LONDRES — Las empresas que ampliaron el trabajo remoto durante los confinamientos por COVID-19 en 2020 ignoraron medidas de seguridad clave, según dejaron vulnerables sus redes a amenazas sofisticadas. Lo que empezó como acceso limitado para personal de TI y directivos se expandió a toda la compañía de la noche a la mañana.

Antes de la pandemia, las capacidades remotas servían roles específicos. Firmas financieras mantenían planes de contingencia tras los ataques del 11-S, listas para trasladar operaciones si cerraban oficinas. Esos sistemas se adaptaron rápido a las restricciones pandémicas. Pero escalarlos introdujo peligros inexistentes hace dos décadas.

El panorama de amenazas evolucionó drásticamente. Los hackers despliegan tácticas complejas. En 2007, intrusos robaron 45 millones de números de tarjetas de crédito y débito de TJ Maxx tras vulnerar una red inalámbrica en una tienda Marshalls. El hackeo a Target en 2013 comprometió 40 millones de tarjetas de clientes y 70 millones de datos de contacto mediante credenciales robadas a un contratista de calefacción y aire acondicionado. Ambos casos compartieron un fallo fatal: una vez dentro, los atacantes recorrieron libremente toda la red corporativa.

Tal acceso total resulta innecesario, según marcos de seguridad del Computer Security Handbook de 1995. El autor Roger Grimes abogó por zonas de seguridad que limiten el alcance a activos sensibles. Inicialmente dirigidas a sistemas de terceros como portales de trading, la aproximación se aplicó luego a Wi-Fi para invitados.

El trabajo remoto a gran escala exige la misma estrategia. Los empleados conectan vía escritorios alojados con protocolos Citrix o RDP. La autenticación sola no basta; los permisos deben ajustarse exactamente a funciones laborales. Los administradores de sistemas necesitan acceso total a la red. Los desarrolladores entran a entornos de pruebas, no a bases de datos de producción con datos de clientes. Los representantes de servicio al cliente usan portales web, sin herramientas como SSH o FTP reservadas a programadores.

Imaginemos la red como compartimentos, cada uno bloqueado a necesidades específicas por rol. Grimes detalló esto en su ponencia ‘Compartmented Networks: A Corporate Solution for Privacy, Integrity, and Security’ en la 11ª Conferencia Anual de Ciberseguridad del Estado de Nueva York. La implementación requiere más que un solo firewall. Exige políticas a medida y supervisión continua.

Sin embargo, la inversión compensa. Gestionar zonas demanda menos esfuerzo que recuperarse de una brecha total. Minoristas que procesan pagos, sistemas de recursos humanos con registros de empleados e industriales merecen aislamiento. En TJ Maxx, el acceso zonificado habría contenido la intrusión Wi-Fi. En Target, el hackeo al contratista habría quedado en sistemas de calefacción, sin afectar redes de pagos.

La expansión remota multiplica puntos débiles. Los entornos hogareños carecen de protecciones de oficina. El phishing roba credenciales diariamente. Límites proactivos frenan daños. Una contraseña de administrador robada causa estragos sin control. Un login de empleado administrativo comprometido queda confinado.

Expertos de firmas como RLG Security Consulting lo enfatizan al 15 de marzo de 2020. ‘Ampliar arreglos remotos eleva probabilidades de compromiso’, indica un informe. ‘Limite antes el radio de explosión’.

Las brechas cuestan millones en multas, demandas y pérdida de confianza. El fallo de Equifax en 2017 expuso 147 millones de registros y generó 700 millones de dólares en acuerdos. Ninguna empresa busca ese foco. El acceso remoto zonificado se integra sin problemas a VPN existentes y modelos de confianza cero en auge.

La implementación arranca simple. Inventarie roles de usuarios. Mapee apps y datos requeridos. Despliegue herramientas de microsegmentación de proveedores como Illumio o Guardicore. Pruebe rigurosamente antes del lanzamiento. Monitoree logs por anomalías.

Las organizaciones que siguieron estos pasos superaron las disrupciones de 2020 intactas. Otras aprendieron a golpes. La lección perdura: escale el acceso remoto, pero nunca a costa de la seguridad.