Este es un intento de pregunta canónica tras esta discusión sobre Meta. El objetivo es producir respuestas básicas que puedan ser entendidas por el público en general.
Digamos que navego por la web y utilizo diferentes aplicaciones mientras estoy conectado a la red en el trabajo. ¿Puede mi jefe (que controla la red) ver qué sitios web visito, qué correos electrónicos envío, mis mensajes de mensajería instantánea, qué canciones de Spotify escucho, etc.? ¿Qué pueden ver?
¿Importa si utilizo mi propio ordenador o uno que me proporciona mi empresa? ¿Importa qué programas utilizo o qué sitios web visito?
Incluso si no estás seguro, asume siempre que sí. Incluso si estás seguro, puede que tengan un contrato con el ISP, un administrador deshonesto que instaló un packetlogger, una cámara de vídeo que capta tu pantalla... sí.
**Todo lo que haces en el lugar de trabajo es visible para todo el mundo. Especialmente todo lo que haces en medios digitales. Especialmente las cosas personales. Especialmente las cosas que no quieres que vean.
Una de las reglas básicas de la Seguridad de la Información es que quien tiene acceso físico a la máquina, tiene la máquina. Su empleador tiene acceso físico a todo: la máquina, la red, la infraestructura. Puede añadir y cambiar políticas, instalar certificados, jugar al hombre en el medio. Incluso los sitios web con 'SSL' pueden ser interceptados. Hay muchas razones válidas para ello, la mayoría relacionadas con su propia seguridad de red (antivirus, registro, prohibición de acceso a determinados sitios o funcionalidades).
Incluso si tienes suerte y no pueden ver el contenido de tus mensajes, es posible que puedan ver muchas otras cosas: cuántas conexiones hiciste, a qué sitios, cuántos datos enviaste, a qué horas... incluso cuando usas tu propio dispositivo, incluso usando una conexión segura, los registros de red pueden ser bastante reveladores.
Por favor, cuando estés en el trabajo, o usando un ordenador del trabajo, o incluso usando tu propio ordenador en la red de la empresa: asume siempre que todo lo que haces puede ser visto por tu empleador.
Hay dos maneras de que te vigilen: o bien lo que haces en tu ordenador se está registrando en él, o bien el tráfico de Internet que genera se está registrando en algún otro lugar de la red.
Hay muchas formas de evitar que se husmee en el tráfico mientras se transporta, pero si no es tu ordenador (o smartphone o tableta) siempre es posible que se instale algún tipo de software de registro que potencialmente podría monitorizar todo lo que haces en el dispositivo, sin excepciones. Lo mismo ocurre si has permitido que tu empleador manipule el dispositivo, por ejemplo, instalando algún software.
Ahora bien, esto podría no ser tan probable como que se registre su tráfico, porque muchos empleadores que no trabajan en un área de alta seguridad podrían considerar que no vale la pena el esfuerzo, pero sigue siendo una posibilidad muy real. Por lo tanto, si estás usando un dispositivo proporcionado por tu empleador, ellos pueden potencialmente ver todo lo que haces sin importar las precauciones que tomes.
Supongamos que utilizas tu propio dispositivo y que tu empleador no ha instalado nada en él (tal vez conectas tu smartphone privado a la Wi-Fi de la oficina). ¿Pueden ver las páginas web que visitas monitorizando el tráfico de la red?
Esto depende de si usas HTTP simple o si usas HTTPS. Si la dirección que visitas empieza por https://
significa que la comunicación está encriptada -la S significa seguro- pero si empieza por http://
no lo está. También puede comprobar si hay un icono de candado en la barra de URL - vea las instrucciones para Firefox aquí.
Sin embargo, hay algunas advertencias importantes:
https://example.com/secret
tu empleador podrá ver que visitaste ejemplo.com
, pero no que visitaste específicamente la página secreta
, lo que se escribió allí, o cualquier cosa que hayas publicado.Hacemos más cosas en Internet que simplemente visitar páginas web con un navegador. Tanto tu ordenador como tu teléfono tienen probablemente docenas de aplicaciones instaladas que utilizan Internet de alguna manera. ¿Qué pasa con ellas?
Lamentablemente, esto es un poco más opaco. Por defecto, el propietario de la red puede leer (y modificar) todo lo que envías o recibes a través de ella. Para evitarlo, hay que utilizar algún tipo de cifrado.
Es difícil saber si una aplicación específica utiliza (correctamente implementada) el cifrado o no, a menos que los creadores de la aplicación lo anuncien activamente (y confíes en ellos...). Algunas aplicaciones, como WhatsApp, son famosas por utilizar el cifrado, mientras que otras no. Te recomiendo que asumas que el tráfico no está cifrado a menos que sepas que lo está.
Depende. Para estar seguro, puede ser una buena idea asumir que sí, y simplemente hacer cualquier negocio sensible desde su propia red doméstica privada.
Dependerá del tamaño de la empresa y de lo que haya invertido en su infraestructura de red/seguridad.
¿Necesita algún tipo de autentificación cuando utiliza Internet? ¿Tiene algún filtro de contenido que le impida acceder a las redes sociales o a los sitios de humor? Por lo general, vendrá con un mensaje de Forcepoint o BlueCoat.
Si trabajas para una institución financiera o el gobierno, la respuesta es probablemente sí.
Obtendrán una lista de URLs e IPs que has visitado, en YouTube podrán ver la URL y a partir de ahí ver el vídeo que has visto.
Los correos electrónicos internos y los servicios de mensajería instantánea serán visibles.