La tecnología informática se ha convertido en el pilar de las empresas modernas, pero con ella emergen nuevos riesgos. Uno de estos riesgos, poco conocido pero potencialmente devastador, es el llamado Shadow IT. Un reciente estudio de Kaspersky ha lanzado una alarma: 1 de cada 10 empresas ha sufrido incidentes cibernéticos en los últimos dos años, originados por el uso de programas o aplicaciones no autorizadas por los empleados. Este artículo examina la naturaleza del Shadow IT, sus implicancias y cómo las empresas pueden protegerse de estos peligros ocultos.
¿Qué es el Shadow IT?
Shadow IT se refiere al uso de aplicaciones, dispositivos y servicios de nube pública que no están autorizados ni cumplen con las políticas de seguridad de los departamentos de TI de las empresas. El estudio de Kaspersky reveló que el 77% de las empresas en todo el mundo sufrió incidentes cibernéticos en los últimos dos años, y un 11% de estos fueron debido al uso indebido de Shadow IT.
Sectores Más Afectados
La industria TI ha sido la más afectada, con un 16% de los ciberincidentes atribuidos al Shadow IT en 2022 y 2023. Sectores como las infraestructuras críticas y el transporte y logística también han sido significativamente impactados, con un 13% de los incidentes en cada área.
Casos Emblemáticos
Un ejemplo claro de los peligros del Shadow IT es el caso de Okta en 2023. Un empleado utilizó su cuenta personal de Google en un dispositivo empresarial, lo que permitió a ciberdelincuentes acceder al sistema de atención al cliente de Okta y secuestrar archivos importantes. Este incidente duró 20 días y afectó a 134 clientes.
Riesgos del Shadow IT
El Shadow IT puede incluir desde aplicaciones no autorizadas hasta memorias USB y dispositivos móviles no registrados. Incluso el hardware obsoleto puede ser una fuente de vulnerabilidades. Los programadores, por su parte, a menudo crean programas personalizados sin autorización del departamento de TI, lo que puede resultar en consecuencias desastrosas.
La Falsa Sensación de Seguridad
Alexey Vovk, de Kaspersky, señala que los empleados a menudo creen que los productos de proveedores de confianza son seguros por defecto. Sin embargo, muchos de estos servicios operan bajo un «modelo de responsabilidad compartida», donde los usuarios asumen una parte significativa de la responsabilidad de seguridad.
Shadow IT: Una Amenaza Creciente
Se espera que el Shadow IT se convierta en una de las principales amenazas para la ciberseguridad corporativa en 2025. Muchas organizaciones no tienen políticas claras o sanciones documentadas para los empleados que violan las normas de TI en este sentido.
Motivaciones Detrás del Uso de Shadow IT
A menudo, el uso de Shadow IT por parte de los empleados no tiene una intención maliciosa. Generalmente, buscan ampliar la funcionalidad de sus herramientas de trabajo o prefieren programas con los que ya están familiarizados.
Medidas de Mitigación
Para reducir los riesgos asociados con el Shadow IT, Kaspersky recomienda varias estrategias:
- Fomentar la cooperación entre todos los departamentos y TI.
- Realizar inventarios regulares de activos informáticos y escanear la red interna.
- Limitar el acceso de los dispositivos personales de los empleados.
- Proporcionar capacitaciones en seguridad de la información.
- Invertir en formación para especialistas en seguridad de TI.
- Utilizar productos y soluciones para controlar el uso de Shadow IT.
- Organizar un proceso centralizado para la aprobación de soluciones desarrolladas por empleados.
- Limitar el trabajo con servicios externos de terceros y, si es posible, bloquear el acceso a recursos de intercambio de información en la nube.
El Shadow IT representa un riesgo significativo para las organizaciones. La falta de control y supervisión de las herramientas y aplicaciones utilizadas por los empleados puede abrir puertas a ciberdelincuentes. Es crucial que las empresas tomen medidas proactivas para educar a sus empleados, implementar políticas de seguridad adecuadas y utilizar tecnologías que les permitan monitorear y controlar el uso de TI no autorizado. Solo así podrán minimizar los riesgos y protegerse eficazmente contra los crecientes peligros del ciberespacio.
