Seguridad en Slack: ¿Cómo proteger sus datos sensibles?

Slack ofrece muchas funciones de seguridad nativas que las empresas pueden utilizar para proteger sus datos y a sus usuarios. Sin embargo, sacar el máximo partido a estas funciones suele requerir una configuración avanzada y Slack Enterprise Grid. Incluso entonces, aún pueden quedar lagunas, en particular para las organizaciones cubiertas por normativas como la HIPAA o el GDPR. Este post desglosa las características y los riesgos de seguridad de Slack y explora cómo puede implementar la seguridad de nivel empresarial en Slack.

¿Es Slack seguro? 

Al tratarse de una herramienta de colaboración empresarial, se puede perdonar a los empleados que asuman que cualquier cosa que escriban en Slack está protegida y es segura. Slack proporciona una serie de medidas de seguridad de datos que protegen la información de los usuarios contra la exfiltración. Sin embargo, estas medidas pueden no ser tan exhaustivas como los usuarios suponen en un primer momento, y muchas requieren que los administradores de Slack las configuren de forma proactiva.

¿Qué datos alberga Slack?

El análisis de millones de mensajes reales de Slack de Aware arroja un panorama preocupante. Nuestra investigación muestra que el entorno medio de Slack es una maraña de puntos ciegos, riesgos ocultos y datos sensibles. 

¿Qué sectores deben tener especial cuidado con Slack por motivos de seguridad?

Algunas organizaciones tienen requisitos de seguridad de datos más estrictos que otras. Por ejemplo, los que pertenecen a sectores muy regulados, como el financiero o el sanitario, deben tener en cuenta sus obligaciones en virtud de legislaciones como la HIPAA y la SEC 17a-4 para preservar las certificaciones de cumplimiento.

Además, el Centro Nacional de Contrainteligencia y Seguridad de Estados Unidos (NCSC), la Oficina de Seguridad Económica y Tecnología Emergente (OESET) y unidades especiales de la Fuerza Aérea y la Armada han advertido recientemente a las empresas tecnológicas de que se enfrentan a mayores riesgos de seguridad de la información por parte de actores estatales extranjeros, que pueden utilizar herramientas de la empresa como Slack para exfiltrar información privilegiada.

Para estas organizaciones, puede ser una buena práctica restringir el acceso a Slack a las direcciones de correo electrónico y los dispositivos móviles propiedad de la empresa. En todos los casos, la gestión de dispositivos debe ser una parte regular de la revisión de seguridad de Slack.

Tipos de datos sensibles compartidos en Slack

Los mensajes de colaboración contienen una cantidad significativa de datos sensibles que las empresas necesitan proteger. Esto incluye información regulada como PII/PHI/PCI y propiedad intelectual no regulada -pero valiosa- y otras comunicaciones confidenciales.

• Información de identificación personal (IIP)
• Información sanitaria personal (PHI)
• Datos de la industria de tarjetas de pago (PCI)
• Propiedad intelectual (PI)
• Fusiones y adquisiciones
• Tóxicos, intimidación y discurso del odio 

La proliferación de esta información en todo el entorno de Slack podría dar lugar a un intenso escrutinio normativo y a costosas multas y sanciones. Los actores de amenazas también pueden utilizar información confidencial para avergonzar a la empresa o costarle una ventaja comercial. Las últimas investigaciones muestran que el 12% de los empleados se llevan consigo la PI cuando se marchan a otro trabajo. 

La razón por la que se almacenan tantos datos sensibles en Slack es sencilla: los empleados creen erróneamente que una herramienta sancionada por la empresa es un repositorio seguro para cualquier dato relacionado con el trabajo. El primer punto de fallo de la seguridad en Slack está en no instruir a los empleados sobre lo que constituye un intercambio de información apropiado e inapropiado en Slack. 

Las investigaciones de Aware lo respaldan. Un cliente de Aware descubrió 32.000 casos de datos PCI/PII almacenados en canales de Slack por empleados que simplemente intentaban hacer su trabajo. 

No basta con formar a los empleados. Para proteger los datos de la empresa frente a la exfiltración en Slack, las empresas deben adoptar un enfoque proactivo de la gestión de amenazas. Desafortunadamente, Slack no despliega herramientas proactivas de seguridad de datos como estándar. En su lugar, las empresas deben implementar sus propios controles de seguridad mediante el uso de integraciones de seguridad de datos de nivel empresarial y aplicaciones de terceros. 

¿Cuáles son las funciones de seguridad integradas de Slack?

Cifrado de datos en Slack

Por defecto, Slack encripta los datos en tránsito y en reposo. Eso significa que la información de Slack que se guarda en bases de datos o que se transmite está protegida de una fácil exfiltración. Sin embargo, a diferencia de otras aplicaciones de mensajería, Slack no ofrece cifrado de extremo a extremo de sus datos. Eso significa que cualquier actor de amenazas con acceso al servidor de Slack puede acceder o exfiltrar toda la información que contiene. Esto también podría aumentar la vulnerabilidad de Slack frente al malware y otras formas de ataque. 

La encriptación de extremo a extremo se considera el patrón oro de las políticas de seguridad de datos porque las únicas personas que pueden acceder a los datos son el remitente y el destinatario o destinatarios previstos, normalmente almacenando las claves de encriptación en dispositivos individuales en lugar de a nivel de servidor. 

✅ Cifrado de datos en tránsito (también conocido como cifrado de datos en movimiento) 

✅ Cifrado de datos en reposo (DARE) 

❌ Cifrado de extremo a extremo 

Gestión de claves empresariales de Slack 

Además de la encriptación de datos, Slack también proporciona otras herramientas de seguridad de datos. Slack Enterprise Key Management (Slack EKM) permite a las empresas aportar sus propias claves de cifrado a su entorno Slack. Esto proporciona a las empresas un mayor control sobre cómo se cifran sus datos y quién puede acceder a ellos mediante controles de permisos granulares. Estas funciones de verificación adicionales pueden ayudar a combatir ataques externos comunes, como las estafas de phishing, y bloquear a un pirata informático en el momento en que son detectados. 

Registros de auditoría de Slack 

Si una empresa necesita realizar investigaciones forenses en Slack, los registros de auditoría proporcionan un punto de partida útil. Estos registros graban todas las acciones que los usuarios realizan dentro de Slack y crean herramientas de supervisión personalizadas utilizando la API de registros de auditoría. Sin embargo, las empresas no pueden ver los mensajes que los empleados envían en Slack y los registros de auditoría no permiten la caza proactiva de amenazas. Esa funcionalidad requiere la adición de una aplicación de Slack de terceros para la prevención de pérdida de datos (DLP) y/o eDiscovery. 

Otras funciones de seguridad de datos de Slack 

Slack puede ofrecer a los usuarios un mayor control sobre quién obtiene acceso al entorno, y durante cuánto tiempo, mediante herramientas de seguridad como los límites de sesión, la autenticación de dos factores, la autenticación multifactor y el inicio de sesión único (SSO). Estos ajustes pueden dificultar a los actores de amenazas el acceso a una cuenta corporativa de Slack y reducir el tiempo de que dispone un pirata informático para actuar. 

En resumen, Slack proporciona un espacio de trabajo seguro para las empresas utilizando el cifrado de datos estándar del sector en tránsito y en reposo. Sin embargo, para obtener una imagen completa de lo que ocurre en un entorno Slack empresarial, las empresas deben emparejar las capacidades de seguridad nativas de Slack con plataformas de ciberseguridad más potentes. 

¿Cuáles son las diferentes preocupaciones de seguridad con Slack? 

Cuando se trata de proteger los entornos Slack empresariales de la exfiltración de datos, hay que tener en cuenta varios tipos de amenazas. Cada uno requiere su propia estrategia de gestión proactiva. 

Amenazas a la seguridad de la plataforma Slack 

Los riesgos de seguridad dentro del propio Slack pueden amenazar la seguridad de los datos de la empresa al permitir a los piratas informáticos penetrar en el entorno Slack del lugar de trabajo. La exfiltración de datos de Slack por parte de piratas informáticos saltó a los titulares gracias a la brecha de Uber, donde los mensajes de Slack fueron el objetivo explícito y robados por el pirata informático. 

¿Por qué robarían los hackers los datos de Slack? Como ha revelado la investigación de Aware, los ecosistemas de Slack pueden estar repletos de información confidencial y secretos de empresa. Incluso si el pirata informático nunca utiliza esa información, puede costarle a la empresa una cantidad significativa en multas y sanciones. 

El coste medio de un registro violado fue de 164 dólares según una investigación realizada por IBM en 2022. Cuando 1:166 mensajes en Slack contienen información confidencial, eso significa que cada nuevo mensaje tecleado en su entorno Slack añade otro dólar al coste total de su exposición al riesgo - y sólo 5.000 empleados enviarán 30 millones de mensajes Slack cada año. 

Amenazas internas en Slack 

La otra preocupación de las empresas modernas cuando utilizan Slack, o cualquier otra herramienta de colaboración, son las amenazas internas. El Instituto Ponemon descubrió que las amenazas internas siguen aumentando, y que el coste para las empresas es más alto que nunca. La organización media tarda 85 días en identificar y contener una amenaza interna, con un coste de 15,38 millones de dólares por incidente. 

Las amenazas internas se producen por negligencia o malicia. La mayoría de las amenazas no son intencionadas. Los descuidos representan el 56% de todos los incidentes de amenazas internas, normalmente porque los empleados han compartido información sensible en los canales equivocados. Las violaciones de la normativa mediante el intercambio de información PII/PCI dentro de los canales de Slack es un excelente ejemplo de una amenaza interna causada por un descuido. 

Los infiltrados maliciosos son más raros pero hacen mucho más daño a la empresa. Como han sido invitados a entrar en el espacio de trabajo, pueden ser más difíciles de detectar y saber dónde buscar información valiosa. Y como Slack permite canales privados y mensajes directos y se sincroniza a través de múltiples dispositivos, un infiltrado malicioso también puede utilizar Slack para enviarse a sí mismo información confidencial y acceder a ella más tarde desde un dispositivo privado, eludiendo cortafuegos y otros controles de seguridad de los datos. 

• El insider malicioso medio exfiltra 80.000 registros empresariales 
• Los ataques de iniciados maliciosos tardan una media de 284 días en identificarse y contenerse 
• El coste medio de una violación de datos maliciosa es de 4,18 millones de dólares 

Fuente: IBM 

Riesgos con las integraciones de terceros

Una de las características clave que ofrece Slack es su capacidad para integrarse con otras aplicaciones, pero esto también puede abrir una brecha en la seguridad. Slack no responde de la seguridad de las aplicaciones incluidas en su directorio, por lo que las organizaciones son responsables de evaluar las aplicaciones con las que se conectan. Las aplicaciones mal configuradas podrían provocar una fuga de datos.

Muchas aplicaciones de terceros también requieren la capacidad de leer/escribir mensajes, acceder a archivos para compartir o crear nuevos canales. Estos permisos abren Slack a vulnerabilidades que pueden conducir a la exfiltración de datos. Existe el riesgo adicional del malware con aplicaciones de terceros no aprobadas.

Para mitigar este riesgo, las empresas necesitan políticas estrictas para la aprobación de aplicaciones de terceros cuando se integren con Slack que incluyan la limitación de los permisos de las aplicaciones al mínimo necesario y la supervisión de las aplicaciones integradas para detectar actividades sospechosas.

Phishing

Las estafas de phishing tienen como objetivo herramientas de colaboración populares como Slack y Teams porque estas plataformas permiten a terceros integrarse en sus canales. Los atacantes se hacen pasar por usuarios de Slack para enviar invitaciones a chats de grupo y luego engañan a los usuarios para que descarguen cargas útiles de malware en los sistemas de las empresas víctimas.

Ha ocurrido varias veces a través de Teams, que comparte esta vulnerabilidad con Slack. El problema con las estafas de phishing es formar a los empleados para que las reconozcan. Cuando parecen proceder de plataformas aprobadas por la empresa, son más difíciles de detectar.

Permitir el acceso a usuarios externos

Slack Connect ofrece a los empleados la posibilidad de trabajar en colaboración con personas ajenas a la organización. Sin embargo, abrir la plataforma a estos usuarios supone un riesgo para la seguridad de las empresas en varios sentidos. Una es una simple cuestión de acceso. Proporcionar a los contratistas y otros usuarios externos los permisos mínimos necesarios para completar el proyecto es una de las mejores prácticas. Supervisar su actividad también es clave porque los usuarios en Slack pueden cambiar su foto de perfil y su nombre para aparecer como si fueran otro usuario dentro de la organización. Los actores maliciosos pueden infiltrarse en una organización de esta forma si tienen intenciones de hacer daño.

Los usuarios externos traen sus propios dispositivos a la mesa, y estos proporcionan otro punto de vulnerabilidad de Slack. Implantar controles estrictos, así como supervisar el uso que hacen de las aplicaciones mientras trabajan en el proyecto, es clave para mantener la seguridad de los datos. Una vez finalizado un encargo, desproveer rápidamente su acceso puede reducir aún más la posibilidad de que se produzca una violación de datos.

Mejores prácticas para mejorar la seguridad de Slack

Entonces, ¿qué pueden hacer las empresas para mitigar los riesgos de las amenazas a la seguridad de la plataforma Slack? Para detectar y contener la IIP y evitar la exfiltración de datos desde Slack, los equipos de seguridad deben: 

• Introduzca salvaguardas de acceso: Siga las mejores prácticas para tomar el control de quién puede acceder al espacio de trabajo de Slack instituyendo salvaguardas de control de acceso como SSO o Slack EKM.
• Elimine los datos sensibles de Slack: Instituya políticas de retención proactivas para identificar y eliminar la información comprometedora de Slack, de modo que nunca esté disponible para que un hacker la exfiltre.
• Supervise el cumplimiento: Establezca políticas basadas en reglas que busquen RegEx y palabras clave casi en tiempo real para garantizar el cumplimiento las 24 horas del día.
• Cree una cultura de protección de datos: Forme con frecuencia a los empleados sobre qué es y qué no es información apropiada para compartir en Slack y refuerce la formación con tutorías automatizadas en tiempo real cuando se detecten infracciones de la política.
• Cree un registro de auditoría con copia de seguridad: Mantenga un archivo inmutable de las conversaciones de los usuarios de Slack, incluidas las revisiones y eliminaciones, para tener siempre una visión de conjunto.
• Disponga de las herramientas adecuadas para el trabajo: Implemente un programa de búsqueda federada que pueda hacer aflorar rápidamente los mensajes de Slack y filtrar por múltiples parámetros para aumentar la relevancia y acelerar el eDiscovery.
• Comprenda sus vulnerabilidades: Utilice el análisis de IA con procesamiento de lenguaje natural para identificar la toxicidad y el sentimiento negativo que pueden indicar áreas de mayor riesgo.
• Utilice la identificación de 2 factores: Hacer que los usuarios verifiquen su inicio de sesión garantiza que un pirata informático no pueda acceder al entorno de trabajo aunque la contraseña del usuario se vea comprometida.
• Utilice la verificación de correos electrónicos y dominios: Verificar los correos electrónicos y los dominios antes de conceder a los usuarios acceso a los espacios de trabajo es otra forma de confirmar sus identidades. Es especialmente útil contra los ataques de phishing.
• Implemente la seguridad de inicio de sesión único: Haga que los usuarios verifiquen su inicio de sesión a través de un proveedor de identidad centralizado como Azure Active Directory u Okta. Esto elimina la complicación de hacer malabarismos con las contraseñas, algo que los empleados prefieren.
• Proporcione cuentas Slack para invitados: Cuando trabaje con contratistas externos o colaboradores temporales, el acceso de invitados permite a los administradores controlar fácilmente los permisos. También es fácil eliminar la provisión cuando finaliza el proyecto.
• Limite la duración de las sesiones: Cierre automáticamente la sesión de los usuarios inactivos de Slack, para que las interfaces de Slack desatendidas tengan menos probabilidades de estar disponibles para usuarios no autorizados.
• Desactive las cuentas antiguas: Revise las cuentas con regularidad para asegurarse de que la lista de usuarios actuales está actualizada. La revocación del acceso a las cuentas inactivas reduce el riesgo de acceso no autorizado a quienes ya no deberían tenerlo.
• Limite los bots y las aplicaciones de Slack: Investigue cuidadosamente a los terceros con acceso a Slack. Conceda acceso sólo a las mejoras necesarias y de confianza, y revise periódicamente sus permisos. 

En todos los espacios de trabajo de Slack, los administradores deben implementar una sólida formación de los empleados en prácticas de seguridad para hacer cumplir las normas de seguridad de la organización. Los empleados son a la vez el mayor riesgo y el mayor activo de cualquier programa de seguridad y están en primera línea para proteger los datos en Slack.

Cómo Mimecast Aware refuerza la seguridad de Slack para salvaguardar sus datos

• Controles de privacidad y cumplimiento incorporados para Slack
• Potente búsqueda federada de datos de conversación en contexto
• Control granular de los datos basado en el rol, el grupo, el canal, la ubicación y más
• Cumplimiento en tiempo real y análisis del comportamiento 

La plataforma de inteligencia empresarial de Mimecast es una solución de cumplimiento y seguridad líder del sector para Slack y GovSlack. Mimecast Aware permite a las empresas proteger los datos sensibles y restringidos en Slack y mitigar los principales riesgos en los conjuntos de datos de colaboración. 

Utilizando la integración de Mimecast Aware para Slack, las organizaciones pueden evitar costosas multas y sanciones mediante la implementación de la adhesión al cumplimiento y la moderación en tiempo real que protege los datos en todo el entorno de Slack.

Este cliente de Aware lo ha conseguido. Con contrataciones estacionales que están menos familiarizadas con las infracciones de la Ley de Informes de Crédito Justos, esta empresa tecnológica necesitaba una solución que cubriera Slack junto con su cumplimiento del correo electrónico existente. Aware les ayudó a desarrollar políticas y alertas en tiempo real para las acciones PII dentro de Slack. Las alertas automatizadas les ahorran tiempo y reducen el riesgo de multas y acciones reglamentarias.

Utilice la IA y los conocimientos basados en el aprendizaje automático, junto con el mejor procesamiento del lenguaje natural, para detectar las infracciones de las políticas casi en tiempo real. Aborde los problemas de seguridad desde todos los ángulos automatizando la eliminación del intercambio de información no autorizada, notificando a las partes interesadas y formando a los empleados en el momento en que se detecte una infracción. Y sea proactivo en la detección de amenazas y el cumplimiento de los datos mediante el despliegue de innovadoras perspectivas de sentimiento que identifiquen focos de negatividad o toxicidad dentro de la empresa.