Espionaje Empresarial: Porque existen amenazas mayores para su empresa más allá de los ataques ciber

El Centro Nacional de Seguridad Cibernética sigue advirtiendo a las empresas que los ciberataques continúan aumentando y que las organizaciones deben tener implementadas las estrategias de prevención correctas. A pesar de poner toda la atención en el campo de la cibernética, las empresas podrían pasar por alto una mayor amenaza a su seguridad, lo que se conoce comúnmente como espionaje empresarial o espionaje comercial. A diferencia del espionaje corporativo que involucra corporaciones que espían a otras corporaciones, el espionaje empresarial se presenta cuando los gobiernos o los competidores espían a las empresas independientemente de su tamaño o función.

Este espionaje puede involucrar ataques cibernéticos, es decir hackeo a los sistemas y descarga, copia o robo de información confidencial, aunque también involucra el uso de dispositivos de escucha o de monitoreo, cámaras y transmisores ocultos. En algunos casos, el espionaje empresarial lo realizan espías que se infiltran en las organizaciones para tener acceso a información privada de varias formas, desde robar o copiar archivos hasta llegar a los residuos de papel. Estos espías pueden ser empleados, exempleados, aseadores, contratistas o intrusos.


Se calcula que se pierden US$8.5 billones ($1.7 billones por año) en todo el mundo en cinco años como consecuencia de espionaje empresarial. Para ponerlo en contexto, estamos hablando de US$5.5 billones más que todos los costos relacionados con el ataque al World Trade Center en la Ciudad de Nueva York en 2001, los cuales fueron estimados en US$3 billones durante los cinco años posteriores al ataque.


El espionaje comercial puede tener un efecto catastrófico en las empresas y sin embargo se trata de una de las amenazas menos entendidas de las que afrontan las organizaciones hoy en día.


Tener en cuenta todas las amenazas internas


El espionaje empresarial puede provenir de muchas fuentes tales como personas, competidores, gobiernos extranjeros o bandas criminales y en muchos casos los perpetradores se pueden escapar con información confidencial y crítica de la empresa mucho antes de que alguien se percate de la violación.


En muchos casos, puede ser tan simple como un falso empleado nuevo que entra al edificio provisto con la información correcta para burlar la seguridad, roba rápidamente información confidencial bien sea a través de documentos, computadores portátiles o teléfonos celulares antes de que alguien lo note.


Cada vez más los espías están robando los registros del personal puesto que se trata de información de gran valor para las empresas. Podríamos argumentar que el acceso a la información personal de la gente de la organización permite que los espías se infiltren mejor en la empresa, o incluso reclutan nuevos talentos directamente desde el interior de la empresa.


Los espías de las empresas desarrollarán planes detallados y estratégicos para infiltrarse en las organizaciones y tener acceso a sus datos. Luego, se aprovecharán de las debilidades básicas, los vacíos de conocimiento y la fragilidad humana, por lo que las empresas deben implementar las medidas correctas para monitorear estas amenazas. No tiene mucho sentido monitorear los sistemas sino monitorea a las personas que tienen acceso a ellos.


Las amenazas potenciales en el lugar de trabajo incluyen a los empleados nuevos, los empleados descontentos o codiciosos y también proveedores y contratistas que se llevan información confidencial, con muy pocas señales de detección. La información confidencial que se comparte a través de plataformas y teléfonos en línea o documentos impresos también es vulnerable sino se protege adecuadamente. La información también se puede sacar a través de teléfonos y comunicaciones informáticas o durante conferencias. Los ejecutivos de las empresas son particularmente vulnerables al espionaje cuando viajan por asuntos de negocios. Esto sucede porque a pesar de que la mayoría de las empresas toman en cuenta las amenazas terroristas, las actividades criminales o incluso los desastres naturales dentro de los programas de seguridad de viaje, casi nunca cubren el espionaje empresarial. El mismo riesgo aplica a los empleados expatriados, instalados en países extranjeros, ya que la compañía no les explica las amenazas de espionaje empresarial por temor a perturbarlos.


Proteger de manera eficaz la información de su compañía


Las compañías monitorearán la pérdida de equipos por robo, pero posiblemente una consecuencia de mayor envergadura para la empresa es la información que se puede encontrar en estos computadores portátiles o teléfonos celulares robados de propiedad de la compañía. De hecho, es virtualmente seguro que la información a la que se puede tener acceso en estos dispositivos vale mucho más que el equipo en sí. Además de configurar contraseñas y códigos de acceso complejos, así como instalar un software que permita a la organización rastrear estos dispositivos, toda la información confidencial se debe encriptar y las copias se deben guardar en servidores seguros. Las restricciones legales tales como los contratos de no competencia, las patentes y los derechos de autor también son formas de proteger sus datos y sus activos de competidores y exempleados.


La seguridad física y el control de acceso adecuado ayudan a protegerse del espionaje empresarial. Como parte de una auditoría de seguridad, se debe mapear, acordar y probar los derechos de acceso y los derechos de paso de todo el personal de planta y de todo el personal de servicios como aseadores, ingenieros y profesionales de TI. Los visitantes externos deben tener un control de acceso más firme y limitado.


Los procesos de selección y verificación de antecedentes para los empleados nuevos también deben aplicar a los contratistas y socios, pues en muchos casos tendrán acceso a la misma información confidencial y a las dependencias como cualquier empleado de tiempo completo.


Una solución para las compañías o los departamentos comerciales que manejan información particularmente confidencial es monitorear las impresiones bien sea limitando el control de acceso a ciertas impresoras o salas de impresión o incluso prohibiendo por completo las impresiones. La mayoría de las impresoras tienen la capacidad de almacenar hasta 1000 copias de las últimas páginas impresas, algunas de las cuales pueden contener información confidencial. Un problema relacionado con el espionaje es que con frecuencia se puede tener acceso a las impresoras y copiadoras de forma remota, o las compañías de mantenimiento o reparación pueden extraer los discos duros.

Se deben implementar y aplicar políticas de escritorio limpio en los departamentos donde se permiten impresiones, así como también establecer procesos para la eliminación oportuna de información confidencial que ha sido impresa.


Además de la implementación de sistemas de seguridad de TI y físicos dentro de las organizaciones, los miembros del personal también deben ser informados adecuadamente al respecto. Todo el personal, ya sea que trabaje en la recepción, en ventas o en TI, a nivel operativo o de dirección, debe ser instruido sobre las amenazas de espionaje empresarial y sobre las formas de evitar que sus datos lleguen a manos de personas equivocadas.


Bruce Wimmer, Director General de Servicios de Riesgo Corporativo de G4S, ha participado en investigaciones y consultorías de seguridad por más de 40 años.

Ver perfil



More SecurityRiskIQ.com