En el marco del mes europeo de concienciación en ciberseguridad, un reciente estudio de Cisco revela la creciente preocupación en España por los riesgos de ciberseguridad que surgen en el entorno del trabajo híbrido, especialmente cuando los dispositivos de trabajo son compartidos con los hijos. Aunque ocho de cada diez padres valoran el trabajo híbrido, no adoptan medidas sólidas de ciberseguridad. El 86% ha permitido que sus hijos usen dispositivos destinados al trabajo en los últimos seis meses, y un 41% admite que los menores conocen las contraseñas de acceso.

Nuria Jordi, Responsable de Ingeniería de Soluciones de Ciberseguridad para el Sur de Europa en Cisco, profundiza en las principales amenazas de seguridad y en las medidas que tanto empresas como familias pueden adoptar para proteger la información en un contexto de trabajo flexible y familiar.

Pregunta.— El estudio indica que hay un altísimo porcentaje de padres que comparten los dispositivos de trabajo desde casa con sus hijos. ¿Cuáles considera que son las principales amenazas que esto supone en cuanto a la ciberseguridad?

Respuesta.— Un 82% de los padres considera que el trabajo híbrido es esencial para conciliar la vida personal y laboral. Sin embargo, el 86% de estos padres han permitido que sus hijos utilicen dispositivos de trabajo en los últimos seis meses, lo cual es un porcentaje bastante alto. Además, un 41% admite que sus hijos conocen las contraseñas, lo que significa que pueden acceder al dispositivo en cualquier momento sin supervisión. Incluso en los casos en que los hijos no conocen la contraseña, más del 50% de los padres ha dejado el dispositivo sin supervisión.

Aquí, el principal riesgo es que estamos hablando de niños, que no tienen un sentido desarrollado de lo que implica la ciberseguridad ni de las amenazas potenciales. Es fácil que hagan clic en un enlace, compartan información, borren datos o incluso modifiquen información importante de la empresa. Uno de los principales fallos que vemos en ciberseguridad es precisamente el factor humano. Un clic en un enlace de un SMS o un correo malicioso puede ser devastador, especialmente si la persona no tiene educación en ciberseguridad. Además, estos niños pueden acceder a información confidencial, cerrar aplicaciones por error o enviar mensajes a destinatarios equivocados. Este tipo de riesgos humanos son algunos de los principales fallos que vemos en ciberseguridad.

P.— El estudio también revela que solo un 16% de los padres emplea la autenticación multifactor para proteger sus dispositivos. ¿Por qué considera que este porcentaje es tan bajo? ¿Es por falta de cultura, por pensar que «no va a pasar nada» o simplemente porque los padres no están tan educados digitalmente?

R.— Creo que se debe a una combinación de ambas cosas. Por un lado, el estudio muestra que el 85% de los padres están preocupados de que su dispositivo pueda ser hackeado, lo cual refleja una cierta conciencia de la importancia de la ciberseguridad. Sin embargo, es sorprendente que tan pocos estén utilizando el doble factor o multifactor de autenticación, especialmente cuando comprendemos la importancia de proteger los dispositivos contra accesos no autorizados, especialmente en aplicaciones críticas.

Aquí entran en juego los equipos de IT y seguridad de las empresas, que deben reforzar políticas de confianza cero, es decir, asegurar que quien intenta acceder al dispositivo o a una aplicación realmente tiene permiso para hacerlo, confirmando su identidad mediante autenticación multifactor. También está el tema de la educación: este estudio lo hemos realizado con más de 6000 personas en la región de EMEA (Europa, Oriente Medio y África), incluyendo más de 500 en España, y abarca perfiles de diferentes edades y sectores. La educación en ciberseguridad en un entorno de trabajo híbrido es clave, especialmente para los perfiles no tan tecnológicos, quienes pueden no tener presente esta necesidad de seguridad. La formación debe hacerles entender tanto las amenazas como las posibles sanciones en caso de mal uso o incumplimiento de medidas de ciberseguridad.

P.— Respecto al uso de redes de Wi-Fi públicas durante el trabajo, el estudio indica que el 35% de los padres las utilizan. ¿Cuáles son las recomendaciones básicas para proteger la información al emplear este tipo de redes?

R.— Lo principal sería utilizar una VPN, es decir, proteger la información mediante una red privada virtual. Cuando uno utiliza una WiFi pública, los datos pueden transmitirse de forma transparente, lo que permite a administradores de red o a personas con intenciones maliciosas capturar información confidencial, tanto corporativa como personal, como datos bancarios. Si por alguna razón no se pueden usar los datos móviles, la VPN garantiza la protección incluso en una red pública. Este es un punto fundamental para reforzar la ciberseguridad en trabajo híbrido.

P.— Cisco enfatiza la importancia de educar a los usuarios en ciberseguridad para evitar este tipo de riesgos. Desde su perspectiva, ¿cuál es el papel de las empresas en esta formación y cómo pueden contribuir a mejorar la concienciación en ciberseguridad?

R.— Las empresas, al permitir el trabajo desde cualquier lugar y dispositivo, deben reforzar la importancia de la seguridad. Esto se puede lograr mediante campañas para los trabajadores, como simulaciones de phishing. Por ejemplo, algunas empresas envían correos simulados de phishing para identificar cuántos empleados hacen clic en enlaces maliciosos y cuántos están dispuestos a ingresar sus credenciales, lo que sirve de base para posteriores formaciones. Es importante recordar que el factor humano sigue siendo uno de los principales puntos débiles, por lo que la educación en ciberseguridad resulta fundamental.

Esta formación permite a los empleados recordar las principales amenazas, comprender los riesgos y, en algunos casos, conocer las posibles sanciones por mal uso. Todos estamos expuestos a errores, pero una buena formación permite minimizar estos riesgos. Cisco, al igual que otras empresas, tiene el deber de reforzar este mensaje, ya que entendemos mejor los riesgos de lo que puede estar ocurriendo. La educación es, sin duda, un paso esencial, tan importante como el uso de VPNs o de autenticación multifactor.

Según el último informe Cisco Cybersecurity Readiness Index 2024, un 77% de las empresas en España prevé que un incidente grave de ciberseguridad afectará su negocio en los próximos 12 a 24 meses. La falta de preparación puede tener un coste elevado: cuatro de cada diez empresas (41%) han sufrido ciberataques en el último año, y el 60% de las afectadas reporta pérdidas económicas significativas, con un impacto que oscila entre 9.500 y 185.000 euros. Estos datos subrayan la urgencia de adoptar medidas sólidas de ciberseguridad para reducir los riesgos en un entorno laboral cada vez más interconectado y flexible.