La mayoría de los compañeros que tiene su equipo de trabajo en la red de dominio de Ayesa, ha comprobado cómo en estos últimos días se le ha instalado un nuevo software dedicado al filtrado y vigilancia del tráfico web que genera. Podrás comprobar su presencia en el panel de notificaciones por el siguiente ícono (aunque en algunos casos se oculta y hay que buscarlo en los servicios y procesos) :
Endpoint User Agent
Endpoint User Agent
Con nuestros humildes conocimientos en materia de seguridad informática, hemos investigado sobre qué clase de producto han instalado en Ayesa y hemos encontrado que se trata de Cloud Web Security de la empresa Spamina.
En la web de ese producto se promete un filtrado como proxy del tráfico web, para que los usuarios no naveguemos por sitios no aconsejables —aunque ya contemos con un filtro web en red interna que nos limita y registra los sitios que podemos visitar—. No obstante, lo más llamativo de este nuevo producto, es que es capaz de analizar el contenido web que viaja cifrado y seguro a través de canales “https” utilizando una técnica de hacking denominada “Man in the middle” que básicamente lo que hace es suplantar el sitio al que realmente queremos conectarnos para interceptar toda la información. Podéis ver toda la información en el enlace.
Ayesa ya está haciendo uso de esa funcionalidad —como podemos ver en el ejemplo que hemos generado a continuación— de la que no están exentas ni las entidades bancarias en las que cobramos la nómina. Para ello sólo tenemos que visualizar el certificado de la página en la que estemos y comprobar que no está firmada por una entidad autorizada válida.
Con la excusa de evitar malware, lo que consigue la empresa es descifrar todo el tráfico que generamos, pero no sabemos es con qué fines ni dónde acaban nuestros datos. Sólo podemos aconsejaros que, de momento, desconfiéis de cualquier certificado emitido por entidades “dudosas” como “iSheriff” o similar.
Aunque entendemos que los equipos de trabajo son medios de la empresa, en el día de hoy hemos trasladado a la Dirección de Recursos Humanos una petición de información para que nos informe de “funcionamiento, motivaciones y repercusión” de esta herramienta que parece una grave amenaza de nuestra privacidad.
No entendemos por qué Ayesa sigue esta política cuando casi la totalidad de la plantilla tiene conocimientos informáticos y la gran mayoría estamos “educados digitalmente” como para evitar virus y páginas maliciosas. Mucho menos entendemos el porqué no se ha avisado a la plantilla de este nuevo producto y sus funcionalidades que nos pueden afectar directamente.
Por otra parte, queremos recordar que en la última encuesta de riesgos psicosociales, 4 de los 9 riesgos analizados exigían actuación inmediata. Uno de esos riesgos es el denominado PARTICIPACIÓN/SUPERVISIÓN (en el concepto de participación se examina la implicación, intervención y colaboración del trabajador, mientras que la supervisión se refiere al control sobre el trabajador por parte de sus superiores), de modo que recrudecer la vigilancia está en las antípodas de lo que debería ser una medida paliativa que mitigue ese riesgo.
0 comentarios:
Publicar un comentario