Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Cómo proteger tu negocio de ciberataques durante un viaje de empresa

Fecha de publicación 03/10/2023
Autor
INCIBE (INCIBE)
Hombre de negocios con maleta

Durante el mes de octubre se celebra el mes europeo de la ciberseguridad, evento organizado por la Comisión Europea y la Agencia Europea para la Seguridad de la Información y Redes (ENISA) y en el que INCIBE participa como coordinador nacional, con el objetivo, un año más, de concienciar sobre las amenazas de ciberseguridad.

En esta ocasión, el lema escogido es Be smarter than a hacker, en español Sé más inteligente que un ciberdelincuente.

Desde Protege tu empresa siempre concienciamos sobre la importancia de adelantarnos a las artimañas de los ciberdelincuentes y en esta ocasión nos enfocamos en la importancia de ir un paso por delante también cuando realizamos viajes de trabajo.

La realización de viajes de empresa es esencial para conseguir cerrar acuerdos y recuperar la actividad empresarial. Actualmente estos desplazamientos ya alcanzan niveles similares a los existentes antes de la pandemia y debemos hacer hincapié en proteger la información cuando nos desplazamos.

¿Qué riesgos de ciberseguridad están asociados a los viajes de empresa?

  • Creciente dependencia de la tecnología, sobre todo de dispositivos móviles (smartphones, tabletas) para realizar tareas profesionales transportando información de carácter confidencial perteneciente a la empresa.
  • Wi-Fi públicas. Las amenazas al conectarse a redes Wi-Fi públicas en hoteles, aeropuertos, cafeterías. Las redes Wi-fi públicas o gratuitas no están protegidas por una contraseña, no cifran la información que se transmite a través de ellas y por ello, cuando nos conectamos, estamos accediendo a una red en la que no controlamos ni lo que se está transmitiendo ni quién está conectado. Además, estas redes son vulnerables a múltiples ataques como por ejemplo el Man in the Middle.
  • Phishing  y ataques de ingeniería social a través de correos electrónicos que intentan engañar para que se revele información confidencial.
  • Pérdida y/o robo de dispositivo. Lo que podría dar lugar a la exposición de datos confidenciales si no están adecuadamente protegidos y cifrados.
  • Descargas de aplicaciones y software no seguros, o no confiables que pueden dar lugar a la descarga de malware en el dispositivo.
  • Fugas de información accidental, por ejemplo, dejando documentos con información sensible o confidencial en lugares públicos.
  • Regulaciones de datos internacionales. Será necesario cumplir con las exigencias derivadas de las normativas en materia de protección de datos cuando se realicen transferencias internacionales de datos. El incumplimiento de estas obligaciones pudiera conllevar importantes sanciones, tal y como se recoge en el Reglamento General de Protección de Datos (RGPD). Algunos de los mecanismos que se deberían aplicar de cara a garantizar la protección de los datos personales a la hora de realizar transferencias internacionales fuera del Espacio Económico Europeo (EEE), es decir, países de la Unión Europea más Liechtenstein, Islandia y Noruega pudieran ser, entre otros, la comprobación de que dicho país ha sido designado por la Comisión Europea como un país con un nivel de protección adecuado. En caso contrario, la legitimidad de la transferencia internacional de datos se podrá cumplir mediante la adopción de un instrumento jurídicamente vinculante y exigible entre las autoridades públicas, o bien mediante la implementación de normas corporativas vinculantes o cláusulas contractuales tipo, adoptadas por la Comisión Europea, códigos de conducta o mecanismos de certificación. Si necesitas más información sobre las garantías necesarias en las transferencias internacionales de datos, consulta el siguiente enlace de la web de la AEPD.

¿Qué medidas es aconsejable adoptar para evitar riesgos de ciberseguridad en los viajes de empresa?

Para garantizar la seguridad del viaje de empresa será suficiente adoptar unas sencillas medidas antes, durante y después del viaje:

  1. Antes de viajar:

    • Mantener los dispositivos actualizados con las últimas versiones de los sistemas operativos y el antivirus instalado correctamente en todos ellos.
    • Cifrar los datos en los dispositivos.
    • Tener una copia de seguridad de los datos.
    • Utilizar una contraseña robusta de autenticación de usuario.

      

  2. Durante el viaje:
    • Ser precavidos, custodiar en todo momento los dispositivos electrónicos y desconfiar de personas desconocidas que se acerquen para preguntar algo. Así como proteger el contenido que visualizamos en la pantalla para evitar el shoulder surfing (mirar por encima del hombro), ya que siempre existe el riesgo de estar cerca de un ciberdelincuente que pueda hacer un mal uso de nuestra información confidencial.
    • Limitar la información que se publica en redes sociales facilitando las ubicaciones, pues exponer esta información es una fuente de amenaza.
    • Evitar en lo posible usar redes Wi-Fi públicas. Si se utilizan, deshabilitar cualquier proceso de sincronización con el equipo y evitar realizar transacciones bancarias o cualquier actividad que suponga intercambio de datos privados. Puede usarse una red privada virtual (VPN), para que la información viaje de forma encapsulada y cifrada y así evitar que pueda ser vista y utilizada por terceros.
    • Deshabilitar el Bluetooth.
    • Bloquear los dispositivos mientras no se usan con un código de acceso, reconocimiento facial o huella digital. Utilizar el doble factor de verificación (2FA) en los servicios que aplique.
    • Evitar compartir dispositivos.
    • Evitar conectar tus dispositivos a USB que no sean tuyos, por ejemplo, evita recargar tus dispositivos en aeropuertos o USB públicos. Es recomendable llevar siempre nuestro cable y adaptador para cargar la batería y evitar un posible juice-jacking.
    • No escanear los códigos QR que te encuentres en la calle o en un lugar público.
  3. Después del viaje
    • Cambiar los datos de acceso.
    • Comprobar tras el viaje que los dispositivos móviles no se han infectado de ningún software malicioso.
    • Eliminar e-mails sospechosos.

¿Qué hacer ante un incidente de ciberseguridad durante un viaje de empresa?

Si durante un viaje de negocios se sufre un incidente de ciberseguridad, se debe de actuar de inmediato, poniéndolo en conocimiento del responsable de tratamiento, que analizará el riesgo que la brecha de seguridad hubiera podido ocasionar en los derechos y libertades de los afectados, valorando asimismo la necesidad de comunicar el incidente ante la Agencia Española de Protección de Datos (AEPD), así como a los afectados por la misma.

Si el viaje es internacional, se podría valorar la opción, tras analizar la gravedad del incidente, de contactar tanto con las autoridades locales como con la embajada nacional en el país extranjero para informar de la incidencia. No obstante, el poner el incidente en conocimiento de la embajada solo se debería valorar en los supuestos de especial gravedad, pero, en caso de duda, ellos podrán orientar sobre los pasos a seguir, así como de la peligrosidad del incidente en su territorio.

A nivel internacional, la ISO 31030:2021 es el estándar que brinda orientación a las organizaciones sobre cómo gestionar los riesgos, para la organización y sus viajeros. Dicho estándar proporciona un enfoque estructurado para el desarrollo, implementación, evaluación y revisión de la política, desarrollo de programas, identificación de amenazas, peligros, oportunidad y fortalezas; evaluación de riesgos y estrategias de prevención y mitigación, resultando de aplicación a cualquier tipo de organización, con independencia de su tamaño.

Si la brecha afecta a datos personales, el responsable valorará notificar la misma a la Agencia Española de Protección de Datos cuando exista un riesgo para los derechos y libertades para las personas físicas, dentro del plazo de 72 horas desde que se haya tenido conocimiento del incidente. Asimismo, valorará la comunicación también a los afectados si el riesgo es alto.

En la sección de Empresas de INCIBE, te facilitamos los principales pasos a seguir cuando somos víctimas de un incidente cibernético en: Te ayudamos a reportar un incidente, ¡no te lo pierdas!

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

 

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).