• Tweet

El correo electrónico basado en Web ó Web mail, tiene un riesgo adicional debido a que llega al escritorio del usuario sin ser sujeto a medidas de seguridad impuestas en su viaje a través del sistema interno de la compañía, de acuerdo con Javier Santoyo de Symantec. “El correo electrónico basado en Web abre una puerta trasera en la organización y recae en los usuarios la responsabilidad de prevenir un exploit o una infección en sus sistemas”.

El acceso no restringido desde la oficina a correo electrónico personal basado en Web puede representar riesgos de seguridad para los negocios, pero la práctica es ampliamente ignorada, de acuerdo a un estudio liberado por una firma de seguridad esta semana.

De acuerdo con una encuesta llevada a cabo por Marshal, un portal de monitoreo de seguridad en Internet con base en el Reino Unido, 48% de 242 personas encuestadas dijeron que trabajaban para compañías que les otorgaban acceso completo y sin restricción alguna a correo electrónico personal basado en Web desde el trabajo.

El correo electrónico basado en Web puede ser una puerta trasera a través de la cual los empleados pueden comercializar información privada de la compañía, descargar o intercambiar material inapropiado o simplemente chatear con sus amigos en tiempo de la compañía.

Un alto porcentaje de ataques son ataques contra el navegador. Compañías como Hotmail, Yahoo y Google están modificando su acceso al correo electrónico vía Web para que sea más seguro, el método más efectivo para infectar a los usuarios es a través de correo electrónico.

El correo electrónico vía Web es un riesgo de seguridad debido a que tiende a estar en formato de página Web, o HTML, en vez de texto plano.

El correo electrónico en HTML presenta amenazas debido a que puede incluir lenguajes de script. Esto permite a los usuarios malintencionados infectar máquinas sin la intervención del usuario.

Algunas compañías reconocen los riesgos que posee el correo electrónico a través de Web pero no hacen mucho al respecto, de acuerdo a Mitchell Ashley, CTO de StillSecure. Comentó también que varias organizaciones tienen un aceptable empleo de políticas pero no las aplican de forma efectiva.

Algunas empresas emplean soluciones como el filtrado de Web para monitorear la actividad de los empleados y tomar acciones disciplinarias, pero esto es típicamente para encontrar pornografía entrante a la empresa.

El Web mail es como mensajería instantánea, no se habla de ella y no se nota. Los empleados pudieran estar ejecutando sus propios negocios fuera de su cubículo a través de acceso al Web mail. Es algo que está atrayendo la atención, pero no al grado que debería.

Qué tanta atención atraiga puede depender del tamaño de la compañía. Las compañías de Fortune 1000 ponen mucho más atención en lo que sus empleados están haciendo pero si se está hablando del mercado pequeño o mediano no lo hacen.

Riesgoso o no, no todos los expertos en seguridad creen que las compañías deberían bloquear el acceso al Web mail.Si un empleado está malévolamente motivado, quitando el acceso al Web mail no tiene importancia mencionó Jermiah Grossman, CTO de WhiteHat Security en Santa Clara, California.

Si un interno es realmente malintencionado, encontrará un camino para obtener la información fuera de ahí. Si se monitorean las actividades de los empleados en vez de bloquearlos, se tiene mayor ventaja de tratar con la situación y prevenirla.

Monitorear puede ser una solución mediana entre dos elecciones extremas para una política de Web mail de una compañía. Se puede bloquear a todos y tratar a los empleados como niños o puede uno activarlo y poner a la organización en riesgo. El monitoreo permite a las compañías activar el Web mail pero le permite una averiguación exacta y diligente que se hace para formar juicio de ello.