SHIELD

Viajes

Espionaje industrial en viajes: lo que cuentan sus dispositivos

El viaje profesional es el momento en que una organización más se expone, y del que menos desconfía. Vectores reales, casos documentados, y preparación proporcionada para los directivos y los equipos que viajan con valor.

Publicado el 10 min de lectura Exposed

Última revisión:

Terminal de aeropuerto vacío, vestíbulo de tránsito

Un directivo me cuenta su viaje a Asia. Tres días, una alianza que firmar, su portátil habitual en la mochila. En el hotel, deja el ordenador en la habitación para bajar a cenar. A su regreso, no falta nada, nada parece movido. Le pareció normal. Es exactamente lo que debería inquietar.

El espionaje industrial no tiene el aspecto que se le atribuye. Sin maletín, sin micrófono en la maceta. Tiene el aspecto de un viaje profesional ordinario, donde la persona que transporta el valor baja la guardia en el momento preciso en que su exposición es máxima.

El desplazamiento concentra tres factores rara vez reunidos: dispositivos que salen del perímetro protegido de la empresa, una persona cansada y apurada que toma atajos, y un entorno físico y de red que no controla. Para un actor que busca información, es la ventana ideal.

La trampa habitual

La idea recibida cabe en una frase: el espionaje económico es para los grandes grupos de defensa o las multinacionales del IBEX 35. La pyme que negocia un contrato en el extranjero, el despacho que acompaña una adquisición, la startup que presenta su tecnología en una feria, esos se creen demasiado pequeños para interesar a nadie.

Es falso, y es falso por una razón simple: el valor no se mide por el tamaño de la empresa, sino por lo que transporta en un momento dado. Una pyme de cuarenta personas que posee un proceso industrial único vale más, para un competidor, que un gran grupo cuyo todo ya es público. Un despacho de cinco socios que pilota una cesión de 80 millones transporta, durante unas semanas, una información cuyo valor supera con creces su propio tamaño.

El atacante no apunta a una empresa. Apunta a una información, en el instante en que es accesible. Y ese instante es a menudo el desplazamiento.

Modelo de amenaza real

Hay que distinguir tres familias de actores, porque no tienen ni los mismos medios ni los mismos objetivos.

El competidor directo, primero. El menos sofisticado, el más frecuente. No dispone de capacidades técnicas avanzadas, pero tiene un interés preciso y a veces un presupuesto para comprar inteligencia a intermediarios. Su ventana es la feria profesional, la conferencia, el momento en que sus comerciales hablan demasiado alto en un vestíbulo, en que sus diapositivas confidenciales quedan proyectadas durante la pausa.

El actor estatal, después. Presente en ciertos países donde la inteligencia económica es una política asumida, a veces respaldada por un marco legal que autoriza el acceso a los datos en el territorio nacional. Sus medios son de otro orden: acceso a las infraestructuras de telecomunicaciones locales, capacidad de extracción en las fronteras, personal hotelero cooperativo, interceptación de masa. Cuando usted entra en ese territorio con un dispositivo que contiene valor, debe partir del principio de que el contenido de ese dispositivo es potencialmente consultable.

El intermediario oportunista, por último. Oficinas de inteligencia privada, exmiembros de los servicios reconvertidos, proveedores que venden resultados sin que se les pida el método. Operan en una zona gris, y trabajan para quien paga.

Cámara de videovigilancia urbana en contrapicado
La vigilancia ambiente de un territorio no se negocia. Se sortea con la preparación.

Los vectores concretos, por orden de frecuencia

El Wi-Fi de hotel y de conferencia encabeza la lista. Red no controlada, a menudo mal configurada, a veces operada por un tercero del que usted no sabe nada. La amenaza ya no es tanto la interceptación del tráfico cifrado, vuelta difícil con el HTTPSVersión segura de HTTP, que cifra la comunicación entre navegador y servidor mediante TLS. generalizado, como la captura de los metadatos: qué servicios contacta, con qué frecuencia, hacia qué dominios. Y los portales cautivos maliciosos, que siguen siendo un vector de inyección activo.

El acceso físico al dispositivo dejado sin vigilancia viene después. Habitación de hotel, caja fuerte de habitación, equipaje en bodega, dispositivo confiado a un tercero durante un control. Unos minutos bastan a un actor preparado para clonar un disco no cifrado, instalar un implante, o simplemente fotografiar una pantalla desbloqueada.

La extracción en las fronteras cierra la marcha, pero está en crecimiento. En varias jurisdicciones, las autoridades fronterizas disponen del derecho de incautar y examinar los dispositivos electrónicos, a veces sin orden judicial. El viajero se encuentra ante una elección: desbloquear, o negarse y aceptar las consecuencias. La divulgación forzadaObligación legal de proporcionar contraseñas o descifrar dispositivos bajo amenaza de sanción. es una realidad legal en países que no siempre se imagina.

El buen enfoque

La regla estructurante cabe en una frase: lo que no está en el dispositivo no puede ser extraído del dispositivo. Toda la preparación se deriva de ahí.

El principio no es transformar cada desplazamiento en una operación clandestina. Es calibrar la protección sobre el valor transportado y sobre el territorio visitado. Un ida y vuelta a Bruselas para un comité europeo no exige la misma preparación que una negociación de tres semanas en un país de inteligencia económica activa.

La compartimentaciónSeparar las identidades por uso (civil, profesional público, profesional sensible, operacional) para limitar la propagación de filtraciones. es la herramienta central. Un dispositivo de desplazamiento no es su dispositivo habitual. Es una máquina con los datos minimizados, sin caché de sus cuentas en la nube, sin documentos sensibles en local, en la que una compromisión solo da acceso a lo que era necesario para el desplazamiento, y nada más.

El cifrado de discoSolución Microsoft de cifrado de disco integrada en Windows Pro/Enterprise. con un código antes del arranque, y no el cifrado transparente por defecto, protege la máquina apagada. El VPNTúnel cifrado entre tu dispositivo y un servidor, que oculta tu IP y tu tráfico a tu ISP. activado desde la conexión de red protege el tránsito en las redes no fiables. El DNS cifradoProtocolo que cifra las consultas DNS en HTTPS, ocultándolas al ISP. cierra un canal de vigilancia a menudo descuidado. Son medidas conocidas, cuya eficacia depende enteramente de su puesta en marcha antes de la salida, no durante.

Lo que esto implica en la práctica

Angle de lecture

Para usted, como particular

Usted viaja por trabajo, lleva su portátil y su teléfono habituales, y nunca ha reflexionado realmente sobre lo que eso expone. El buen reflejo no exige volverse paranoico, solo tratar el desplazamiento como un momento particular.

Sus tres prioridades, en este orden:

Verifique que el cifrado de disco está activo con un código antes del arranque, no solo el desbloqueo por contraseña de sesión. En Mac reciente, FileVault está activo por defecto, pero verifíquelo. En Windows, BitLocker con PIN.

Active su VPN en cuanto se conecte a una red que no controla, y déjelo activo. El Wi-Fi del hotel, del salón, del café nunca es de confianza.

Nunca deje su dispositivo desbloqueado sin vigilancia, ni siquiera unos minutos. La caja fuerte de la habitación no es segura. Si debe dejar el dispositivo, que esté apagado, no en suspensión.

Para un desplazamiento a un país de riesgo elevado, la verdadera respuesta es un dispositivo dedicado a los datos mínimos. Un teléfono y un portátil secundarios, limpios, sin acceso a sus datos de producción. Es más barato que una compromisión.

Para usted, CISO / Dirección de TI

Usted sabe todo esto. La dificultad no es técnica, es organizativa: lograr que la gente que viaja aplique la preparación, sin vivirla como un castigo.

El primer cambio es sacar la política de viaje del documento de cuarenta páginas que nadie lee, para convertirla en un dispositivo integrado al proceso de reserva. Cuando un colaborador reserva un desplazamiento hacia un país clasificado de riesgo, la alerta debe partir automáticamente, el material dedicado debe ser aprovisionado, el briefing debe ser disparado. La fricción debe estar en el sistema, no sobre los hombros de la persona.

El segundo cambio es el parque de dispositivos de desplazamiento. Un pool de portátiles y teléfonos limpios, preconfigurados, datos mínimos, que se prestan para las misiones sensibles y que se reinician al regreso. El coste de un pool de cinco máquinas es irrisorio frente a lo que una sola extracción lograda puede costar.

El tercer cambio es el regreso. Un dispositivo que ha viajado a un país de inteligencia activa no se reconecta ingenuamente al sistema de información. Procedimiento de cuarentena, verificación, idealmente reinicialización. La compromisión que cuenta no es la que roba datos sobre el terreno, es la que trae de vuelta un implante a su red.

Su indicador más elocuente: ¿qué porcentaje de sus desplazamientos en zona de riesgo usa material dedicado en lugar de los dispositivos de producción? Si no puede responder, es que la política existe sobre el papel pero no sobre el terreno.

Para usted, dirección general

Usted es la persona que transporta más valor cuando se desplaza, y la menos inclinada a aceptar la restricción. La negociación que va a firmar, la cesión que pilota, la tecnología que va a presentar: está en su cabeza y en sus dispositivos, en el momento preciso en que cruza una frontera que no controla.

No necesita comprender el cifrado. Necesita zanjar tres decisiones que nadie puede tomar en su lugar.

¿Qué me llevo? Para un desplazamiento sensible, la respuesta no es «mis dispositivos habituales». Es un material dedicado, preparado por su equipo, que solo contiene lo necesario para el desplazamiento. Su Dirección de TI aprovisiona. Usted decide el perímetro.

¿Qué acepto perder? Si le quitan sus dispositivos en una frontera, o si se los comprometen en una habitación, ¿qué queda expuesto? Si la respuesta le da miedo, es que transporta demasiado. La buena preparación vuelve esa pregunta casi indolora.

¿Qué hago si sale mal? Un dispositivo incautado, una solicitud de desbloqueo, un comportamiento anormal al regreso. Haber zanjado el protocolo antes de la salida lo cambia todo. Improvisarlo sobre el terreno, cansado y bajo presión, nunca produce una buena decisión.

La prueba no es saber si usted es prudente. Es saber si su prudencia está preparada con antelación, o improvisada en el momento en que ya es demasiado tarde.

Errores que se ven todo el tiempo

Llevarse sus dispositivos habituales «porque es más práctico», en un país donde se sabe sin embargo que la inteligencia económica es activa. La comodidad de tres días contra el riesgo de una compromisión duradera.

Creer que la caja fuerte de la habitación protege algo. El personal tiene un código maestro, y una caja fuerte de hotel nunca ha resistido a alguien que tiene tiempo.

Reconectar al regreso, sin precaución, el dispositivo que ha viajado. La amenaza que cuenta no se quedó en el extranjero, volvió con usted.

Confundir ausencia de prueba y ausencia de intrusión. Una extracción bien hecha no deja nada visible. «No faltaba nada» no es una información tranquilizadora, es la ausencia de información.

En preparación de un desplazamiento de riesgo

  • N1 Evaluar el nivel de riesgo del país de destino antes de toda preparación material
  • N1 Para un país de riesgo elevado: aprovisionar un dispositivo dedicado a los datos mínimos en lugar de llevarse los dispositivos de producción
  • N1 Verificar el cifrado de disco con código antes del arranque en todo dispositivo que se lleve
  • N2 Activar el VPN y el DNS cifrado, y probar que funcionan antes de la salida
  • N2 Desconectar las cuentas en la nube sensibles y purgar las cachés locales en el dispositivo de desplazamiento
  • N2 Definir de antemano el protocolo en caso de incautación o de solicitud de desbloqueo en las fronteras
  • N2 Nunca dejar un dispositivo desbloqueado o en suspensión sin vigilancia, caja fuerte de habitación incluida
  • N3 Al regreso: poner el dispositivo en cuarentena antes de toda reconexión al sistema de información
  • N3 Para las organizaciones: integrar el disparo de la preparación al proceso de reserva de los desplazamientos

Para profundizar

Este artículo forma parte del eje Viajes. Para la preparación paso a paso, véase Preparación antes de viajar. Para el caso específico de las fronteras, Fronteras y aduanas. Para el territorio más exigente, Viajar a China. Y para el material, Portátil de viaje.

Fuentes y lecturas complementarias

Artículos relacionados