Aunque sea algo terminantemente prohibido en la mayoría de las empresas, es frecuente que los empleados instalen o usen en sus ordenadores y teléfonos móviles corporativos todo tipo de programas y apps no autorizados, que no cumplen con las políticas de seguridad del departamento de TI y sin que éste ni siquiera sea consciente de ello. Esto es lo que se denomina software en la sombra o shadow IT.
En algunas ocasiones, se trata de soluciones a las que recurren los trabajadores para tratar de resolver determinadas necesidades a las que el software aprobado por la empresa no da respuesta.
Puede tratarse de plataformas de videoconferencia, herramientas de ofimática, páginas web desde las que se pueden enviar archivos pesados, etc.
Este tipo de soluciones no tiene por qué causar problemas, pero quedan fuera del perímetro de seguridad que controla el departamento de TI, por lo que no están bajo su control.
En otras ocasiones, puede tratarse de usos que comprometan gravemente la seguridad de la organización, como la descarga de música, series y películas a través de programas P2P, por ejemplo.
Impacto del shadow IT
Según un estudio de Kaspersky, el 11% de las empresas consultadas sufrieron incidentes cibernéticos en los últimos dos años como consecuencia del uso de shadow IT por parte de los empleados.
En alguna ocasión ya hemos contado que la omisión de los protocolos de ciberseguridad por parte de los empleados explica el 15% de los incidentes sufridos por las empresas españolas.
En el caso de los incidentes que tienen su origen en el shadow IT, Kaspersky indica que las consecuencias del uso de plataformas no autorizadas pueden ser diversas en su gravedad, desde la filtración de datos confidenciales hasta causar daños tangibles al negocio.
Curiosamente, la industria TI fue la más afectada, al sufrir un 16% de los ciberincidentes debido al uso no autorizado de shadow IT en 2022 y 2023. También se vieron muy afectados por el uso de programas no autorizados sectores como el de infraestructuras críticas y las empresas de transporte y logística, con un 13% de los incidentes.
Kaspersky pone el ejemplo del ataque sufrido por Okta Security, originado porque un empleado inició sesión en su cuenta personal de Google en un dispositivo propiedad de la empresa.
Los ciberdelincuentes aprovecharon este descuido para obtener acceso no autorizado al sistema de atención al cliente de Okta, donde pudieron secuestrar archivos que contenían tokens de sesión que luego podían usarse para realizar ataques de secuestro de sesión, tal y como informaba ComputerWeekly.com.
“El acceso no autorizado al sistema de atención al cliente de Okta aprovechó una cuenta de servicio almacenada en el propio sistema. A esta cuenta de servicio se le otorgaron permisos para ver y actualizar casos de atención al cliente”, explica a dicho medio David Bradbury, CISO de Okta.
“Durante nuestra investigación sobre el uso sospechoso de esta cuenta, identificamos que un empleado había iniciado sesión en su perfil personal de Google en el navegador Chrome de su portátil administrado por la empresa. El nombre de usuario y la contraseña de la cuenta de servicio se guardaron en la cuenta personal de Google del empleado. La vía más probable para la exposición de esta credencial es el compromiso de la cuenta personal de Google o del dispositivo personal del empleado”, aclara.
El incidente duró 20 días —del 28 de septiembre al 17 de octubre de 2023— y afectó a 134 clientes de la empresa, incluidos varios proveedores de servicios de autenticación.
«Los empleados que utilizan aplicaciones, dispositivos o servicios en la nube no autorizados por el departamento de TI creen que, si esos productos informáticos proceden de proveedores de confianza, deben estar protegidos y seguros. Sin embargo, en los ’términos y condiciones’, los proveedores externos utilizan el llamado ’modelo de responsabilidad compartida’. En éste, al elegir ’Acepto’, los usuarios confirman que realizarán actualizaciones periódicas de ese software y que asumen la responsabilidad de los incidentes relacionados con su uso, incluidas las fugas de datos corporativos. Las empresas necesitan herramientas para controlar el shadow IT cuando sus empleados lo utilizan”, afirma Alexey Vovk, responsable de Seguridad de la Información de Kaspersky.
No sólo programas no autorizados
La compañía remarca que el shadow IT no se limita tan solo al uso de aplicaciones no autorizadas instaladas en los equipos de los empleados, sino que también incluye la utilización de memorias USB u otros dispositivos móviles de almacenamiento.
Y también se considera shadow IT el uso de hardware que queda obsoleto tras la reorganización de la infraestructura informática. Estos sistemas, que no están actualizados, pueden ser utilizado por los empleados, a pesar de su vulnerabilidad que conlleva dicha falta de actualización, comprometiendo la seguridad de la infraestructura de la organización.
Asimismo, la empresa de ciberseguridad recalca que es frecuente que los programadores creen programas a la medida para optimizar el trabajo dentro de un equipo o departamento o para resolver problemas internos. Sin embargo, estos profesionales no siempre piden autorización al departamento de TI para utilizarlos.
Y esto puede tener graves consecuencias. Hay que tener en cuenta que, en muchas ocasiones, las soluciones desarrolladas son creadas a partir de librerías de código abierto, que facilitan enormemente la programación, pero que pueden tener problemas de seguridad no detectados.
Algunas recomendaciones
Kaspersky ofrece una serie de consejos para mitigar los riesgos del shadow IT. En primer lugar, recomienda que haya una estrecha colaboración entre el departamento de TI y el resto de la empresa, comentando las nuevas necesidades del negocio y dando retroalimentación sobre los servicios de TI utilizados.
También aconseja hacer periódicamente un inventario de los activos informáticos y escanear la red interna para evitar la aparición de hardware y servicios no controlados o que queden dispositivos obsoletos y en desuso.
Respecto a los dispositivos personales de los empleados, indica que lo mejor es dar a los usuarios un acceso lo más limitado posible y sólo a los recursos que necesiten para hacer su trabajo. Para ello, se puede utilizar un sistema de control de acceso que únicamente permita entrar en la red a los dispositivos autorizados.
Asimismo, advierte que es preferible limitar el trabajo de los empleados con servicios externos de terceros. Si es posible, incluso recomienda bloquear el acceso a los recursos de intercambio de información en la nube más populares.
Además, considera oportuno disponer de herramientas que permitan controlar el uso de shadow IT dentro de la organización, que ofrecen controles para limitar el uso de aplicaciones, sitios web y periféricos no solicitados.
Finalmente, aconseja formar a todos los empleados, pero especialmente a los responsables de TI.
