A principios de este año, el director general de una editorial cristiana reunió a sus tropas para una reunión en la que se puso furioso por los rumores que se estaban difundiendo sobre la empresa por parte de fuentes internas – y luego castigó a los culpables no identificados despidiendo a 25 empleados. Durante la reunión -que obtuvo cobertura de la prensa gracias a que uno de los empleados la grabó en secreto- Ryan Tate reveló que había estado vigilando la actividad informática de sus empleados para intentar averiguar quién era el responsable.
«He mirado para otro lado… He confiado en ti. Por Dios. ¿Quieres ver Netflix? Que vean Netflix. Que lo pongan en un proyector si quieren. ¿Quieren estar en Facebook todo el día? Que estén en Facebook todo el día. Claro que les pago para que lo hagan. Todo eso está bien», dijo.
Ryan Tate, presidente y director general de Tate Publishing (no confundir con Ryan Tate, de la fama de Gawker/Wired…)
Le parece bien que los empleados hagan el tonto, pero no que hablen mal de la empresa. «Tengo que leer algunas de sus páginas de Facebook. Mi favorita es cuando publicáis algo y luego lo quitáis y no creéis que lo archivamos todo»
Me puse en contacto con la empresa en ese momento para ver cómo hacían el seguimiento, pero nunca me contestaron. Puede que Tate tuviera una política de empresa de monitorización de la actividad de los empleados en las redes sociales, o puede que estuviera capturando sus sesiones de Facebook en sus ordenadores de trabajo (o puede que sólo fuera un farol). En cualquier caso, Tate no es ni mucho menos el único empleador que fisgonea la actividad digital de sus empleados. La FDA está luchando actualmente contra una demanda de científicos que afirman que fueron despedidos por denunciar, algo que la agencia federal se dio cuenta de que estaban haciendo gracias a un programa espía de SpectorSoft que capturó sus correos electrónicos y su actividad informática. Gracias a un lío de un contratista que mantenía los archivos, las 80.000 (¡!) páginas del expediente de espionaje se filtraron temporalmente en Internet, dejando claro lo extenso que era el seguimiento.
No es inusual que los empleadores controlen los ordenadores de los empleados e incluso sus teléfonos inteligentes, pero muchos empleados no piensan en esto en el transcurso de su día de trabajo, pasando los descansos mirando el correo electrónico personal potencialmente sensible, teniendo chats sexy, desplazándose a través de los álbumes de fotos de Facebook (esperemos que no sean demasiado escandalosos), o tal vez incluso consultando las listas de trabajo en otros lugares. Antes de hacer algo demasiado escandaloso en tu ordenador de trabajo, deberías pensar si está vigilado. He hablado con el experto en informática forense Michael Robinson y con el investigador de seguridad Ashkan Soltani sobre algunos datos que podrían revelar que estás siendo potencialmente vigilado.
En primer lugar, deberías revisar tu manual de empleado o el acuerdo de uso del ordenador. Si su empleador dice allí que su actividad informática podría ser monitoreada – lo cual es bastante estándar – entonces tienen el derecho de espiar. Pero luego está la cuestión de si realmente se están aprovechando de ese derecho.
«El hecho de que se pueda saber depende de dónde se esté realizando la monitorización», dice Robinson. «Si es aguas arriba, en el cortafuegos, es difícil que el usuario lo sepa. Eso sólo le dirá a los empleadores qué sitios web visitan los empleados, por lo que podrían comprobar, por ejemplo, cuántos empleados fueron a Monster.com ese mes. Pero si quieren ver realmente una actividad más granular, tienen que poner un software de monitorización en el propio ordenador».
El investigador de seguridad Ashkan Soltani dice que una herramienta como netalyzr.icsi.berkeley.edu puede decirle si está siendo monitorizado en el Firewall. «Demostrará que hay algo ‘en el camino’ de tus comunicaciones seguras», dice. «No es 100% fiable, pero a menudo hay ‘indicios'».
Si estás en una red corporativa, toda la comunicación que no sea https es visible para quien controla la red. Algunos empleados piensan erróneamente que si están en Gmail o Facebook -que ofrecen seguridad https- sus comunicaciones estarán cifradas y nadie podrá leerlas. Eso puede ser cierto si la supervisión se produce en la fase inicial, aunque hay métodos para que una empresa vea a través del cifrado, ya que controla la red y, a menudo, el dispositivo a través del cual se accede a la información personal. Por ejemplo, consulta esta guía de BlueCoat para obtener el control de las sesiones cifradas. Y si el software está en el propio ordenador, https-ssl definitivamente no ofrece ninguna protección.
El software de monitorización en un ordenador captura las pulsaciones de teclas y las capturas de pantalla. Eso significa que puede reconstruir su sesión de Gmail o Facebook (que puede ser cómo Tate Publishing tenía registros de lo que sus empleados habían puesto en Facebook, y más tarde retirado). Este tipo de programas no aparecerán como aplicaciones, pero sí como procesos en ejecución.
- Si estás en un PC, puedes ver un proceso en ejecución pulsando «Alt-Ctrl-Supr» y sacando tu «Administrador de tareas». Cambia a la pestaña «Procesos».
- En un Mac, ve a tu «Launchpad», saca «Gadgets y Gizmos», luego ve a «Utilidades» y haz clic en «Monitor de actividad».
El proceso probablemente tenga un nombre inocuo, pero estará bastante ocupado ya que tiene mucha actividad que capturar. Entonces, ¿cómo saber si uno de estos procesos es un software espía? Una opción es comparar sus procesos con los que se ejecutan en el ordenador de un colega. Si uno de vosotros está siendo monitorizado y el otro no, probablemente notaréis que se están ejecutando procesos diferentes. Sin embargo, si ambos están siendo monitoreados, eso no es muy útil («y probablemente deberías conseguir un nuevo trabajo», dice Robinson). Por suerte, hay otra opción para realizar una comprobación.
Por extraño que parezca, muchos de estos programas «espía» son marcados por los antivirus y los programas de malware como maliciosos. Qué curioso. Por ello, algunas de las empresas que ofrecen este software han confeccionado «listas blancas» para que los departamentos informáticos que las gestionan se aseguren de que Symantec, McAfee y otros reconozcan sus procesos como no maliciosos. Y en muchos casos, esas listas blancas son públicas, por lo que se pueden ver exactamente los nombres de los archivos. Si los consultores de la FDA hubieran comprobado sus procesos, probablemente habrían visto algunos de estos ejecutables funcionando en sus ordenadores, a través de la lista blanca de SpectorSoft.
SpectorSoft ofrece una lista blanca de sus procesos de espionaje para que los departamentos de TI puedan configurar… el software antivirus para que los ignore
Gracias a esto, si busca en Google un proceso extraño que está viendo y es un programa espía, es probable que le lleve de vuelta al sitio web del proveedor de programas espía.
Desgraciadamente, algunos programas espía son más astutos que otros. «Los más sofisticados se comportan más como rootkits en el sentido de que se ocultan a la vista», dice Soltani.
«Solía trabajar para una empresa en la que, cuando dabas el preaviso, Recursos Humanos te decía que te vigilara para asegurarse de que no te robaban propiedad intelectual», dice Robinson. «El día que avisé, apareció una actualización de Windows. Se creyeron que estaban siendo furtivos. Escribí en la pantalla: ‘Te veo observando que me observas'».
«Si tu jefe realmente abre tu correo electrónico y lo lee, podrías incrustar balizas de seguimiento en los mensajes de correo y así controlar cuándo se abren», dice Soltani. Puedes utilizar un programa como emailprivacytester.com o ReadNotify -el programa que un fanático loco utilizó para comprobar si Jay-Z leía los correos electrónicos que le enviaba.
Los jefes que hacen capturas a gran escala de todo lo que hacen sus empleados son probablemente una rareza, dice Robinson. «Pasarían más tiempo supervisando que gestionando», dice.
Es más probable que ocurra si un jefe está realmente preocupado por un empleado en particular, o si le preocupa que la información sensible salga de la empresa. En el caso de la FDA, la agencia federal estaba preocupada porque los consultores estaban filtrando información crítica con la agencia a los miembros del Congreso (y tenían razón).
Dado el gran número de formas en que su empleador podría espiarle -y el hecho de que no todas son detectables-, probablemente lo más sensato sea guardar todo lo que sea demasiado sensible para su dispositivo personal u ordenador personal.
En sus comentarios finales a sus empleados en esa reveladora reunión de todos los empleados, el editor Ryan Tate dijo: «Sed inteligentes, especialmente en esta era digital. Lo entiendo si estás en casa y te quejas a un ser querido, pero ¿quién se conecta a Internet para hacer eso, o envía un correo electrónico?»
Um. Todos, diría yo. Pero sí que hay que ser inteligente con el ordenador desde el que lo haces. Y, por supuesto, si eliges la opción más segura del ordenador de casa, cruza los dedos para que un ser querido no te esté espiando allí.