Cuando piensas en ciberseguridad, ¿qué te viene a la mente? ¿Cortafuegos, administradores de contraseñas, cifrado? Con todo este software y hardware, es fácil pasar por alto un aspecto crítico: ¡la seguridad física! 

Esto significa la seguridad de tus dispositivos y sistemas contra robo, daño o manipulación. En la era pre-digital, la seguridad física se refería simplemente a "seguridad". 

Tanto si tienes una pequeña empresa como si gestionas TI en una corporación, proteger tus sistemas de amenazas físicas es tan importante como defenderse contra las digitales. En el mundo actual de trabajo híbrido y remoto, debes considerar la seguridad más allá de las paredes de tu oficina.  

Un portátil robado, una oficina sin llave, o una memoria USB manipulada pueden crear una puerta de entrada a tus sistemas. En muchos casos, el acceso físico puede superar las protecciones de software porque los atacantes no están tratando de acceder a tus sistemas a través de la web, sino en persona. 

Al examinar cómo las vulnerabilidades físicas pueden llevar a compromisos tecnológicos, puedes aprender cómo reducir el riesgo de tu empresa.

Amenazas físicas a tu negocio que debes considerar

1. Vigilancia física 

Los ciberdelincuentes no son píxeles; son personas de carne y hueso. Y antes de lanzar un ataque, pueden realizar vigilancia física para reunir inteligencia sobre tu negocio. 

Esto incluye ver quién entra y sale, observar hábitos en el trabajo, o escuchar conversaciones en áreas públicas. Los expertos en ciberseguridad tienen un término para esto: inteligencia humana, o HUMINT. HUMINT puede utilizarse en todo, desde crear correos electrónicos spearphishing hasta allanamiento. 

Qué hacer: 

• Instalar cámaras visibles alrededor de las entradas y áreas sensibles. 

• Usar credenciales o verificaciones de identificación para limitar el acceso. 

• Entrenar a los empleados para reportar individuos desconocidos o comportamientos sospechosos – ¡no dejes entrar a personas desconocidas!    

2. Manipulación de hardware y acceso no autorizado 

Los criminales no siempre necesitan hackear tu red. ¡Pueden simplemente entrar y acceder a una computadora desbloqueada y desatendida! 

Incluso conectar un dispositivo USB malicioso puede darles una base. Portátiles, computadoras de escritorio, impresoras, servidores...cualquiera de estos puede convertirse en puntos de entrada si no se aseguran adecuadamente. 

Qué hacer: 

• Requerir que los trabajadores cierren o bloqueen los dispositivos cuando no estén en uso.

• Requerir contraseñas largas, complejas y únicas y considerar usar un administrador de contraseñas en tu negocio.

• Bloquear dispositivos USB y otros dispositivos removibles por defecto.

• Bloquear las salas de servidores y gabinetes de equipos de red.   

3. Amenazas internas 

No todos los ataques provienen de externos. El peligro puede provenir desde dentro, especialmente si tienen algún resentimiento o una oportunidad para ganar dinero extra. 

Los empleados y contratistas descontentos pueden representar un riesgo para tus sistemas y datos. Incluso el personal bien intencionado puede cometer errores que lleven a problemas de seguridad.  

Qué hacer: 

• Usar el "principio de menor privilegio" (PoLP): dar acceso a los trabajadores solo a la información que necesitan. 

• Permitir sólo que empleados autorizados tengan acceso a salas de servidores o dispositivos de red. 

• Monitorear la actividad con registros de auditoría – las herramientas de análisis del comportamiento del usuario (UBA) también son útiles. 

• Realizar regular capacitación centrada en amenazas internas y otros temas de ciberseguridad – y celebra con nosotros el Mes de Concientización sobre Ciberseguridad cada octubre! 

• Los ciberdelincuentes explotan defectos de seguridad conocidos en software desactualizado. Asegúrate de que tus sistemas operativos, aplicaciones, plugins y controladores siempre estén actualizados. Recomendamos habilitar actualizaciones automáticas siempre que sea posible. Vale la pena el tiempo que lleva actualizar.  

4. Ingeniería social 

La ingeniería social es una táctica común entre los hackers, pero también puede usarse en el mundo real. La ingeniería social física puede implicar trucos como "tailgating" en un edificio seguro – una persona sostiene dos tazas de café y pide a un transeúnte que lo deje entrar, por ejemplo. Podría implicar plantar una memoria USB llena de virus donde un empleado podría conectarla para ver qué hay en ella. 

La ingeniería social se basa en nuestros impulsos naturales de curiosidad y ayuda, así como en la capacidad de todos para cometer errores simples. Desafortunadamente, ¡es bastante efectiva! 

Qué hacer: 

• Restringir el acceso a áreas usando tarjetas de acceso, códigos, o biometría. 

• Enseñar a los empleados a nunca conectar dispositivos desconocidos como USBs o tarjetas SD. 

• Implementar una política de escolta de visitantes en áreas sensibles y enseñar a tu personal a mantener sus escritorios limpios de material sensible – no se deben dejar dispositivos desbloqueados y desatendidos. 

• A "Si ves algo, di algo" es un excelente lema para ayudar a mantener tu oficina segura.  

No olvides a los trabajadores remotos y híbridos 

En entornos de trabajo híbridos, el perímetro de tu empresa se difumina – ahora los empleados acceden a sistemas desde oficinas en casa, cafeterías, o espacios de coworking, y aumenta el uso de dispositivos personales.  

Consejos para trabajadores remotos y híbridos: 

• Asegúrate de que tu personal remoto esté capacitado en temas de seguridad, como el uso de contraseñas fuertes y MFA, tanto como tu personal presencial. 

• Proporcionar dispositivos propiedad de la empresa con cifrado para el personal remoto. 

• Enseñar a los trabajadores a almacenar dispositivos de manera segura, especialmente cuando viajan.  

• Educar a los trabajadores remotos sobre “surfing de hombro” y estar conscientes de lo que otras personas podrían ver en sus dispositivos o teléfonos en público.  

• Invertir en administración de dispositivos móviles para gestionar los dispositivos que usan los trabajadores remotos.  

Protege lo físico para asegurar lo digital 

La ciberseguridad se trata de software, claro, pero también se trata de quién toca tu hardware, ve tus pantallas y pasa por tus puertas. Tomar la seguridad física en serio mejorará tus defensas tanto en el mundo real como en el digital. Para aprender más sobre cómo volverte resiliente, suscríbete a nuestro boletín! Las pequeñas empresas que quieren mejorar su seguridad deben considerar nuestro programa CyberSecure My Business, ¡diseñado pensando en operaciones más pequeñas!