“Gratis” siempre ha sido un precio atractivo. En la empresa actual, también es uno de los más confusos.
Desde aplicaciones de mensajería y navegadores hasta copilotos de IA y complementos de productividad, las herramientas para el consumidor se integran silenciosamente en los flujos de trabajo empresariales cotidianos. Es fácil entender cómo sucedió esto, dado lo convenientes, familiares y sencillas que pueden resultar estas herramientas.
Pero debajo de esta superficie de conveniencia se esconde una amenaza creciente. Estas herramientas nunca fueron diseñadas para entornos empresariales, sin embargo, las organizaciones se ven cada vez más obligadas a protegerlas, administrarlas y confiar en ellas como si lo fueran.
El mismo patrón se repite una y otra vez. Los equipos adoptan tecnologías de consumo ampliamente disponibles porque son fáciles de usar. Los equipos de seguridad y TI construyen capa tras capa de controles en la parte superior, como agentes de identidad, herramientas de prevención de pérdida de datos, agentes de punto final y extensiones de navegador.
Esto crea un mosaico de defensas que a menudo son frágiles, inconsistentes y difíciles de escalar.
El resultado es un modelo de seguridad reactiva construido sobre cimientos que nunca existieron para respaldarlo.
En lugar de reducir costos, los bienes de consumo a menudo los redistribuyen.
En lugar de pagar tarifas de licencia por adelantado, las organizaciones absorben los costos posteriores en forma de herramientas de seguridad adicionales, gastos generales de integración y complejidad operativa.
Cada capa adicional introducida para proteger una aplicación de consumo aumenta el riesgo de mala configuración, brechas de visibilidad y tiempos de respuesta retrasados. Con el tiempo se vuelve difícil proteger el medio ambiente.
A medida que las empresas gestionan docenas de dispositivos desconectados para mantener la seguridad básica, los “impuestos ocultos” se acumulan rápidamente. Lo que parecía gratuito en la superficie resultó caro en la práctica.
Los riesgos de seguridad cibernética no se limitan al comportamiento malicioso de los malos actores. Cuando se trata de proteger equipos de consumo, el comportamiento humano general es una consideración subestimada.
Cuando coexisten versiones para consumidores y empresas de la misma herramienta, los usuarios inevitablemente se desvían hacia el camino de menor resistencia.
Con la proliferación de plataformas de IA, los empleados pueden alternar entre inquilinos personales y corporativos sin darse cuenta de las implicaciones, accediendo a datos empresariales confidenciales en dispositivos personales que carecen de controles de nivel empresarial, auditabilidad o protecciones de residencia de datos.
El desafío se ve amplificado por la velocidad a la que las organizaciones y los empleados adoptan nuevas herramientas. La rápida incorporación de nuevas aplicaciones generativas de IA y SaaS a menudo supera la capacidad de imponer una gobernanza coherente, lo que aumenta el riesgo de fugas de datos e infracciones de cumplimiento.
Desde el punto de vista del usuario, alternar entre herramientas simplemente funciona como un diseño sin fricciones. Sin embargo, en un contexto empresarial, esas pequeñas decisiones cotidianas pueden crear una exposición significativa.
Ignorar la brecha de seguridad empresarial en las extensiones del navegador
Las extensiones del navegador son otro punto ciego que se esconde a simple vista.
Las extensiones a menudo requieren amplios permisos, lo que les brinda efectivamente la capacidad de leer y modificar todo con lo que el usuario interactúa en el navegador. Incluso las herramientas ampliamente confiables pueden presentar riesgos.
El popular Asistente de Ortografía y Gramática, por ejemplo, ofrece claros beneficios de productividad pero funciona efectivamente como un registrador de teclas, analizando texto en todas las aplicaciones.
Otro problema es el riesgo del ciclo de vida. Las extensiones que comienzan como benignas o respetables pueden luego verse comprometidas o actualizadas con código malicioso. Incidentes como la campaña ShadyPanda han demostrado cómo los atacantes utilizan extensiones confiables como vectores de distribución, convirtiendo herramientas legítimas en amenazas empresariales.
La visibilidad del comportamiento de las extensiones es limitada y los controles de seguridad tradicionales no siempre están equipados para monitorear o restringir de manera efectiva su actividad. Como resultado, las organizaciones heredan un nivel de riesgo que es difícil de medir y aún más difícil de gestionar.
Las herramientas para el consumidor también permiten vías de comunicación que quedan fuera de la supervisión empresarial.
Las aplicaciones de mensajería, las plataformas para compartir archivos y las herramientas de colaboración permiten a los empleados intercambiar información confidencial con terceros, a menudo sin registros, auditorías o protecciones de cumplimiento.
Incidentes recientes de alto perfil, como el uso de aplicaciones de mensajería cifrada como Signal para comunicaciones confidenciales, subrayan la facilidad con la que estos canales pueden eludir los marcos de gobernanza establecidos.
Desde una perspectiva de seguridad, estas herramientas crean puntos ciegos críticos con la comunicación, la toma de decisiones y el movimiento de datos más allá del alcance de los controles empresariales. Las implicaciones son particularmente graves para las industrias reguladas, ya que introducen preocupaciones de seguridad, así como riesgos legales y de cumplimiento.
La ampliación de las superficies de ataque aumenta la vulnerabilidad empresarial
En la raíz de estos desafíos hay una realidad simple: el software de consumo está diseñado para un rendimiento máximo, no para un riesgo mínimo.
Para atraer a una audiencia amplia, las aplicaciones de consumo incluyen una amplia gama de características y flexibilidad, que muchas empresas no necesitan o no necesitan utilizar. Pero cada característica adicional aumenta el tamaño y la complejidad del código base subyacente, ampliando la superficie de ataque potencial.
Las bases de código más grandes se correlacionan con un número estadísticamente mayor de vulnerabilidades, y las plataformas ampliamente utilizadas como Chromium a menudo revelan nuevos problemas de seguridad. Las empresas que adoptan tecnologías orientadas al consumidor heredan esa exposición, incluso cuando muchas funcionalidades son irrelevantes para su caso de uso.
Al eliminar el código de nivel de consumidor de Chromium y reemplazarlo con características de nivel empresarial seguras por diseño, mientras se fortalece la base de código subyacente, los navegadores empresariales pueden reducir la superficie de ataque, haciéndolo casi inmune a la explotación del adversario.
La reutilización de equipos de consumo para uso empresarial ha llegado a sus límites. Es hora de repensar completamente el modelo de organización. El objetivo no debería ser preservar una superficie en constante expansión, sino reducirla.
Comienza con un cambio de mentalidad, de una “seguridad integral” a un entorno diseñado específicamente para las necesidades de la empresa. Las empresas deben priorizar el control, la visibilidad y la gobernanza desde el principio, en lugar de intentar imponerlos después.
Las instalaciones ya no pueden dictar la postura de riesgo de una organización. Si bien las herramientas de consumo seguirán influyendo en las expectativas de los usuarios, las empresas deben equilibrar la usabilidad con las realidades de los modelos de amenazas modernos.
Para avanzar, los CIO y CISO deben alinear las herramientas que utilizan con los entornos en los que operan. Hasta entonces, lo “gratuito” seguirá acarreando un costo, uno que las empresas no pueden darse el lujo de ignorar.
Hemos presentado el mejor software de seguridad para terminales
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
