trabajadores aut\u00f3nomos"},"content":{"rendered":"<p>Emplear trabajadores aut\u00f3nomos (<em>freelancers<\/em>) desde hace tiempo es parte de la rutina para muchos gerentes. Incluso en una organizaci\u00f3n grande, no todas las tareas pueden resolverse dentro del equipo, sin mencionar a las peque\u00f1as empresas, quienes usualmente no pueden darse el lujo de contratar un empleado adicional. Sin embargo, conectar a una persona ajena al flujo de trabajo digital puede introducir riesgos cibern\u00e9ticos adicionales, especialmente cuando trabajas con una persona directamente sin una agencia de por medio.<\/p>\n<h2>Peligros del correo electr\u00f3nico entrante<\/h2>\n<p>Debes comenzar a pensar en amenazas potenciales cuando buscas al trabajador aut\u00f3nomo correcto. Es poco probable que contrates a alguien sin mirar su trabajo. Un trabajador aut\u00f3nomo podr\u00eda enviarte un documento, un archivo con varios trabajos, o un enlace a un sitio externo, y te ver\u00e1s obligado a entrar al enlace o abrir el archivo. Pero, de hecho, ese archivo o sitio podr\u00eda contener casi cualquier cosa.<\/p>\n<p>Los investigadores con frecuencia descubren vulnerabilidades en navegadores o paquetes de oficina. M\u00e1s de una vez, los atacantes se las arreglan para obtener el control de las computadoras corporativas al insertar <em>scripts<\/em> maliciosos en un documento de texto o al incrustar un paquete de <em>exploits<\/em> en el c\u00f3digo de un sitio web. Pero algunas veces estos trucos podr\u00edan no ser necesarios. Algunos empleados ya est\u00e1n listos para hacer clic en un archivo recibido sin siquiera mirar la extensi\u00f3n, y podr\u00eda ser un archivo ejecutable.<\/p>\n<p>Ten en cuenta que un atacante podr\u00eda mostrar un conjunto de trabajos completamente normal (no necesariamente de su propio trabajo) y enviar un archivo malicioso m\u00e1s tarde como resultado de una tarea. Adem\u00e1s, alguien podr\u00eda tomar el control de la computadora del aut\u00f3nomo, o de su casilla de correo, y utilizarlos para atacar a tu empresa. Despu\u00e9s de todo, nadie sabe con qu\u00e9 protecci\u00f3n cuenta su dispositivo o cuenta, y tu seguridad de TI no puede controlar lo que sucede ah\u00ed. No debes considerar los archivos recibidos como de confianza, incluso si llegaron de un aut\u00f3nomo con quien has trabajado por a\u00f1os.<\/p>\n<h3>Defensa<\/h3>\n<p>Si necesitas trabajar con documentos creados fuera de la infraestructura de la empresa, mantener la higiene digital es lo m\u00e1s importante. Todos los empleados deben estar al tanto de las ciberamenazas relevantes, as\u00ed que vale la pena elevar su <a href=\"https:\/\/k-asap.com\/es\/?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">nivel de concienciaci\u00f3n en seguridad<\/a>. Adem\u00e1s, podemos darte algunos consejos pr\u00e1cticos:<\/p>\n<ul>\n<li>Asigna reglas estrictas para el intercambio de documentos, informa a los aut\u00f3nomos, y no abras archivos si no se cumplen estas reglas. \u00bfArchivo autoextra\u00edble? No gracias. \u00bfUn archivo con una contrase\u00f1a que se especifica en la misma correspondencia? Esto podr\u00eda solo ser necesario para evadir los filtros antimalware del correo electr\u00f3nico.<\/li>\n<li>Dedica una computadora independiente, aislada del resto de la red, en una m\u00e1quina virtual, para trabajar con los archivos de fuentes externas, o al menos para verificarlos. De esta manera puedes reducir de manera significativa cualquier da\u00f1o potencial en caso de una infecci\u00f3n.<\/li>\n<li>Aseg\u00farate de equipar esta computadora o m\u00e1quina virtual con la <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n de seguridad<\/a> para bloquear la explotaci\u00f3n de vulnerabilidades o los clics a un sitio web malicioso.<\/li>\n<\/ul>\n<h2>Derechos de acceso<\/h2>\n<p>Vamos a asumir que encontraste al especialista externo necesario. Para colaborar en un proyecto, los trabajadores aut\u00f3nomos obtienen acceso a los sistemas digitales de la empresa, a las plataformas de intercambio de documentos, sistemas de gesti\u00f3n de proyectos, servicios de conferencia, mensajer\u00eda interna, servicios de nube, entre otros. Aqu\u00ed debes evitar dos errores: no otorgues demasiado permisos al trabajador aut\u00f3nomo, y no olvides revocar el acceso despu\u00e9s de que termine su trabajo.<\/p>\n<p>En lo que respecta a otorgar derechos, lo que mejor es seguir el principio del menor privilegio. Un aut\u00f3nomo solo deber\u00eda tener acceso a aquellos recursos que son necesarios para el proyecto actual. El acceso ilimitado al almacenamiento de archivos o incluso al historial de conversaciones podr\u00eda ser una amenaza. No subestimes la informaci\u00f3n almacenada, incluso en servicios auxiliares. De acuerdo con los informes de prensa, el <a href=\"https:\/\/www.nytimes.com\/2020\/07\/17\/technology\/twitter-hackers-interview.html\" target=\"_blank\" rel=\"noopener nofollow\">hackeo de Twitter de 2020<\/a> comenz\u00f3 cuando los atacantes obtuvieron acceso al <em>chat<\/em> interno de la organizaci\u00f3n. Ah\u00ed, con m\u00e9todos de ingenier\u00eda social, pudieron convencer a un empleado de la empresa de que les diera acceso a docenas de cuentas.<\/p>\n<p>La revocaci\u00f3n de derechos despu\u00e9s de finalizar un proyecto tampoco es una formalidad. No estamos diciendo que una vez terminado el trabajo, el trabajador aut\u00f3nomo inmediatamente comenzar\u00e1 a hackear tu sistema de gesti\u00f3n de proyectos. La misma existencia de una cuenta adicional con acceso a informaci\u00f3n corporativa no es algo bueno. \u00bfY si el trabajador aut\u00f3nomo configura una contrase\u00f1a d\u00e9bil o reutiliza la contrase\u00f1a de sus otras cuentas? En caso de una filtraci\u00f3n, existe un punto de vulnerabilidad adicional en tu red corporativa.<\/p>\n<h3>Defensa<\/h3>\n<p>Lo m\u00e1s importante es eliminar o desactivar la cuenta del aut\u00f3nomo una vez terminada la relaci\u00f3n laboral. O, al menos, cambiar el correo y contrase\u00f1a asociados; esto podr\u00eda ser un requerimiento en los sistemas que eliminan todos los datos asociados con una cuenta. Adem\u00e1s, recomendamos:<\/p>\n<ul>\n<li>Mantener un registro centralizado de qui\u00e9n tiene acceso a qu\u00e9 servicios. Por un lado, esto te ayudar\u00e1 a revocar todos los derechos despu\u00e9s de finalizar el proyecto, y, por el otro, puede ser \u00fatil al investigar un incidente.<\/li>\n<li>Solicitar a los contratistas que mantengan una buena higiene digital y utilicen soluciones de seguridad (al menos las gratuitas) en los dispositivos que usen para conectarse a los recursos de la empresa.<\/li>\n<li>Implementar la autenticaci\u00f3n de dos factores en todos los sistemas de nube cuando sea posible.<\/li>\n<li>Montar una infraestructura independiente para los proyectos con trabajadores aut\u00f3nomos o subcontratistas y los archivos, si es posible.<\/li>\n<li>Escanear todos los archivos cargados al almacenamiento en nube o al servidor corporativo en busca de <em>malware<\/em>.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>M\u00e9todos de protecci\u00f3n razonable contra ciberamenazas potenciales relacionadas con el trabajo aut\u00f3nomo.<\/p>\n","protected":false},"author":665,"featured_media":23890,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539],"tags":[5371,1869,3621,3013],"class_list":{"0":"post-23887","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-concienciacion-en-seguridad","10":"tag-correo-electronico","11":"tag-derechos-de-acceso","12":"tag-empleados"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/working-with-freelances-dangers\/23887\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/working-with-freelances-dangers\/23877\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/working-with-freelances-dangers\/19374\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/working-with-freelances-dangers\/9733\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/working-with-freelances-dangers\/26119\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/working-with-freelances-dangers\/24087\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/working-with-freelances-dangers\/26862\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/working-with-freelances-dangers\/26420\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/working-with-freelances-dangers\/32344\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/working-with-freelances-dangers\/10502\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/working-with-freelances-dangers\/43543\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/working-with-freelances-dangers\/18531\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/working-with-freelances-dangers\/18942\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/working-with-freelances-dangers\/15775\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/working-with-freelances-dangers\/28092\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/working-with-freelances-dangers\/28087\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/working-with-freelances-dangers\/24806\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/working-with-freelances-dangers\/30223\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/working-with-freelances-dangers\/30012\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/empleados\/","name":"empleados"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=23887"}],"version-history":[{"count":5,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23887\/revisions"}],"predecessor-version":[{"id":23895,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23887\/revisions\/23895"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/23890"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=23887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=23887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=23887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}