Stefano Gazzella : 15 septiembre 2025 07:32
Al hablar de seguridad de la información, primero debemos tomarnos un respiro y darnos cuenta de que necesitamos profundizar más allá de los sistemas informáticos y la información expresada directamente. Afecta a toda la información y a todos los sistemas de información. Así que, sin duda, debemos respirar hondo, porque de lo contrario es natural sentirnos un poco mareados, lo que nos lleva a ignorar lo que se comunica verbalmente, todo lo que se puede deducir, por ejemplo.
Y si nos falta oxígeno, quienes planean un ataque contra nosotros —o mejor dicho, contra un grupo en el que, por desgracia, estamos incluidos, porque rara vez podríamos ser copos de nieve especiales para un ciberdelincuente, y de todos modos no sería bueno— ya lo han pensado. Y cuando recopila información con ciertas técnicas de OSINT, no aplica nada esotérico, sino que, en pocas palabras, toma lo que hemos dejado a nuestro alcance y lo usa en nuestra contra.
De hecho, nuestra idea fundamental para protegernos siempre y planificar un sistema de defensa eficaz debería ser: ¿Cuál es el peor uso que se le puede dar a esta información? Y dejar que nuestros pensamientos divaguen hacia aquellos escenarios que combinan lo indeseable con lo posible, permitiéndonos así adoptar las precauciones necesarias.
Puede que parezca obvio, pero vale la pena repetirlo: cualquier información cuenta.
Si no es por nosotros, entonces por quienes podrían usarlo en nuestra contra.
Con este preámbulo, veamos qué tiene que ver con el mensaje de fuera de la oficina, es decir, ese mensaje de respuesta automática que notifica la indisponibilidad temporal de un usuario.
La información que debe transmitirse con un mensaje de fuera de la oficina es que no estamos disponibles. Posiblemente, también proporcione una dirección para gestionar asuntos pendientes y enviar comunicaciones.
Hasta ahora, todo bien. Pero a menudo necesitamos decir algo más. Desde indicar el periodo de indisponibilidad hasta el motivo de nuestra ausencia. Y si bien lo primero puede ser, si no necesario, exigido por el contexto, el motivo de la ausencia puede suponer un problema de seguridad, pero también de privacidad.
Por lo tanto, el contenido de la carta de ausencia no debe exceder los objetivos, por lo que es mejor indicar el periodo de ausencia y, si no es extremadamente importante, el motivo. Sea cual sea el motivo, desde quedarse sin gasolina, una rueda pinchada, un derrumbe de una casa, una inundación o una plaga de langostas… bueno, comunicarlo va más allá del alcance del proceso de ausencia.
Desde la perspectiva del RGPD, viola el principio de minimización y también podría revelar cierta información de los empleados que no debería divulgarse (por ejemplo, su estado de salud). Desde la perspectiva de la seguridad, consulte más arriba sobre proporcionar información excesiva y la capacidad de un atacante para mezclarla en un cóctel letal. O peligroso.
Diría que no está mal. En la práctica, una simple medida como la implementación deficiente del trabajo fuera de la oficina afecta tanto al trabajador como a la organización.
Las directrices de la Autoridad Italiana de Protección de Datos para el correo electrónico e internet en el lugar de trabajo, que datan de 2007, indican la inclusión de una especificación sobre lo siguiente como parte de la normativa interna:
las soluciones previstas para garantizar, con la cooperación del trabajador, la continuidad de la actividad laboral en caso de Ausencia del empleado (especialmente si es planificada), con especial referencia a la activación de sistemas de respuesta automática a los correos electrónicos entrantes;
Esto incluye poner a disposición del empleado la función de respuesta automática, dejando la excepción a la intervención del empleador a través de un administrador del sistema u otra persona designada (por ejemplo, en caso de ausencias prolongadas o imprevistas).
Esta es una forma de proporcionar información transparente al empleado e instrucciones completas para garantizar que la ausencia se gestione de forma segura. Claras y precisas, por supuesto. Y no con juegos de espejos y palancas que sabemos muy bien cómo terminan.
¿Y si no somos una empresa ni una organización? No será necesario elaborar un reglamento interno, sino actuar con disciplina. Es decir, considerar estos factores de riesgo y nunca abandonar las conductas seguras recitando la máxima de «lo que me pueda pasar», que a menudo desafía la morfología.
Lo cual, recuerden, incluye un axioma fundamental: «Si algo puede salir mal, saldrá mal».
Realidad: Esto también aplica a las operaciones fuera de la oficina mal gestionadas.
Sería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...
Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...
