Coronavirus Phishing Attack, Human Hacking & Home Office

Giovani Becerra
Coronavirus Attack
Todos los Sectores Capítulo III

Coronavirus Attack, Human
Hacking & Home Office
NEWSLETTER
10MAR2020
Giovani Becerra Cerda
CEO & Owner | Inntesec
M : +569 8921 7125
E : gbecerra@inntesec.com
W : www.inntesec.com

Introducción al Human
Hacking
Mientras la OMS (Organización Mundial de
la Salud), los países y el mundo del Sector
de la Salud intentan controlar la propaga-
ción del Coronavirus y a la vez recuperar el
control, contener, eliminar y evitar que no
se convierta en una pandemia, los “Malos
Actores” (cibercriminales) de todo el mun-
do han encontrado en el Coronavirus una
oportunidad para realizar sus actividades
maliciosas de carácter criminal que bus-
can suplantar identidades, cometer frau-
des económicos o violaciones de datos.
Biológicamente, los virus pueden transmi-
tirse de varias formas; a través de la saliva,
el tacto o incluso el aire, y el malware (vi-
rus avanzado) es similar en el sentido que
los “Malos Actores” (cibercriminales) bus-
can brechas de seguridad y utilizan diferen-
tes vectores como por ejemplo el factor hu-
mano para ingresar a una organización.
Inmediatamente después de la enorme
atención mundial en torno al Coronavirus,
los “Malos Actores” (cibercriminales) co-
2

menzaron a utilizar dicho interés para difun-
dir su actividades criminales. Existe un au-
mento en la tendencia de búsquedas de
las personas sobre el Coronavirus en Goo-
gle Trends, en comparación con las tenden-
cias que observamos en los debates o bús-
quedas mencionadas en las redes sociales
sobre temas como ciberseguridad o ciber-
delincuencia en relación con el virus.
Los “Malos Actores” (cibercriminales) po-
seen herramientas avanzadas (Software as
a Services SaaS en la Dark Web) de Hu-
man Hacking para realizara ataques del ti-
po Social Engineering; Phishing, Spear
Phishing, CEO Fraud, Scams Email, BEC,
USB Attack, Vishing, Smishing, ATP, Ran-
somware y la lista sigue. Suelen aprove-
char los acontecimientos actuales de in-
certidumbre, crisis, noticias falsas (fake
news) en ciertas épocas del año, como:
• Desastres naturales (por ejemplo; huraca-
nes, tsunami, terremotos).
• Preocupaciones económicas (por ejem-
plo; crisis, estafas, fraudes, impuestos).
• Elecciones políticas (por ejemplo; parla-
mentarias, presidenciales).
• Epidemias y pánico en el sector salud
(por ejemplo; H1N1, SARS y ahora CO-
VID-19 conocido como Coronavirus).
Antes de entrar en materia sobre el Coro-
navirus Phishing Attack y como los “Ma-
los Actores” (cibercriminales) se aprove-
chan de las vulnerabilidades de las perso-
nas en general, quiero introducir a los lec-
tores sobre algunos conceptos que ayuda-
rán a entender de mejor manera el Human
Hacking y la importancia y obligación que
tienen las organizaciones en “Educar y en-
trenar al usuario en materia de Security
Awareness”.
¿Qué es un ataque de
ingeniería social?
En un ataque de ingeniería social, un ata-
cante (malos actores) utiliza la interacción
humana (habilidades sociales) para obte-
ner o comprometer información sobre una
organización o sus sistemas informáticos.
Un atacante (malos actores) puede pare-
cer modesto y respetable, sin embargo,
busca usurpar o suplantar la identidad de
algún empleado o bien, haciéndose pasar
por un nuevo empleado, una persona de
operaciones, un profesional de la salud o
un investigador e incluso mostrando sus
credenciales para respaldar su identidad.
Sin embargo, el atacante (malos actores)
al hacer preguntas, puede ser capaz de re-
3

unir suficiente información para infiltrarse
en la red de una organización. Si un ata-
cante (malos actores) no es capaz de reu-
nir suficiente información de una fuente
(víctima), puede ponerse en contacto con
otra fuente dentro de la misma organiza-
ción, y generar confianza utilizando la infor-
mación de la primera fuente con el objeti-
vo de aumentar su credibilidad.
phishing?
El phishing es una forma de ingeniería so-
cial, donde, los “Malos Actores” (cibercrimi-
nales) del phishing utilizan el correo electró-
nico o los sitios web maliciosos para solici-
tar información personal haciéndose pasar
por una organización de confianza. Por
ejemplo, un atacante (malos actores) pue-
de enviar un correo electrónico aparente-
mente desde una compañía de tarjetas de
crédito, una institución financiera o un
prestador de servicios de salud de renom-
bre que solicita información como por
ejemplo; datos de cuentas, fichas clínicas,
historial médico del paciente, etc. lo que
refleja que existe un problema. Cuando los
usuarios responden con la información soli-
citada, los “Malos Actores (cibercriminales)
pueden utilizarla para obtener acceso a di-
versas cuentas e ingresar a la organización
para comenzar con la etapa de explora-
ción, luego reconocimiento de activos pa-
ra finalizar con el data breach (violación de
datos) que puede resultar en un fraude
económico, exfiltración de los datos, se-
cuestro de información o extorsión.
vishing?
Vishing es el enfoque de ingeniería social
que el atacante (malos actores) aprovecha
utilizando la comunicación por voz, esta
técnica se puede combinar con otras for-
mas de ingeniería social que buscan atraer
a la víctima ya sea mediante una llamada
de un número determinado para que divul-
gue información sensible. Los ataques de
vishing avanzados pueden se pueden eje-
cutar a través de las comunicaciones de
voz explotando las soluciones de voz so-
bre el protocolo de Internet (VoIP) y los ser-
vicios de difusión. VoIP permite suplantar
fácilmente la identidad del que llama (ciber-
criminales), generando confianza y aprove-
chando el desconocimiento de las vícti-
mas en materia de Human Hacking &
Cyber Security, y de la poca y escasa segu-
4

ridad que existe en los servicios telefóni-
cos (telefonía VoIP), especialmente la tele-
fonía fija. La comunicación por telefonía fi-
ja (líneas telefónicas cableadas) no puede
ser interceptada sin tener acceso físico a
la línea, esto no significa que no sea vulne-
rable, sin embargo, este atributo no es sufi-
ciente cuando un atacante (malos actores)
se comunica directamente con su víctima.
smishing?
El smishing es una forma de ingeniería so-
cial que explota los mensajes SMS o de
texto, donde, los mensajes de texto pue-
den contener enlaces a sitios como pági-
nas web, direcciones de correo electrónico
o números de teléfono que al hacer clic en
ellos, pueden abrir automáticamente una
ventana del navegador o un mensaje de
correo electrónico o bien marcar un núme-
ro. Esta integración del correo electrónico,
la voz, los mensajes de texto y la funciona-
lidad del navegador web aumenta la proba-
bilidad de que los usuarios sean víctimas
de una actividad maliciosa (cibercriminal)
diseñada por los “Malos Actores” (cibercri-
minales) con propósitos claros y específi-
cos de cometer un data breach (violación
de datos) que puede resultar en un fraude
económico, exfiltración de los datos, se-
cuestro de información o extorsión.
Al final de este artículo hablaremos sobre
nuestra visión en materia de “Cyber Secu-
rity & Human Hacking” y consejos prácti-
cos como por ejemplo; ¿Cuáles son los in-
dicadores comunes de los intentos de
phishing?, ¿Cómo evitar ser una víctima?,
¿Qué hacer en el supuesto caso que eres
una víctima?, ¿Cómo recibir educación y
entrenamiento y en que consiste el Secu-
rity Awareness? y mucho más.
5

Coronavirus Phishing
Attack
La Organización Mundial de la Salud
(OMS) advierte que los “Malos Actores” (ci-
berdelincuentes) se aprovechan de la pro-
pagación del COVID-19 conocido como
Coronavirus para cometer fraude econó-
mico (robar dinero) o data breach (viola-
ción de datos y exfiltración de informa-
ción sensible). Señala la agencia de salud
de la ONU, que los “Malos Actores” (ciber-
delincuentes) se hacen pasar por represen-
tantes de la OMS, y recomienda que, si al-
guien se pone en contacto con una perso-
na u organización que dice ser de la OMS,
debe tomar medidas para verificar su au-
tenticidad e identidad.
Entre los casos de comportamientos sos-
pechosos se encuentran; la solicitud de in-
formación de acceso, el envío de archivos
adjuntos de correo electrónico no solicita-
dos, la dirección de las personas a un sitio
web que no es www.who.int y la solicitud
de donaciones directas a planes de res-
puesta de emergencia o llamados a finan-
6

ciar la vacuna para el Coronavirus. La
OMS afirma firmemente que nunca ha he-
cho ni hará ninguna de estas cosas, y ad-
vierte que las estafas pueden presentar-
se en forma de correos electrónicos, si-
tios web, llamadas telefónicas, mensa-
jes de texto e incluso mensajes de fax.
Los correos electrónicos maliciosos envia-
dos por los “Malos Actores” (estafadores)
se conocen como correos electrónicos
“Phishing”. Parecen provenir de la OMS y
solicitan información confidencial, como
nombres de usuario y contraseñas, piden
a los usuarios que hagan clic en enlaces
sospechosos y abran archivos adjuntos
que son maliciosos (poseen malware). Se-
guir estas instrucciones permite a los “Ma-
los Actores” (ciberdelincuentes) instalar
software malicioso que puede darles acce-
so a los computadores o dispositivos elec-
trónicos (smartphone, tablets, laptops).
Una gran cantidad de cuentas en las redes
sociales comparten información sobre el
Coronavirus COVID-19, donde, el jefe de
la OMS Tedros Adhanon Ghebreyesus hizo
un llamamiento al público para que bus-
que fuentes oficiales (como el sitio web de
la OMS) para averiguar cómo protegerse a
sí mismo, a sus seres queridos y a la comu-
nidad local. El sitio web de la OMS cuenta
con información experta y exhaustiva, ac-
tualizada periódicamente y autorizada pa-
ra entregar información real sobre el virus.
En un tweet publicado el sábado, Tedros
reconoció la ansiedad que muchos sienten
por el Coronavirus COVID-19, y enfatizó la
importancia de la preparación, y la planifi-
cación de cómo mantenerse seguro en el
trabajo, colegio o lugares públicos.
Estudio de un caso de
Coronavirus Phishing
Attack
Si biológicamente el Coronavirus puede
propagarse en espacios comunes como;
Colegios y Universidades, Clínicas y Hospi-
tales, Organizaciones en general del mun-
do público y privado, a tal punto de aislar
al individuo o a la organización impidiendo
que los empleados puedan desarrollar sus
actividades laborales en sus oficinas, es
preocupante del punto de vista económico
ya que las organizaciones dependen de
sus empleados para avanzar y cumplir con
los objetivos. Entonces, hace sentido pen-
sar en el “Home Office” y como a través
de la movilidad podemos seguir conecta-
dos y trabajando pero desde nuestros ho-
gares, más adelante lo comentaremos.
7

Lamentablemente, los “Malos Actores” (ciberdelincuentes) se
aprovechan de las crisis, porque les da una razón creíble para
engañar a los usuarios a través de una estafa de Phishing. Co-
mo señalé anteriormente, suelen aprovechar los aconteci-
mientos actuales de incertidumbre, crisis, noticias falsas (fa-
ke news) e ciertas épocas del año, como: a) Desastres natura-
les (por ejemplo; huracanes, tsunami, terremotos), b) Preocu-
paciones económicas (por ejemplo; crisis, estafas, fraudes, im-
puestos). c) Elecciones políticas (por ejemplo; parlamentarias,
presidenciales). d) Epidemias y pánico en el sector salud (por
ejemplo; H1N1, SARS y ahora COVID-19 conocido como
Coronavirus). Aquí analizamos un caso real de un ataque de
Phishing (suplantación de identidad) de mal gusto y bastante
aterrador, de una estafa actual que utiliza el coronavirus como
su señuelo al cual le hemos llamado “Coronavirus Attack”.
Caso Real
Coronavirus
Attack
Cuidado!!! Ataques
de Phishing se
esconden detrás del
Coronavirus.
8

El correo electrónico, que lleva el logo de la Organización Mundial de la Salud (OMS) dice:
a) Revise el documento adjunto sobre las medidas de seguridad en relación con la
propagación del coronavirus, b) Haga clic en el botón de abajo para descargar, c)
Los síntomas comunes incluyen ﬁebre, tos y diﬁcultad para respirar.
9

Este es un Coronavirus Phishing Attack que suplantó al sitio web oﬁcial de la Organiza-
ción Mundial de la Salud (OMS). Afortunadamente, los “Malos Actores” (cibercriminales)
han cometido varios errores ortográﬁcos y gramaticales que actúan como señales de
advertencia para los usuarios. El link (URL de la página web) en el que se le pide a la vícti-
ma que haga clic es similar al de la OMS pero afortunadamente no lo es ya que es falso.
10

En Primer lugar, parece ser un sitio web
de música que ha sido comprometido y
modificado con un nombre de un dominio
falso y que no tiene ninguna relación obvia
con ninguna organización de salud conoci-
da; en Segundo lugar, es un sitio HTTP
(sin certificado y sin seguridad) y no un si-
tio HTTPS (sitio web seguro con candado
que muestra el certificado de OMS), confir-
mando que es un sitio web sospechoso y
que no debemos correr el riesgo de hacer
clic en el link (enlace). Sin embargo, el con-
tenido de la página suplantada para come-
ter la estafa, es simple y creemos que no
puede haberles tomado tanto tiempo a los
“Malos Actores” (cibercriminales) diseñar-
la, no obstante, visualmente es muy similar
y bastante efectiva para su propósito.
La página web falsa consiste en la copia
de la página web oficial de la Organización
Mundial de la Salud (OMS), con un modes-
to formulario que sobresale. En situación
de pánico o nerviosismo por el Coronavi-
rus, los usuarios que tengan amigos, fami-
liares o compañeros de trabajo en los paí-
ses afectados buscarán informarse y ha-
cer lo correcto aprendiendo más sobre có-
mo prevenir la propagación de la enferme-
dad, sin embargo, podrían ser víctima de
este engaño y llenar el formulario, tal
vez porque se sienten presionados por, o
simplemente no piensan con claridad debi-
do al pánico o la incertidumbre.
De hecho, muchas organizaciones ya
han enviado correos electrónicos a su
personal para ofrecer asesoría, por lo
que leer información adicional que supues-
tamente proviene de la OMS suena como
algo sensato y responsable. Por supuesto,
si ingresas tu dirección de correo electróni-
co o tu contraseña y haces clic, estarás en-
viando el formulario web con toda esta in-
formación a los “Malos Actores” (cibercri-
minales). Peor aún, lo enviarás a través de
una conexión no encriptada (HTTP).
Así que el atacante (malos actores), po-
dría potencialmente capturar tu tráfico
de red y ver el nombre de usuario y la
contraseña que acabas de ingresar. Una
vez que hayas hecho clic en el botón “Veri-
ficar”, los “Malos Actores” (cibercrimina-
les) te envían al sitio web real de la OMS
en who DOT int (https://www.who.int), que
es igual a la página anterior en la que esta-
bas, pero sin el formulario que sobresale y
con la excepción bastante obvia de que la
barra de direcciones ahora se ve y es co-
rrecta, mostrando el nombre genuino del
sitio web de la OMS, y mostrando un can-
dado que al hacer clic en él se ve el certifi-
cado web, un certificado que aparece co-
mo publicado por la propia OMS.
11

Este es el sitio web oficial de la Organización Mundial de la Salud (OMS). Es muy im-
portante fijarse en el link (URL del sitio web) el cual no debe tener extensiones largas o
bien, nombres de otras organizaciones o sitios web desconocidos. Un consejo clave de
Inntesec para evitar ser víctima de un Phishing es aplicar “DMPA”, es un concepto que
en Inntesec Security Awareness significa “DETENTE, MIRA, PIENSA Y LUEGO ACTUA”.
12

Home Office en Tiempos
Difíciles
Home office, alternati-
va para no exponer a
los colaboradores al
Coronavirus
Según “El Economista”, el “Home Office”
se ha convertido en las últimas semanas
en una tendencia para evitar la propaga-
ción del Coronavirus en Asia, alternativa
laboral viable para los países afectados.
(Covid-19), el Coronavirus que se propaga
a través del contacto físico, por lo que una
de las recomendaciones es evitarlo. Sin
embargo, en las instalaciones y/o oficinas
es imposible no tener acercamiento con
los compañeros de trabajo y qué decir del
transporte público.
El transporte público y las oficinas no son
los mejores lugares para prevenir el conta-
gio del Coronavirus y, ante ello, el “Home
Office” representan una opción para no
13

exponer a los trabajadores al Covid-19 y
no parar las operaciones de la empresa.
En China, el país con más casos de Covid-
19, la crisis sanitaria por el virus ha provo-
cado que se realice el experimento de tele-
trabajo más grande de la historia como
una alternativa para continuar las activida-
des productivas sin exponerse al contagio.
La palabra “재택근무” que se traduce como
“Trabajar desde casa” fue tendencia esta
semana en Twitter Korea y es que esta mo-
dalidad ha sido una de las soluciones en
Asia para evitar contagios mayores y no
afectar la economía de muchas empresas.
Uno de los principales motivos de conta-
gio de enfermedades respiratoria es el con-
tacto con personas que han estado ex-
puestas de forma directa o indirecta con el
virus, y los espacios de trabajo son cen-
tros de constante intercambio de enferme-
dades. Según la Organización Mundial de
la Salud (OMS), las enfermedades respira-
torias son responsables de entre 10 y 12%
del ausentismo laboral.
Es ahí donde el “Home Office” puede evi-
tar el contagio de esta clase de enferme-
dades hacia el talento humano de una
empresa y evitar fuertemente la propaga-
ción. Datos de Telework señalan que, si
bien más del 50% de la empresas latino-
americanas ha implementado el “Home
Office”, sólo el 15% de empleadores en la
región tiene un modelo de trabajo 100%
remoto.
Alarma en EE.UU.!!! todo un condado
con Home Office por avance del Corona-
virus.
Según la “Agencia ANSA”, en un condado
del estado de Washington (noroeste), don-
de se han reportado 31 casos del nuevo
Coronavirus y nueve muertes, recomendó
a sus 2,2 millones de residentes que traba-
jen desde sus casas “Home Office”. La
medida tiene como objetivo ayudar a fre-
nar la propagación de la enfermedad en la
zona más afectada de Estados Unidos.
Las autoridades también instaron a todos
los mayores de 60 años a permanecer en
sus casas.
Funcionarios de salud pública del conda-
do de King, a la que pertenece la ciudad
de Seattle, recomendaron que las organiza-
ciones permitan a sus empleados trabajar
durante todo este mes desde sus casas
“Home Office”, en un esfuerzo por reducir
la cantidad de contactos cara a cara en es-
te “período crítico” del brote de Covid-19.
“Estamos alentando a los empleadores
a usar el “Home Office” y hacer posible
14

que los empleados que pueden trabajar
desde su casa puedan hacerlo”, informó
el alcalde del condado de King, Dow Cons-
tantine. “Los grupos de la comunidad de-
ben evitar crear grandes reuniones”, am-
plió. También recomendaron que los resi-
dentes mayores de 60 años, las personas
con afecciones de salud subyacentes y sis-
temas inmunes debilitados, y aquellas que
están embarazadas, se queden en casa y
eviten grandes reuniones “tanto como sea
posible”.
Los gigantes tecnológicos en el área de
Seattle han implementado medidas de pre-
caución para proteger a sus empleados
después de que dos trabajadores, uno de
Facebook y otro de Amazon, dieron positi-
vo por el virus.
El Home Office en Chile
¿está regulado?
Un nuevo capítulo al Código del Trabajo
denominado “Del trabajo a distancia y te-
letrabajo”, donde se reúnen las normas
que deﬁnen estas modalidades, los requeri-
mientos, procedimientos y derechos y de-
beres de las partes. Conforme al texto
planteado por la Comisión de Trabajo de la
Cámara, los trabajadores podrán pactar
por escrito con el empleador, al inicio o du-
rante la vigencia de la relación laboral, que
la prestación de los servicios bajo depen-
dencia y subordinación se realice fuera de
las instalaciones de la empresa.
Se entenderá por modalidad de trabajo a
distancia “aquel pacto que faculta al tra-
bajador a prestar sus servicios total o
parcialmente, desde su domicilio u otro
lugar o lugares distintos a los estableci-
mientos de la empresa”. A su vez, se en-
tenderá por teletrabajo “Home Oﬃce”
“cuando los servicios sean prestados
mediante la utilización de medios tecno-
lógicos, informáticos o de telecomunica-
ciones o bien cuando los servicios pres-
tados deban reportarse mediante tales
medios”.
Al momento de pactarse esta modalidad,
las partes deberán acordar el lugar o luga-
res en que el trabajador prestará los servi-
cios, pudiendo ser el domicilio del trabaja-
dor u otro lugar único y determinado con-
venido con el empleador. En aquellos ca-
sos en que, por la naturaleza de los servi-
cios, estos puedan prestarse en distintos
lugares o bien mediante la utilización de
medios tecnológicos, informáticos o de te-
lecomunicaciones, las partes podrán acor-
dar que el trabajador esté facultado para
15

elegir libremente el lugar desde donde ejer-
cerá sus funciones.
La modalidad de trabajo a distancia o tele-
trabajo “Home Office” podrá abarcar todo
o parte de la jornada de trabajo, combinan-
do tiempos de trabajo de forma presencial
en las instalaciones de la empresa con
tiempos de trabajo fuera de ella. La aplica-
ción de ambas modalidades y su continui-
dad deberá ser siempre acordada por am-
bas partes y no podrá implicar, en ningún
caso, un menoscabo a los derechos que le
reconoce el Código del Trabajo al trabaja-
dor o trabajadora, en especial, en su remu-
neración.
Además, indica que cuando se acuerde
con posterioridad al inicio de la relación la-
boral, las partes deberán establecer un pla-
zo, el que no podrá ser inferior a tres me-
ses, dentro del cual cualquiera de ellas ten-
drá derecho a retomar de forma unilateral
las mismas condiciones laborales pacta-
das con anterioridad. Una vez vencido di-
cho plazo, será necesario el acuerdo de
ambas partes para adoptar la modalidad
de trabajo presencial, es decir, trabajar des-
de las dependencias de la organización.
El proyecto también establece que “el tra-
bajador a distancia estará sujeto a las
reglas generales de jornada de trabajo y
el empleador será quien deberá imple-
mentar, a su costo, un mecanismo fide-
digno de registro de cumplimiento de
jornada”. Si la naturaleza de las funciones
así lo permiten, se podrá pactar que el tra-
bajador distribuya libremente su jornada
en los horarios que mejor se adapten a
sus necesidades, respetando siempre los
límites máximos de la jornada diaria y se-
manal.
“En casos de la utilización de medios
tecnológicos, informáticos o de teleco-
municaciones, o bien, cuando los servi-
cios prestados deban reportarse me-
diante tales medios, se podrá acordar
que el trabajador quede excluido de la
limitación de jornada de trabajo”. En tal
caso, el empleador deberá garantizar el de-
recho a desconexión de los trabajadores y
permitir que gocen de tiempos en los cua-
les no estará obligado a responder comuni-
caciones, órdenes u otros requerimientos,
respetando su tiempo de descanso, permi-
sos y vacaciones, así como su intimidad
personal y familiar.
La iniciativa avanza luego en especificar
las condicionantes del contrato de trabajo
y reafirma los derechos individuales y co-
lectivos de los trabajadores contenidos en
el Código del Trabajo, así como sus dere-
chos fundamentales. Luego, se regulan ma-
16

terias de seguridad y salud que el puesto
de trabajo debe cumplir; así como las ne-
cesarias regulaciones de ﬁscalización de
parte de la autoridad.
Entre otras varias normas, la propuesta es-
tablece también que dentro de un año,
contado desde la vigencia de la ley, las em-
presas cuyos trabajadores ya prestan servi-
cios a distancia o teletrabajo “Home Oﬃ-
ce”, deberán ajustarse a los términos de
este marco legal.
Tanto el ministro Nicolás Monckeberg, co-
mo el subsecretario del Trabajo, Fernando
Arab celebraron la aprobación de la iniciati-
va, que ahora tiene que ser visada por el
Senado, Señaló la “Agencia Publimetro”.
17

Visión de Human Hacking
& Cyber Security
Recomendaciones de
cómo implementar el
Home Office
Los avances tecnológicos han abierto la
puerta a nuevas modalidades de trabajo,
una de ellas es el “Home Office”. Según
“Transparent Business”, el trabajo debe
verse como “algo que se hace y no un lu-
gar al que se va”. El “Home Office” sí per-
mite la supervisión de los colaboradores,
sin caer en la vigilancia. Para que esta for-
ma de empleo funcione adecuadamente
es importante que las empresas brinden a
sus empleados las tecnologías que sus ac-
tividades requieran o bien permitan a los
empleados usar las que ellos consideren
más adecuadas. En ese sentido, podemos
señalar que el “Home Office” es una moda-
lidad basada en tres aspectos: flexibilidad
laboral, trabajo por equipos y uso de
nuevas tecnologías. Es un modelo de ges-
tión de talento en el que el empleador ofre-
18

ce las herramientas necesarias para que
los colaboradores realicen sus tareas con
base en resultados.
Para una organización con un modelo de
trabajo en el que todos sus empleados ha-
cen “Home Office”, recomendamos imple-
mentar el “Home Office” sin afectar los re-
sultados, la productividad y más importan-
te, la salud de los trabajadores.
01 Establecer indicadores
Trabajar bajo metas individuales y grupa-
les que sean medibles y visibles para to-
dos los miembros del equipo.
02 Tecnología en la nube
El uso de la nube sirve no sólo para tener
canales de comunicación abiertos constan-
tes, sino también para optimizar esfuerzos
con herramientas de productividad alberga-
das ahí. Estas herramientas que se inte-
gran con calendario, correo electrónico y
otras funcionalidades de negocio.
03 Espacio de trabajo
Incentivar a los colaboradores a diseñar
y crear un espacio de trabajo adecuado en
sus hogares, pues tener un espacio ergo-
nómico, limpio, ordenado y cómodo permi-
tirá que se sienta como en la oficina mien-
tras la epidemia se controla.
04 Tomar un descanso
Descansar durante el día sirve para recupe-
rar energía y mejorar nuestro desempeño,
pues laborar desde casa puede hacer que
se pierda la línea entre hogar y trabajo. Es-
to servirá para prevenir enfermedades cau-
sadas por trabajos que no implican mucho
movimiento.
05Ambiente colaborativo
Uno de los más grandes retos del trabajo
remoto es conectarse con los compañeros
de trabajo. Por ello, es fundamental estar
constantemente comunicando al resto del
equipo en qué se está trabajando y coordi-
narse. Es muy recomendable sustituir lla-
madas por videollamadas.
19

Recomendaciones de Cyber Se-
curity para implementar Home
Office
Organizaciones de todos los tamaños y tipos se enfrentan a
una mayor velocidad de cambio en sus negocios, mercado e
industria o bien crisis que enfrentan, la presión para obtener
resultados y no quedarse atrás está aumentando exponencial-
mente. La “Transformación Digital” es un viaje que crea va-
lor, resuelve problemas y permite a la gente hacer mejor su tra-
bajo, eso si, requiere de una estrategia que implica una re-
visión profunda de modelos de negocio, procesos, perso-
nas, infraestructuras y ciberseguridad. Las nuevas tecnolo-
gías digitales son meras facilitadoras de esa transformación.
Para implementar
“Home Ofﬁce” desde
la visión de Cyber
Security nos vamos
a concentrar en dos
de los cuatro ejes de
la Transformación
Digital, Movilidad y
Cloud
20

En su definición simple la “Transformación
Digital” (DX) es la aplicación de las tecnolo-
gías (SMAC): Social, Mobile, Analytics &
Cloud. Se incluyen los Aceleradores de la
Innovación tales como: lnternet de las Co-
sas (IoT), Robótica, Impresión 3D, Ciberse-
guridad entre otros. Los aceleradores de
innovación y los pilares constituyen los fa-
cilitadores y multiplicadores tecnológicos.
Para implementar “Home Office” desde
la visión de Cyber Security nos vamos a
concentrar en dos de los cuatro ejes de
la Transformación Digital; Movilidad y
Cloud.
01 Movilidad de dispositivos
electrónicos “Home Office”
Cómo señalamos, uno de los ejes de la
transformación digital para implementar
“Home Office” es la “Movilidad” que dejó
ser una tendencia para transformarse en
una realidad. Las empresas tienen que
adaptar sus infraestructuras si no quieren
quedarse atrás. Pero, dependiendo si es
una organización privada o pública, o de
que sector de la industria es, el modelo de
aproximación a la “Movilidad” varía. Poner
en marcha una estrategia de movilidad
“no es un hecho aislado, sino que forma
parte de la transformación digital que
tienen que llevar a cabo tanto las organi-
zaciones como las administraciones”.
En este sentido, la “Movilidad” no es el dis-
positivo en sí, sino que alrededor de él tie-
nen que haber aplicaciones de negocio
que estén desarrolladas pensando en ese
dispositivo móvil.
El objetivo es lograr que se sea igual de
productivo tanto fuera como dentro de la
oficina y, para ello, es necesario contar
con herramientas de productividad sin
olvidarnos de que todo ello tiene que es-
tar securizado y gestionado. El desafío
de la seguridad es, sin lugar a dudas, uno
de los puntos clave que tienen que abor-
dar las organizaciones. Lo más importante
“son los datos” y, aunque un empleado
disponga del dispositivo adecuado, si no
se protege la información la seguridad cor-
porativa está en riesgo.
02 Cloud privada, pública o
híbrida “Home Office”
El otro eje de la transformación digital para
implementar “Home Office” es el “Cloud”
siendo la respuesta a este reto, permitien-
do más agilidad e innovación para el nego-
cio, sin sacrificar temas tan importantes co-
mo confiabilidad, disponibilidad, escalabili-
dad o seguridad. Hay 3 aspectos funda-
mentales que destaca el “Cloud”.
21

Velocidad, hablamos de minutos en vez
de días o semanas para comprar y provi-
sionar servicios, el ritmo de innovación se
ha incrementado dramáticamente. Reducir
los tiempos de desarrollo, habilitación y el
“time to market” significa que su TI puede
ser mucho más ágil dando respuesta a las
necesidades de las unidades de negocio o
desarrolladores. Escalable, el “Cloud” ofre-
ce conjunto de recursos infinitos de cóm-
puto y servicios. Las aplicaciones dispo-
nen de una escala global masiva y pueden
ser fácilmente escalables dependiendo de
la demanda ya sea por un periodo de tiem-
po breve (mensual) o extendido (anual).
Economía, solo paga por lo que consume
en la nube. Para algunas organizaciones,
esto supone un beneficio adicional cam-
biando de CapEX a OpEX, lo que libera ca-
pital de inversión en infraestructuras y lo
pone a disposición de otros usos.
Antes de dar a conocer nuestra reco-
mendación en materia de Cyber Secu-
rity para los servicios y/o soluciones
que toda organización debiese imple-
mentar como mínimo para “Home Offi-
ce”, conoceremos las dificultades y obs-
táculos que los empleados se enfrentan
al trabajar remotamente.
Principales dificultades que
enfrentan los empleados al
trabajar remotamente y cómo
podemos facilitar su trabajo
¿Cómo saber si la tecnología está siendo
aprovechada al máximo para que los em-
pleados y la organización sean lo más efi-
ciente posible?
A continuación evaluaremos las necesida-
des técnicas y mostraremos cómo a través
de diferentes herramientas podemos ayu-
dar a mejorar y simplificar los estilos de tra-
bajo remoto que existen usando cualquier
dispositivo y además, ofrecer nuevos nive-
les de productividad para su organización.
Aunque existen varios tipos de trabajado-
res remotos, reconocer los problemas co-
munes a los que se enfrentan es esencial
para conseguir que los empleados remo-
tos tengan éxito.
01Acceso
El almacenamiento en la nube permite que
todos los miembros del equipo tengan ac-
ceso a la información que necesitan, sin
importar donde están.
02 Conectividad
La capacidad de comunicarse con los
compañeros y recibir actualizaciones de
22

forma fluida online mejora de forma signifi-
cativa el flujo de trabajo de los miembros
de un equipo remoto.
03 Flexibilidad
En el mundo actual, poder usar el dispositi-
vo que prefieras mejora la productividad,
especialmente para los empleados que se
desplazan con frecuencia.
04 Seguridad integrada
Proteger el trabajo al ofrecer a los equipos
remotos las herramientas más seguras y al
definir procedimientos recomendados para
el acceso y uso compartido de archivos.
Radiografía de los empleados
que trabajan remotamente
“Home Office”
Desde siempre, un buen equipo es lo que
hace que las organizaciones tengan éxito,
pero la forma de trabajar de un equipo y
desde dónde lo hace ha cambiado a lo lar-
go de los años. Si la organización es ca-
paz de proveer las herramientas y los recur-
sos que se necesitan para el “Home Offi-
ce” (trabajo remoto), entonces mejorará la
productividad y la calidad del trabajo de la
organización.
01 El trabajador nocturno
Es más productivo después del horario de
oficina, así que sigue necesitando acceso
a la red. Con horas de reuniones y otras
distracciones, el lugar de trabajo es, a ve-
ces, el último sitio donde puedes trabajar
de verdad. Por eso, al trabajador nocturno
les encantan los largos períodos de tiempo
sin interrupciones durante las últimas ho-
ras del día para desempeñar su mejor tra-
bajo.
02 El viajero frecuente
Depende del acceso móvil y la seguridad,
tanto online como sin conexión, y en cual-
quier dispositivo. Imagina que tienes una
presentación por la mañana, pero estás en
un aeropuerto con una conexión Wi-Fi po-
co estable y, además, te has quedado sin
batería en el equipo portátil. Bienvenido a
la vida del viajero frecuente. Las mejores
herramientas para los viajeros frecuentes
son las que facilitan la accesibilidad y la se-
guridad, ya que estos trabajadores viajan
de una ciudad.
03 El trabajador móvil
Con frecuencia, no tiene cobertura, pero
sigue sincronizado con herramientas de
productividad móviles. Los vendedores y
comerciales que están continuamente en
23

la carretera suelen tener dificultades para
encontrar un lugar con acceso a Internet.
Cuando vuelven a estar online, estos traba-
jadores móviles necesitan sincronizarse
con la base de datos de la compañía y con
sus equipos.
04 El viajero conectado
Siempre está conectado, tanto de camino
al trabajo como cuando trabaja desde ca-
sa. Los viajeros conectados suelen traba-
jar de forma remota a tiempo parcial, viven
lo suficientemente lejos de la oficina como
para que ir en auto sea una complicación
y, por lo tanto, prefieren trabajar desde ca-
sa varios días a la semana o al mes. Des-
de casa, en el bus o al retirar a sus hijos
de un entrenamiento de fútbol, los viajeros
conectados pueden usar la nube para ob-
tener acceso de forma segura a los archi-
vos y comunicarse con todos los emplea-
dos de la oficina, como si se encontraran
en mismo lugar físico.
05 El trabajador migrante
Las fronteras no son barreras para la cola-
boración y la comunicación instantáneas.
Si tu estratega principal, que trabajas en la
cuenta más importante, vives en otro país,
¿cómo afrontas los problemas de acceso
y comunicación que pueden causar tiem-
pos de inactividad innecesarios e impro-
ductivos?.
06 El experto del sector
Necesita autonomía y flexibilidad, a la vez
que permanece conectado y con soporte
técnico. Incluso los expertos del sector
contratados de forma remota no quieren
quedarse solos y tener que defenderse por
su cuenta. Entonces, ¿por qué dejar que
las zonas horarias pongan trabas a sus va-
liosos conocimientos?.
Recomendaciones de solucio-
nes de Cyber Security para
“Home Office” en el ámbito
Mobile & Cloud.
Hay soluciones que proporcionan almace-
namiento en la nube tanto para el correo
como para la colaboración y la comunica-
ción empresarial. Alojados off site, los da-
tos están disponibles de manera segura,
desde cualquier parte y con cualquier dis-
positivo. Además, permite trabajar a varios
usuarios en los mismos documentos y ho-
jas de cálculo simultáneamente, sin impor-
tar dónde se encuentren.
A continuación presentamos las herra-
mientas, servicios y/o soluciones que
24

ha nuestro juicio y experiencia toda or-
ganización debiese implementar como
mínimo para “Home Office”
01Acceso a los datos
“Pegar” archivos en la nube no es una
práctica especialmente innovadora, pero
usar Machine Learning para buscar y fil-
trar, sí lo es. Recomendamos el servicio
Microsoft Office 365 incluye Delve, una he-
rramienta inteligente que busca contenido
de forma transversal a través de todas las
aplicaciones empresariales, entre las que
se encuentran Drive, Outlook, Yammer o
SharePoint. Delve no solo ayuda a encon-
trar información específica, sino que tam-
bién aprende hábitos, preferencias e intere-
ses. Así, cuando su equipo necesita rápida-
mente información a alto nivel e insights,
Delve puede resolver sus búsquedas rápi-
damente. Esto puede sonar trivial, pero un
estudio realizado por Interact para
IT-Director.com reveló que los empleados
destinan alrededor de un día trabajado por
semana en encontrar la información que
buscan. El cobro de estos servicios es por
usuario, por lo que sólo pagarás por los
usuarios activos (pago por uso).
02 Comunicación, correo,
colaboración multicanal
Un equipo multidisciplinario necesita estar
en constante contacto, ser capaz de pre-
guntar y compartir conocimiento tanto rápi-
damente como eficientemente. Recomen-
damos para los dispositivos electrónicos
como computadores, notebook, tablet,
smartphone que será utilizados por em-
pleados remotos “Home Office” el servicio
de Office 365, por ejemplo, el Office 365
Business Essentials (incluye: Aplicaciones
de Office como word, excel, powerpoint
en la nube, es decir, que no se puede des-
cargar en el notebook y Servicios corporati-
vos instalados en el notebook como co-
rreo Exchange, almacenamiento de 1TB
en la nube OneDrive, herramientas de co-
municación y colaboración empresarial co-
mo Teams, gestor documental Share-
Point). Mediante la ejecución y unificación
de todas las comunicaciones a través de
un portal central, los equipos ganan nume-
rosos beneficios, uno de ellos es que los
empleados pueden contactarse entre ellos
mediante la herramienta de comunicación
que elijan y que mejor se adapte a sus pre-
ferencias o al contexto de la comunica-
ción. Además, estos pueden responder a
través de cualquier herramienta a su dispo-
sición, incluso si es diferente a la vía de
contacto. SharePoint permite almacenar,
25

sincronizar y compartir documentos fácil-
mente con usuarios dentro y fuera de la or-
ganización, así como colaborar en docu-
mentos en tiempo real con las aplicacio-
nes de Office Online y OneDrive para Em-
presa. Por otro lado, Teams, que conecta
toda la organización, fomentando la partici-
pación de los equipos y dando acceso a la
creación de conocimiento colectivo, con
un servicio de chat, reuniones, llamadas y
colaboración en un mismo lugar y aplica-
ción. El cobro de estos servicios es por
usuario, por lo que sólo pagarás por los
usuarios activos (pago por uso).
03 Telefonía, contact center
La “Telefonía Cloud” permitirá realizar
upgrades rápidamente de sus servicios de
colaboración y comunicación a la medida
de crecimiento de su organización, mante-
niendo la seguridad y confiabilidad de ni-
vel corporativo, garantizando a sus colabo-
radores la mejor experiencia de productivi-
dad a través de cualquier dispositivo con
conexión a internet. “Contact Center” es
un servicio de telefonía es una PBX Cloud
con todas las características que una orga-
nización requiere, permitiendo a los colabo-
radores de una misma organización reali-
zar llamadas telefónicas entre ellos, sin im-
portar donde se encuentren. Incluye un
portal Web multifuncional desde donde el
administrador de la plataforma podrá unifi-
car las comunicaciones, administrar los
servicios de voz, email, fax, conferencias
telefónicas, entre otros. Esto permitiendo
una importante reducción de costos y me-
jorando la calidad y experiencia de servi-
cio. Recomendamos para los empleados
remotos “Home Office” que habiliten la te-
lefonía IP a través de Microsoft Teams que
se encuentra incluido en Office 365 depen-
diendo la versión. El cobro de estos servi-
cios es por usuario, por lo que sólo paga-
rás por los usuarios activos (pago por
uso).
04Autenticación Multifactor
Utilice la autenticación multifactor o biome-
tría para el acceso. La autenticación multi-
factor (MFA) se utiliza comúnmente para
asegurar que sólo los usuarios autorizados
puedan acceder a un sistema corporativo
controlado. La forma sencilla de pensar en
ello es “algo que saben y algo que tienen”.
Los usuarios ya “saben” el algo como un
nombre de usuario y contraseña para la
mayoría de los sistemas. Un sistema con
MFA pedirá entonces información que ne-
cesita ser recuperada de un dispositivo adi-
cional “algo que tienen” como un llavero
numérico o una aplicación móvil en el
smartphone del usuario. El empleado remo-
to sólo puede iniciar la sesión pasando co-
26

rrectamente por ambos niveles de autenti-
cación. Dado el bajo costo actual de los
dispositivos de exploración biométrica de
las huellas dactilares, las palmas de las ma-
nos o los ojos (escaneos de la retina), tam-
bién es factible considerar la posibilidad
de realizar pruebas biométricas además
de las contraseñas. Los trabajadores remo-
tos nunca deberían poder acceder a su sis-
tema sólo porque conocen un nombre de
usuario y una contraseña. Del punto de vis-
ta de ciberseguridad para un atacante (ma-
los actores) es mas complejo acceder a
una organización si el empleado remoto tie-
ne MFA ya que, además de conocer el
user y password debería tener acceso al
smartphone para conocer la clave de 6 a 8
dígitos que entrega la aplicación MFA. Re-
comendamos instalar en el smartphone la
aplicación de Microsoft Authenticator para
incorporar mayor seguridad a través de un
segundo factor de autenticación, el que sir-
ve para las aplicaciones personales y cor-
porativas. El cobro de estos servicios es
por usuario, por lo que sólo pagarás por
los usuarios activos (pago por uso).
05 Proteger la información
Aísle la información personal o financiera
con la automatización. Puede proteger tan-
to a la organización como a sus emplea-
dos utilizando sistemas automatizados pa-
ra manejar información financiera perso-
nal, por ejemplo, cuando se recibe un pa-
go de un cliente. El empleado remoto pue-
de pasar al cliente a un sistema automati-
zado de Respuesta de Voz Interactiva (IVR)
a través de Microsoft Teams (Aplicación in-
cluida en la mayoría de las versiones de
Office 365) y Contact Center Cloud (Plata-
forma cloud de telefonía IP) en el momento
en que se requieren los detalles de la tarje-
ta de pago. Una vez procesada la tarjeta,
el cliente será devuelto al empleado remo-
to. La automatización de la captura de in-
formación financiera o personal asegura
que el empleado remoto nunca escuche o
tenga acceso a esta información. El cobro
de estos servicios es por usuario, por lo
que sólo pagarás por los usuarios activos
(pago por uso).
06 Administración y control
de aplicaciones, dispositivos
Los empleados remotos utilizarán múlti-
ples dispositivos electrónicos como com-
putadores, notebook, tablet o smartphone
conectados a Internet, pero se requerirán
ciertas normas mínimas, como un firewall,
antivirus, además de la protección básica.
Todas las funciones no corporativas debe-
rán ser bloqueadas y no estarán disponi-
bles cuando el sistema se utilice para su
negocio. Esto significa que funciones co-
27

mo la impresión de la pantalla o el almace-
namiento de datos en el disco duro deben
ser desactivadas. Las aplicaciones de In-
terfaz de Escritorio Virtual (VDI) son herra-
mientas sofisticadas que permiten crear
un entorno seguro, al aprovechar estas he-
rramientas y sólo permitir el acceso de em-
pleados remotos desde un sistema en la
nube bloqueado y controlado, se asegura-
rá un entorno más seguro. Recomenda-
mos simplificar la administración de los dis-
positivos y aplicaciones móviles remoto y
lograr una transformación digital a través
de Microsoft Intune (incluye: Administra-
ción de Dispositivos Móviles MDM, Admi-
nistración de Aplicaciones Móviles MAM).
Podemos crear un entorno de Microsoft
365 más productivo para que los usuarios
que trabajan “Home Office” con los dispo-
sitivos y las aplicaciones que elijan, mien-
tras protegen sus datos. El cobro de estos
servicios es por usuario, por lo que sólo pa-
garás por los usuarios activos (pago por
uso).
07 Cifrado VPN
En la vida cotidiana, la mayoría de las per-
sonas ya están utilizando una encriptación
de extremo a extremo cuando envían men-
sajes utilizando aplicaciones como
WhatsApp o Skype. Cualquier comunica-
ción realizada por sus trabajadores remo-
tos “Home Office” necesita utilizar niveles
similares de encriptación creando una red
privada virtual (VPN) para acceder a los sis-
temas y aplicaciones de negocios corpora-
tivos como ERP, CRM, File Server, etc. ya
sea que estén en alguna oficina, data cen-
ter o en la nube, por lo que si su conexión
es pirateada será imposible dar sentido a
la transferencia de datos, donde, sólo el
emisor y el receptor tendrán la clave del flu-
jo de comunicación encriptada. Cabe des-
tacar que todos los firewall de hoy inclu-
yen la funcionalidad de VPN para conectar-
se de manera segura y remota desde el no-
tebook “Home Office” hacia la organiza-
ción, algunas marcas de firewall conocidas
son; Fortinet, Cisco, CheckPoint, etc.. Si la
organización no tiene la capacidad de pro-
veer VPN a través del firewall recomenda-
mos implementar un firewall como Fortinet
en las oficinas o data center en modo
transparente solo como VPN y que en el
EndPoint (notebook) el empleado utilice la
modalidad de VPN cliente SSL Web sin ne-
cesidad de instalar un agente local, es re-
comendado por un tema de recursos en el
EndPoint. Ahora, si el EndPoint (notebook)
tiene los recursos suficientes se puede ins-
talar el agente VPN. Si la organización tie-
ne servicios en la nube recomendamos ha-
bilitar en Microsoft Azure un firewall o un
concentrador de VPN.
28

08 Antivirus, Antimalware,
seguridad avanzada
La seguridad para los EndPoint (computa-
dores, notebook, tablet, smartphone) es
fundamental para los empleados remotos
“Home Office” ya que generalmente se co-
nectan a redes wifi propias o de terceros
que no poseen medidas de seguridad, por
lo tanto, una solución de antivirus y anti-
malware es de gran ayuda para mitigar los
riesgos y evitar ser víctima de un ran-
somware. Existen diferentes marcas como;
Kaspersky, Sentinel One, Carbon Black,
etc.. Recomendamos Kaspersky ya que in-
corporan otras herramientas como VPN pa-
ra conectarme en modo seguro e incógni-
to al momento de navegar o usar las redes
sociales. Dado que el empleado remoto
“Home Office” utiliza aplicaciones y servi-
cios en la nube es prioritario asegurar
otros vectores como el correo electrónico
y la navegación web, para ello existen solu-
ciones conocidas como SandBox, ATP,
etc.. Recomendamos el Servicio Cloud
ATP (Advanced Threat Protection) de Mi-
crosoft tanto para Azure como para Office
365 que permite proteger el correo electró-
nico Exchange, Teams y One Drive. Recor-
demos que los atacantes (malos actores)
utilizan diversos tipos de ataques como
Phishing vía correo electrónico para enga-
ñar y suplantar la identidad de algún em-
pleado remoto para cometer un fraude eco-
nómico. Aquí tiene valor el ATP para Office
365 que permite proteger el correo electró-
nico analizando las URL maliciosas o archi-
vos adjuntos maliciosos que contengan al-
gún malware avanzado o descarguen un
ransomware que pueda comprometer a to-
da la organización. El cobro de estos servi-
cios es por usuario, por lo que sólo paga-
rás por los usuarios activos (pago por
uso).
09 Sistema de control de
asistencia remoto
Para las organizaciones que les preocupa
llevar un control de la asistencia de los em-
pleados remotos “Home Office” presenta-
mos una solución de “Libro de Asistencia
Remota”. En minutos y sin instalar ningún
software, el terminal biométrico estará listo
para empezar a enviar las marcaciones a
libro asistencia. Cada vez que los trabaja-
dores realizan una marca, en tiempo real
se reflejan en el sistema de libro de asisten-
cia para ser contrastadas con la calendari-
zación de turnos y horarios específicos. To-
do en una plataforma totalmente certifica-
da por la Dirección del Trabajo. Datos que
se encuentran disponibles en múltiples pla-
taformas desde cualquier dispositivo, ideal
para tu negocio. Puedes acceder desde
cualquier lugar, en cualquier momento y
29

desde la comodidad del dispositivo que tu
preﬁeras. Gestione su información desde
cualquier lugar, sólo requiere de una cone-
xión a internet para controlar su organiza-
ción en tiempo real. Olvídese de la obten-
ción y procesamiento de datos. Enfóquese
sólo en las tareas críticas para su negocio.
Este sistema está totalmente al día con to-
das las normativas legales. Recomenda-
mos el servicio de LibrodeAsistencia.com.
El cobro de estos servicios es por usuario,
por lo que sólo pagarás por los usuarios
activos (pago por uso).
10 Cultura de seguridad
La creación de una cultura de seguridad
mediante el entrenamiento de sus emplea-
dos remotos es también extremadamente
importante, porque el equipo puede detec-
tar los intentos de violación de seguridad
incluso antes de que su equipo de seguri-
dad lo haga. Esta cultura de seguridad,
combinada con el enfoque que hemos des-
crito en estas sencillas medidas, aborda
los tres retos de seguridad más importan-
tes a los que cualquier trabajo remoto “Ho-
me Oﬃce” tiene que enfrentarse:
1. El escritorio: Controlar el escritorio pa-
ra que el empleado remoto no tenga la
oportunidad de registrar ninguna infor-
mación personal.
2. La red: Eliminando la posibilidad de ac-
ceso a los sistemas a través de una red
pirateada.
3. Datos personales: El blindaje de pagos
de manera que la información personal
detallada nunca se comparte incluso si
un empleado deshonesto toma un traba-
jo con la intención de robar datos, no
tendrá acceso a ninguna información
personal.
30

Recomendaciones de Human
Hacking para evitar ser víctima
del Coronavirus Phishing Attack
Tal y como señalamos anteriormente, a continuación vamos a
explicar los pasos a seguir para prevenir el “Coronavirus
Phishing Attack” o cualquier otro tipo de ataque de
Phishing. Recordemos que la Organización Mundial de la Sa-
lud (OMS) sacó un comunicado donde advierte que los “Ma-
los Actores” (ciberdelincuentes) se aprovechan de la propaga-
ción del COVID-19 conocido como Coronavirus para cometer
fraude económico (robar dinero) o data breach (violación de
datos y exﬁltración de información sensible).
La capacitación de
los colaboradores es
el primer paso para
prevenir ataques de
Phishing
31

¿Cuáles son los indi-
cadores comunes de
intento de phishing?
01 Dirección del remitente
La dirección del remitente puede imitar un
negocio legítimo. Los “Malos Actores” (ci-
berdelincuentes) suelen utilizar una direc-
ción de correo electrónico que se parece
mucho a la de una organización de renom-
bre alterando u omitiendo algunos datos
de o caracteres.
02 Saludo genérico y firma
Tanto un saludo genérico, como “Estima-
do cliente valioso” o “Señor/Señora”, co-
mo la falta de información de contacto en
el bloque de la firma son fuertes indicado-
res de un correo electrónico de Phishing.
Una organización de confianza normalmen-
te se dirigirá a usted por su nombre y le
proporcionará su información de contacto.
03 Hipervínculos falsos
Si pasa el cursor por encima de cualquier
enlace en el cuerpo del correo electrónico,
y los enlaces no coinciden con el texto
que aparece al pasar el cursor por encima
de ellos, el enlace puede ser falso. Los si-
tios web maliciosos pueden parecer idénti-
cos a un sitio legítimo, pero la URL puede
utilizar una variación en la ortografía o un
dominio diferente (por ejemplo, .com vs.
.net). Además, los “Malos Actores” (ciber-
delincuentes) pueden acortar la URL para
ocultar el verdadero destino del enlace.
04 Ortografía y diseño
Una gramática y una estructura de frases
deficientes, errores ortográficos y un forma-
to incoherente son otros indicadores de un
posible intento de Phishing. Las institucio-
nes de buena reputación cuentan con per-
sonal dedicado que produce, verifica y revi-
sa la correspondencia de los clientes.
05Archivos adjuntos
Un correo electrónico no solicitado en el
que se pide al usuario que descargue y
abra un archivo adjunto es un mecanismo
de entrega común para el malware. Un ata-
cante (malos actores) puede utilizar un fal-
so sentido de urgencia o importancia para
ayudar a persuadir a un usuario de que
descargue o abra un archivo adjunto sin
examinarlo primero.
32

¿Cómo evitar ser una
víctima?
01 Llamadas telefónicas
Sospechar de llamadas telefónicas, visitas
o mensajes de correo electrónico no solici-
tados de personas que preguntan por los
empleados u otra información interna. Si
un individuo desconocido afirma ser de
una organización legítima, trate de verificar
su identidad directamente con la empresa.
02 Información personal
No proporcione información personal o in-
formación sobre su organización, incluida
su estructura o redes, a menos que esté
seguro de la autoridad de una persona pa-
ra tener la información.
03 Información personal
No revele información personal o financie-
ra en el correo electrónico, y no responda
a las solicitudes de correo electrónico para
obtener esta información. Esto incluye los
siguientes enlaces enviados por correo
electrónico. No envíe información sensible
por Internet antes de comprobar la seguri-
dad de un sitio web.
04 Verificar la información
Si no está seguro de que una solicitud de
correo electrónico sea legítima, intente veri-
ficarla poniéndose en contacto con la em-
presa directamente. No utilice la informa-
ción de contacto proporcionada en un sitio
web conectado a la solicitud; en su lugar,
revise las declaraciones anteriores para ob-
tener información de contacto. La informa-
ción sobre los ataques de Phishing conoci-
dos y nuevos casos se encuentran disponi-
bles en el Blog de Inntesec.
05ATP y Antimalware
Instale y mantenga software antivirus y an-
timalware en computadores, servidores y
dispositivos electrónicos, firewall, filtros de
correo electrónico, protección contra ame-
nazas avanzadas (ATP) para reducir parte
de este tráfico. Aproveche las funcionalida-
des de antiphishing que vienen incorpora-
das en el correo electrónico y en el navega-
dor web.
33

¿Qué hacer si crees
que eres una víctima?
1. Si cree que puede haber revelado infor-
mación confidencial sobre su organiza-
ción, denúncielo a las personas ade-
cuadas dentro de la organización, in-
cluidos los administradores de la red, se-
guridad o bien si cuentan con un Oficial
de Seguridad (CISO). Ellos pueden estar
alerta ante cualquier actividad sospecho-
sa o inusual.
2. Si cree que sus cuentas financieras pue-
den estar comprometidas, póngase en
contacto con su institución financiera
inmediatamente y cierre las cuentas
que puedan haber sido comprometidas.
Esté atento a cualquier cargo inexplica-
ble en su cuenta.
3. Cambie inmediatamente cualquier
contraseña que pueda haber revelado.
Si utilizó la misma contraseña para va-
rios recursos, asegúrese de cambiarla
para cada cuenta y no la utilice en el fu-
turo.
4. Esté atento a otras señales de robo de
identidad.
5. Considere la posibilidad de denunciar
el ataque a las autoridades.
La capacitación de
los colaboradores es
el primer paso para
prevenir ataques de
Phishing
34

Inntesec Security
Awareness Program
01 Servicio 100% en la nube
Inntesec Security Awareness Services es
un servicio basado en la nube que ayuda a
las organizaciones a capacitar, conocer y
medir el nivel de madurez de sus usuarios
en materia de concientización sobre ciber-
seguridad, suplantación de identidad e in-
geniería social. A través de nuestra Plata-
forma Inn-SaS de e-Learning los usuarios
aprenderán a conocer y gestionar mejor
los riesgos de seguridad por concepto de
Human Hacking, y mediante nuestra Plata-
forma Inn-SaS ejecutaremos campañas de
simulación de ciberataques Ethical
Phishing, donde, los usuarios aprenderán
a conocer e identiﬁcar diversos métodos
de ataque tales como: Phishing, Spear
Phishing, CEO Fraud, Spooﬁng, Social En-
gineering entre otros. Con la ayuda de
nuestro programa anual Inntesec Security
Awareness Program el cual es ejecutado
mensualmente, estaremos en condiciones
de llevar a los usuarios hacia el siguiente
35

nivel de madurez conocido como “Human
Firewall” y así ayudar a evitar que las orga-
nizaciones sean víctimas de un fraude, o
una violación de datos generando pérdi-
das millonarias.
02 Capacitación enfocada
en el usuario
El eslabón más débil e importante en la ca-
dena de seguridad son las personas, don-
de, los “errores humanos” son una puerta
de entrada para los ataques, esta situa-
ción advierte sobre la importancia de avan-
zar con un cambio cultural al interior de las
organizaciones. Buscamos crear concien-
cia y provocar un cambio disruptivo a tra-
vés de una nueva visión que estamos pro-
moviendo, donde el usuario que es el esla-
bón más débil e importante en una organi-
zación es clave en esta transformación pa-
ra llevarlo a un nivel de Human Firewall. Pa-
ra lograr este objetivo nos basamos en
nuestro Programa conocido como Innte-
sec Security Awareness.
A través del Servicio de Inntesec Security
Awareness los usuarios aprenderán a cono-
cer y gestionar mejor los riesgos de seguri-
dad por concepto de Human Hacking con
relación a; Social Engineering, Phishing,
Spear Phishing, Spoofing, Ransomware,
ATP. La capacitación de los empleados es
el primer paso para prevenir las brechas
de seguridad y establecer una estrategia
de concientización en ciberseguridad e in-
geniería social.
03 Ayudamos a prevenir los
fraudes y pérdidas
Hoy el 90% de las inversiones y el gasto TI
es en tecnología y menos del 10% en los
usuarios. Esta estrategia no es la mas ade-
cuada, ya que los “Malos Actores” (ciber-
delincuentes) siguen infiltrándose en las re-
des y sistemas a través del Human
Hacking, provocando fraude, violaciones
de datos y generando pérdidas millona-
rias. “Está demostrado que la tecnología
por si sola no es suficiente”.
Cabe destacar que el costo promedio de
pérdidas económicas que provocaron los
“Malos Actores” (ciberdelincuentes) a las
organizaciones en los últimos años supe-
ran los USD 2.500.000 y el costo promedio
de una violación de datos es de USD
500.000.
Programa y formación
de conciencia sobre
ciberseguridad
36

Inntesec Security Awareness Services es
un servicio entregado mensualmente du-
rante un año y que está asociado a un pro-
grama de concientización sobre cibersegu-
ridad e ingeniería social y que tiene por ob-
jetivo llevar a los usuarios al siguiente nivel
de madurez conocido como Human Fi-
rewall, para ello desarrollamos una estrate-
gia de Human Hacking basada en tres
ejes:
1. Charlas Presenciales de Concientización
sobre Ciberseguridad,
2. Plataforma e-Learning de Entrenamiento
en Ciberseguridad y,
3. Plataforma Ethical Phishing de Simula-
ción de Ciberataques.
El Programa de Inntesec Security Aware-
ness está diseñado y planificado de la si-
guiente manera, durante el mes enviare-
mos vía correo electrónico 4 tipos de con-
tenidos que irán cambiando todos los me-
ses que dure el programa; Si marzo es el
mes 1, durante la primera semana (día lu-
nes) enviaremos una simulación de ataque
del tipo phishing (phishing banco con un
premio ganador), la segunda semana (día
lunes) enviaremos un newsletter informati-
vo y educativo (súper héroe), la tercera se-
mana (día lunes) enviaremos un video edu-
cativo (seguridad en viajes de negocios) y
la cuarta semana (día lunes) enviaremos
un video e-Learning que contiene el módu-
lo de entrenamiento (fundamentos de con-
cientización de seguridad).
El Programa de Inntesec Security Aware-
ness puede variar de acuerdo con cada
Cliente, nosotros recomendamos un mode-
lo de programa, sin embargo, este puede
ser modificado previo acuerdo entre las
partes para llegar a un programa con el
contenido aprobado por el Cliente.
01 Visibilidad y seguimiento
El Oficial de Seguridad (CISO) y/o Director
de Tecnología, Recursos Humanos entre
otras gerencias tendrán acceso al portal
de nuestra Plataforma Inn-SaS Cloud de
e-Learning y de Ethical Phishing, donde,
podrán visualizar y conocer el nivel de ma-
durez de su organización y de sus emplea-
dos en materia de Security Awareness, po-
drán obtener información a nivel de riesgo
de los usuarios, quienes han tomado el en-
trenamiento y quienes los han aprobado,
quienes han sido víctimas de un phishing
u otro ataque, que porcentaje de madurez
han alcanzado, reportes en línea y progra-
mados, gráficos y toda clase de informa-
ción que les ayudará a cumplir con la ISO
27001 a través del Sistema de Gestión de
37

Seguridad de la Información donde les exi-
ge capacitar a los empleados.
02 Charlas de concientiza-
ción sobre ciberseguridad
Nuestro Programa, Inntesec Security
Awareness contempla 1 Charla Presencial
de Concientización sobre Ciberseguridad,
para usuarios nivel 1 y usuarios nivel 2,
donde, dicha charla se dictará al principio
del programa.
1. Charla de nivel 1, enfocadas a usuarios
con acceso de nivel intermedio como je-
faturas, y que manejan información sen-
sible.
2. Charla de nivel 2, enfocadas a usuarios
con acceso nivel avanzado como geren-
cias y subgerencias, y que manejan infor-
mación sensible y toma de decisiones.
Nuestra charla tiene una duración de 1 ho-
ra 30 minutos, de los cuales; 45 minutos
serán para introducir el tema “el paseo por
el parque” desde la visión de un hacker y
como éste una vez que cruza el perímetro.
Usando diferentes técnicas de Human
Hacking a través del eslabón más débil e
importante que es el usuario puede explo-
rar la organización, buscar los objetivos crí-
ticos y cometer un data breach o fraude.
Luego, 15 minutos de break y, por último,
los 30 minutos restantes terminaremos
con una simulación de un ataque de
Phishing o CEO Spooﬁng. Además, ense-
ñaremos a identiﬁcar un correo falso a tra-
vés de detente, mira, piensa y luego actúa
(DMPA) y las 7 banderas de atención.
03 Plataforma de e-Learning
y entrenamiento en cibersegu-
ridad
Awareness es entregado como servicio
desde nuestra Plataforma Inn-SaS Cloud,
donde, los usuarios que son parte del pro-
grama tienen acceso a nuestra Plataforma
e-Learning de Entrenamiento en Cibersegu-
ridad en español y en otros idiomas de ser
necesario. Dicho programa contiene, 12
Newsletter, 12 Cápsulas con Videos Educa-
tivos y 12 Módulos de Entrenamiento de
Ciberseguridad.
Desde nuestra Plataforma Inn-SaS Cloud
se enviará mensualmente vía e-mail, 1
newsletter comunicacional a todos los
usuarios que tomen el programa como
buena práctica para crear conciencia en
seguridad e ingeniería social. Adicional-
mente, desde la misma Plataforma Inn-
SaS Cloud los usuarios tendrán acceso a
los videos y módulos vía e-Learning, des-
de donde, se les enviará 1 vez al mes vi-
deos educativos para crear conciencia y
38

módulos de entrenamiento para capacitar-
los en el ámbito de Security Awareness, al-
gunos ejemplos con el contenido que reci-
birán en sus correos electrónicos son los
siguientes:
1. Fraude al CEO (falso CEO)
2. Bluetooth & WiFi
3. Ransomware
4. Ataques de phishing a organizaciones
5. Navegación & privacidad de datos
6. Contraseñas seguras
7. Seguridad dispositivos móviles
8. Y mucho más
04 Plataforma de Ethical
Phishing y simulación de ci-
berataques
Awareness es entregado como servicio
desde nuestra Plataforma Inn-SaS Cloud,
donde, los usuarios que son parte del pro-
grama recibirán ataques desde nuestra Pla-
taforma Ethical Phishing de Simulaciones
de Ciberataques en español y en otros idio-
mas de ser necesario. Dicho programa
contiene, 12 Simulaciones de Ciberata-
ques para Usuarios Nivel 1 (usuarios nivel
medio) y para Usuarios Nivel 2 (usuarios
altos ejecutivos).
Desde nuestra Plataforma Inn-SaS Cloud
se enviará mensualmente vía e-mail, 1
phishing a los usuarios que son parte del
programa para capacitarlos y entrenarlos
en temas de concientización en cibersegu-
ridad e ingeniería social, con el objetivo de
prepararlos ante un ataque real del tipo;
Social Engineering, Phishing, Spear
Phishing, Spooﬁng, CEO Fraud, algunos
ejemplos con el contenido que recibirán en
sus correos electrónicos son los siguien-
tes:
1. Phishing de fraude al CEO
2. Phishing con simulación de Ran-
somware
3. Phishing del Outlook
4. Phishing de una Promoción
5. Phishing de un Banco
6. Phishing de LinkedIn
7. Phishing de un Proveedor
8. Y mucho más
39

Fuentes: OMS, CISA, Microsoft, Computer-
world, El Economista, Agencia ANSA,
Agencia Publimetro, Dirección del Trabajo,
Transparent Business, Inntesec
40

Coronavirus Phishing Attack, Human Hacking & Home Office

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (14)

Similar a Coronavirus Phishing Attack, Human Hacking & Home Office

Similar a Coronavirus Phishing Attack, Human Hacking & Home Office (20)

Último

Último (20)

Coronavirus Phishing Attack, Human Hacking & Home Office