viernes, 17 de enero de 2020

La perspectiva del ciberdelincuente: lanzando un ataque de Phishing con herramientas gratuitas

La perspectiva del ciberdelincuente: lanzando un ataque de Phishing con herramientas gratuitas



Un buen día para un ataque BEC


Hoy, como todos los días, era un buen día para lanzar un ataque de Phishing. Podría ser masivo, pero por motivos económicos, opté por un ataque del tipo BEC dirigido a la compañía Hábitos Inseguros S.A

Cosechando potenciales víctimas

Lo primero que necesité para realizar mi ataque fue conseguir el correo electrónico del CEO de la compañía, para suplantar su identidad. Además, tuve que conseguir la dirección de correo de mis potenciales víctimas.

Para esto, generalmente, basta con hacer un poco de OSINT. Utilicé la herramienta The Harvester, que brinda un listado de los correos electrónicos que se encuentran publicados en Internet de una determinada compañía, analizando para esto diversas fuentes abiertas como Google, Twitter o LinkedIn.

Todos los correos encontrados tenían la forma estandarizada de nombre.apellido@habitos-inseguros.com

Con esto en mente, ingresé a LinkedIn y en minutos encontré el nombre y apellido tanto del CEO como de algunas personas dedicadas a las finanzas de la organización.

Con esta información pude construir los correos electrónicos que necesitaba para mi trampa de forma realmente sencilla.

Preparando la carnada

Con el correo del CEO es sencillo idear distintos engaños, dado su nivel jerárquico. Además, los correos son fáciles de diseñar, ya que suele bastar con simples correos en texto plano.

En este caso, utilicé el siguiente mensaje y seleccioné como destinataria a una de las dos personas de finanzas que encontré en LinkedIn.


En este caso, el correo se basó en hacer sentir importante a la persona receptora con una serie de halagos, apelando a su profesionalidad para que responda con prioridad al pedido realizado. Con una excusa de ámbito legal, se solicitó que la comunicación se realice sólo por email para evitar que una comunicación por vías alternativas arroje luz sobre el engaño.

¡A pescar!

A la hora de enviar un correo de Phishing, existen diferentes caminos a seguir. En mi caso, como deseo suplantar al CEO de la organización, lo primero que hice fue utilizar la herramienta Spoofcheck para ver si el dominio habitos-inseguros.com podía ser suplantado, pero me encontré con que estaba protegido mediante SPF, DMARC y DKIM.

En este caso, había dos alternativas:
  • Encontrar un dominio similar al de Hábitos Inseguros S.A mediante la herramienta DNS Twist que se encuentre desprotegido y utilizarlo, como por ejemplo habilos-inseguros.com.
  • Consultar la configuración del servidor de correo de Hábitos Inseguros S.A para ver si podía conectarme al mismo y enviar un correo desde la dirección del CEO hacia la persona de finanzas, aprovechando la falta de mecanismos de autenticación en el protocolo SMTP.
Elegí la alternativa número dos, y para esto seguí los pasos descritos en este post. Gratamente, me encontré con que el servidor de correos era vulnerable a este tipo de ataques, por lo que pude enviar sin problemas el correo suplantando la identidad del CEO.

¡Pesca exitosa!

Dado el grado de efectividad de este tipo de ataques, era muy probable que suceda lo que terminó aconteciendo: Ese mismo día, tenía en mi poder el dinero de la transferencia solicitada.
Leer Más

sábado, 7 de diciembre de 2019

Comprobando si un atacante puede enviar correos electrónicos impersonados a los usuarios de mi dominio

Comprobando si un atacante puede enviar correos electrónicos impersonados a los usuarios de mi dominio


Recientemente decidí probar la herramienta Fraude del CEO en un dominio propio. Confiado de que mi proveedor contaba con todas las medidas de seguridad, ejecuté la prueba sin más. El resultado dio positivo, lo cual, en principio, significó que un atacante podría haber enviado un correo en nombre de cualquier persona a otra persona dentro de la organización. Por ejemplo: yo podría recibir un correo electrónico de mi jefe (ejemplo: mijefe@nuestrodominio.com) pidiéndome que realice una transferencia de una cierta cantidad de dinero a una determinada cuenta bancaria, sin haber sido realmente mi jefe, pero ¡utilizando exáctamente su dirección de correo electrónico!

Ante la situación, me contacté con mi proveedor de servicio de correo y volví a comprobar la seguridad provista: IP Blocklist, Reputation, Rate Limits, Filtros Anti-spam, software Antimalware de última generación e incluso SPF, DKIM y DMARC correctamente configurados. ¿Cómo puede ser que seguía siendo vulnerable a estos ataques, a pesar de tener implantadas, aparentemente, todas las medidas técnicas para evitarlos?

Un artículo publicado en el Blog hace algunas semanas, explica cómo hacen spoofing a un dominio que posee SPF, DKIM y DMARC correctamente configurados. Habiéndolo leído, intuí que podría faltar alguna configuración de seguridad en el servidor de envío de correos de mi organización, que impidiera que cualquier persona desde afuera pudiera utilizarlo para enviar mensajes entre cuentas de correo mi dominio.

Es así que realicé la siguiente prueba para comprobar si esto era posible. Comparto el instructivo para que quienes lo deseen lo apliquen.

¿Cómo comprobar si pueden suplantar mi identidad por correo electrónico?

Importante: existen múltiples vulnerabilidades en un servidor de correo que pueden ser explotadas con el fin de suplantar identidades, ésta es sólo una de ellas, muchas veces descuidada por nuestros proveedores, con graves consecuencias.

Requisitos

  • Sistema Operativo: Windows 10.
  • Aplicación para conectaremos al servidor SMTP: Cliente Telnet (debe estar instalado y habilitado). Algunas consideraciones:
    • Los comandos telnet no diferencian mayúsculas de minúsculas.
    • No se puede usar la tecla “backspace” en la sesión de Telnet.
    • Si se comete un error al escribir comandos SMTP, presionar entrar y, a continuación, volver a escribir el comando. De otra forma se mostrará un error como el siguiente: 500 5.3.3 Unrecognized command.
  • Puerto TCP del servidor SMTP: suele ser 25, 465 o 587. Este es el puerto TCP a través del cual el servidor SMTP recibe las solicitudes.

Instructivo

Buscamos el nombre del servidor responsable de enviar los correos de la organización que utiliza el protocolo SMTP. Para ello necesitamos el nombre del dominio. Por ejemplo si estaorganizacion.com sabemos que tiene servidor de envío de correo asociado (usamos cuentas como nombre@estaorganizacion.com), entonces podemos averiguar cuál es ese servidor introduciendo el dominio en la herramienta mxtoolbox. Supongamos que es mx-1.estaorganizacion.com.

Una vez que obtenemos el nombre del servidor SMTP, abrimos la consola “Símbolo del sistema” y nos conectarnos al servidor encargado del envío del correo a través de la aplicación Telnet.

1) Clic en “Inicio”.

2) Tecleamos en el buscador cmd, luego “Enter”.

3) En la consola tecleamos: telnet mx-1.estaorganizacion.com 25

4) Introducimos nuestros datos luego del comando telnet. En este caso, el nombre del servidor de correo que obtuvimos en el punto 1 y el puerto.

5) Tecleamos “Enter”.

6) Se va a volver a limpiar la ventana mostrando en la parte superior algo parecido a: 220 host.red.local Microsoft ESMTP MAIL Service ready at Thu, 21 Nov 2019 13:05:52 +0100 

Una vez conectados, vemos al cursor que parpadea para empezar a escribir comandos. A continuación le brindamos instrucciones al servidor para que envíe un correo, escribiendo.

7) EHLO estaorganizacion.com

8) Tecleamos “Enter”.

9) Saludamos al servidor de correo y obtenemos una lista de palabras clave para indicar las extensiones soportadas. Debería mostrar algo como:

250-host.red.local Hello [85.52.230.99]
250-SIZE 37748736
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-X-ANONYMOUSTLS
250-AUTH NTLM
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250 XRDST

10) MAIL FROM:<nicolas@estaorganizacion.com>

Aquí escribimos el nombre de la persona y el dominio que deseamos que aparezca en el remitente del correo electrónico que llegará al destinatario. Yo, como atacante, estaría suplantando la identidad de Nicolás, el CEO de estaorganizacion.

11) Tecleamos “Enter”. Debería mostrar algo similar a: 250 2.1.0 Sender OK.

12) RCPT TO: <virginia@estaorganizacion.com>. Aquí escribimos la dirección del destinatario de nuestro correo. Yo, como atacante, quiero que lo reciba Virginia, la CFO de estaorganizacion.

13) Tecleamos “Enter”. Debería mostrar algo similar a: 250 2.1.5 Recipient OK.

14) DATATecleamos “Enter”. Debería mostrar algo similar a: 354 Start mail input; end with <CRLF>.<CRLF>

15) Subject: URGENTE Transferencia.

Escribimos el texto del asunto (siempre se escribe “Subject: “ y a continuación el mensaje que deseamos. Tecleamos “Enter” 2 veces.

16) Hola Virginia, necesito que transfieras 2000 euros a la cuenta 12987391. Lo necesito para hoy, sino no podremos incorporar a la nueva pasante. Gracias.

Escribimos el cuerpo del mensaje. Podemos dar “Enter” para saltos de línea todas las veces que queramos. Una vez que terminamos tecleamos “Enter”, luego un punto (.) y luego “Enter” para cerrar el mensaje. Deberíamos recibir como respuesta algo similar a:

250 2.6.0 <e4030bf5-a0e5-4ef0-be7d-80e0b90a4588@HOST .red.local> [InternalId=29862907609751, Hostname=HOST .red.local] 1701 bytes in 20.701, 0,080 KB/sec Queuedmail for delivery

17) QUITTecleamos “Enter” para salir del sistema. Debería mostrar algo similar a: 221 2.0.0 Service closing transmission channel

Posibles resultados

Cuando ejecuté esta prueba, enviando un correo electrónico a mi casilla a nombre de alguien más de la organización, lo recibí en la bandeja de entrada sin ningún problema. Esto significa que alguien podría haber hecho lo mismo desde cualquier aplicación posible (no sólo Telnet), dado que mi servidor SMTP permitía conexiones anónimas (sin autenticar).

Por suerte, el servidor de correo no estaba configurado como Open Relay, lo que me hubiera permitido enviar un correo electrónico hacia cualquier dirección fuera de estaorganizacion.com. Open Relay permitiría que otros pudieran enviar SPAM utilizando mi servidor de correo, lo cual podría hacer que me lo baneen.

Luego comprobé que era posible suplantar la identidad de quien deseara, incluso de cualquier usuario de Google, Yahoo Mail, etc. Esto tiene sentido, ya que el correo electrónico es enviado desde el mismo servidor de estaorganización y, por lo tanto, no realiza ninguna comprobación de seguridad como SPF, DKIM o DMARC.

El inconveniente de los controles técnicos

Cuando una organización decide llevar a cabo acciones en materia de seguridad de la información, en general se enfoca en implementar medidas de seguridad técnicas en equipos informáticos o para proteger los mismos. Dichas medidas, por sí solas traen los siguientes inconvenientes:

  • No cubren todo el alcance y pueden resultar muy costosas. A saber, por más que implementemos una docena de ellas, nunca llegan a cubrir todo el alcance (IoT, Cloud, dispositivos, etc.), sumado a que se incurre en costos altísimos.
  • Pueden ser fácilmente omitidas. Podríamos poseer toda la tecnología de vanguardia en ciberseguridad administrada por expertos, para proteger nuestros sistemas, pero los ciberdelincuentes utilizarán otros métodos, como la ingeniería social, para atacarnos sin tener que enfrentar dichas barreras.
A su vez, podríamos contar con los mejores especialistas en las tecnologías y servicios que brinda el área TIC a la organización para tratar de garantizar configuraciones correctas y seguras desde el punto de vista técnico, pero siempre habrá errores u omisiones.

Un ejemplo es el caso analizado, donde la vulnerabilidad está en que el protocolo SMTP no requiere autenticación para su implementación, permitiendo a un atacante realizar las acciones demostradas. Además, si se utilizara esta vulnerabilidad para lanzar un ataque de ingeniería social (como el expuesto), que no involucra ningún archivo o enlace con código malicioso, las medidas de seguridad no tendrían ninguna posibilidad de detenerlo.

Soluciones y conclusiones

Por lo tanto, para poder defendernos de este y cualquier otro tipo de ataque similar es necesario adoptar un esquema de defensa en profundidad incorporando medidas de seguridad de la información técnicas y físicas pero sin olvidar los controles administrativos, generalmente descuidados, como son la implantación de políticas internas y la concienciación a los usuarios que garantice un cambio positivo en su comportamiento.

Actualmente, casi nadie se ocupa de que el usuario en contacto con la tecnología posea un perfil mínimo necesario para responder correctamente ante las amenazas de seguridad dirigidas hacia la organización.

A continuación detallo algunas de las pautas que debería incluir la formación a usuarios para no caer en una trampa similar a la analizada:

  • Utilizar la opción "Reenviar" y no "Responder" en caso de tener que responder un correo electrónico. Al reenviar el correo electrónico, la dirección correcta debe escribirse o seleccionarse manualmente desde la libreta de direcciones. Muchas veces al utilizar la opción “responder” creemos que estamos haciéndolo al remitente original cuando en realidad está programado para enviárselo al atacante.
  • No compartir información en exceso de manera pública. Se debe tener cuidado con lo que se publica en las redes sociales y en los sitios web de la organización, especialmente todo lo referido a tareas y descripciones de puesto, información jerárquica y detalles de horarios (ejemplo: fuera de la oficina). Además, cuantas más cuentas de correo corporativas tenga expuestas en Internet, más susceptible es su organización a un ataque de Spear Phishing (phishing dirigido). Se puede comprobar qué direcciones de email están publicadas en internet a través de esta herramienta.
  • Confirmar solicitudes críticas de múltiples formas. Establecer un procedimiento para que los empleados confirmen de otras maneras las solicitudes hechas por correo electrónico para una transferencia bancaria o información confidencial. Por ejemplo, cara a cara o mediante una llamada telefónica utilizando números previamente conocidos, no números telefónicos proporcionados por correo electrónico.
  • Conocer los hábitos de los empleados, clientes y proveedores. Por ejemplo, tener cuidado si hay un cambio repentino en las prácticas o procesos comerciales o personales. Si un contacto comercial pide repentinamente que use su dirección de correo electrónico personal cuando toda la correspondencia anterior ha sido a través del correo electrónico de la empresa, la solicitud podría ser fraudulenta. Siempre verificar la solicitud a través de una fuente diferente.
Leer Más

viernes, 1 de noviembre de 2019

La simulación de Phishing de oro, o cómo interpretamos de manera incorrecta los resultados de nuestras pruebas

La simulación de Phishing de oro, o cómo interpretamos de manera incorrecta los resultados de nuestras pruebas


Las simulaciones de Phishing se utilizan para medir el comportamiento de los usuarios de nuestra organización frente a engaños que podrían culminar en una fuga de información o instalación de malware, afectando la seguridad de la información tanto a nivel personal como organizacional.

En este sentido, las simulaciones son una herramienta muy útil, siempre y cuando hagamos una interpretación correcta de sus resultados.

La simulación de Phishing de oro

En muchas organizaciones suele existir el preconcepto de que cada campaña de Phishing debe ser “perfecta” entendiéndose por esto que: 
  • Sea recibida de manera correcta por todos los usuarios
  • Despierte el interés de todos ellos
  • Engañe efectivamente a quienes poseen comportamientos inseguros
  • No sea sesgada por ningún factor externo a la simulación

Lo que sucede en la vida real con las simulaciones es que son más un arte que una ciencia exacta, lo cual convierte en una utopía lograr esta prueba perfecta. 

La realidad

El grado de efectividad de una campaña depende en realidad de muchos factores, siendo alguno de ellos:
  • El interés que despierte a cada usuario el asunto del correo electrónico, remitente y temática del mensaje recibido.
  • Las técnicas de persuasión que utilice la trampa, las cuales son muy variadas, no pueden estar todas en un único correo y pueden tener distintos efectos en cada persona. Cada usuario será más o menos propenso a verse influido por la técnica utilizada y por lo tanto a caer o no en la simulación realizada.
  • La cantidad de correos que cada usuario tenga por leer además del correspondiente a la simulación.
  • La carga de trabajo de cada usuario, por ejemplo, si se encuentra en un día repleto de actividades o es un día de trabajo relajado, o bien si se encuentra de vacaciones o en un viaje de trabajo, por mencionar algunos casos.
  • El medio por el cual cada usuario controle su correo electrónico, como por ejemplo un ordenador o dispositivo móvil.
  • La situación personal de cada usuario, lo cual incluye su situación económica, sentimental, estado anímico, etc.
  • La conformidad y grado de satisfacción de cada usuario respecto a la organización en la que lleva a cabo su actividad laboral.
  • El grado de atención y concienciación de cada usuario.
  • El grado de interacción de cada usuario con sus compañeros de trabajo.
  • La posibilidad de que la campaña sea detectada por alguna herramienta tecnológica y en algún momento de su ciclo de vida comience a mostrar algún tipo de advertencia a los usuarios.
  • Etc.

Una única simulación de Phishing, nos brindará un resultado sesgado por todos los factores mencionados y más. Es común desear que una campaña sea perfecta y represente de manera fiel y objetiva el estado de nuestra capa de seguridad humana, pero esto no se corresponde con la realidad.

Imaginemos, considerando lo analizado hasta ahora, si deseamos medir una línea base o justificar la inversión en concienciación con una única simulación de Phishing, por dar un ejemplo. Podremos concluir rápidamente que esta no es la mejor manera de lograrlo.

Cómo proceder frente a esta realidad

Ya hemos concluido que una simulación aislada no nos será de demasiada utilidad. Es por esto que en cambio debemos realizar un conjunto de simulaciones dentro del período que deseemos evaluar.

Estas campañas deben variar en cuanto a su temática, día y horario en que son enviadas, grupo de usuarios destinatarios, tipo de engaño, grado de personalización, etc.

De esta manera, lograremos un conjunto de estadísticas por cada simulación que podremos sumarizar y así, podremos lograr un resultado promedio que se corresponda de manera más fiel a la realidad de nuestra organización. Esto es así ya que cada simulación habrá sido sesgada por diferentes factores, pero en su conjunción, estaremos disminuyendo la influencia que cada factor pudo tener en dicho sesgo y lograremos así un resultado más representativo.

Esta forma de trabajar, nos permitirá además obtener métricas valiosas sobre nuestros usuarios, como los escenarios a los cuales son más sensibles o los horarios en los cuales son más propensos a caer en un engaño, por mencionar sólo algunas.

Como punto extra, nuestros usuarios se encontrarán más atentos, debido a que estaremos enviándoles simulaciones con una frecuencia suficiente como para que vayan tomando la costumbre y desarrollando el hábito de pensar dos veces antes de realizar una acción dentro de su correo electrónico.

Hay vida más allá de la simulación de Phishing

Dada su popularidad, la simulación de Phishing parece ser lo único que hay que hacer a la hora de concienciar.

¡Nada más lejos de la realidad!

Exámenes, encuestas, módulos interactivos, newsletters, momentos educativos, gamificación, son elementos de gran utilidad en el mundo de la concienciación.

Las personas pasan su día manejando información con niveles de sensibilidad distintos en diferentes medios y situaciones, siendo el Phishing sólo una de las amenazas a las cuales se enfrentan, si bien es una de las más efectivas y recurrentes.

Es por eso que una estrategia de concienciación, además de ser un esfuerzo continuo dentro de las organizaciones, debe hacer uso de diversas herramientas para cubrir en un mayor porcentaje todos los frentes posibles.
Leer Más

martes, 15 de octubre de 2019

La siembra está lista, ¡hora de cosechar direcciones de email!

La siembra está lista, ¡hora de cosechar direcciones de email!


El correo electrónico es un medio utilizado frecuentemente por los ciberdelincuentes para lanzar sus ataques de Ingeniería Social. Éstos disponen de distintas técnicas para obtener las direcciones de email de los usuarios de nuestra organización para luego enviarles sus correos de Phishing.

Entre ellas, una de las más sencillas y efectivas consiste en buscar directamente los correos de nuestros usuarios en Internet, haciendo uso de técnicas de OSINT. Esto es así ya que las que se encuentren de esta manera tienen una probabilidad alta de ser direcciones reales de un usuario. Otras técnicas, como la enumeración de direcciones de correo electrónico mediante el uso de diccionarios y fuerza bruta, pueden generar una gran cantidad de correos que no son válidos.

Inteligencia de fuentes abiertas

El término OSINT, por sus siglas en inglés de Open Source Intelligence, se refiere a datos recopilados de fuentes disponibles públicamente para ser utilizados en un contexto de inteligencia [1]. Básicamente, las fuentes de información OSINT hacen referencia a cualquier información desclasificada y públicamente accesible en Internet de forma gratuita [2].

Utilizando estas fuentes, los ciberdelincuentes pueden simplemente buscar la presencia de correos corporativos de nuestra organización en foros, redes sociales, comunidades en línea, comentarios en periódicos, etc.

Fruto de comportamientos inseguros

Si no generamos conciencia de manera continua a los usuarios de nuestra organización, éstos pueden llevar a cabo comportamientos inseguros como utilizar su correo corporativo para acciones inapropiadas que terminen dando lugar a la filtración del mismo en sitios públicos de Internet.

Una vez hecho esto, es solo cuestión de tiempo para que un ciberdelincuente comience a utilizar dicho correo para enviar trampas de Ingeniería Social.

Incluso, al analizar la estructura de un correo filtrado, es posible inferir correos de otros usuarios de mayor interés, como el del CEO de una organización. Por ejemplo, si el correo filtrado es nombre.apellido@organización.com, es muy probable que conociendo el nombre del CEO de dicha organización (que se puede conseguir por ejemplo en LinkedIn) un ciberdelincuente ya disponga de su correo.

Existen otros motivos por los cuales se puede filtrar un correo electrónico, como por ejemplo la fuga de información causada por ataques informáticos. Es por esto que siempre se recomienda tener más de una capa de seguridad para afrontar cada posible riesgo que afecte a nuestra información.

Qué hacer ante esta situación

Controlar

Por un lado, es una buena idea conocer el grado de exposición que poseen las cuentas de correo electrónico de nuestra organización actualmente. Para esto, en SMARTFENSE dejamos a disposición una herramienta gratuita que brinda un listado de los correos electrónicos que se encuentran públicos en Internet con el dominio de nuestra organización, analizando para esto diversas fuentes abiertas como Google, Bing, LinkedIn, Twitter, Duckduckgo, etc.

Identificados estos correos, es menester alertar específicamente a los usuarios correspondientes para prevenirlos en caso de recibir algún ataque de Ingeniería Social. Además, podemos solicitar que den de baja el servicio en específico que estén utilizando con su correo corporativo.

Prevenir

Por otro lado, es necesario que realicemos acciones continuas que aumenten la conciencia involucrando a todos los usuarios de nuestra organización.

De esta manera, podremos inculcar comportamientos seguros como el uso responsable de las cuentas de correo corporativo o la identificación y correcta reacción frente a las trampas de Phishing que pudieran recibir.

Esto permitirá disminuir la probabilidad de que nuestros usuarios filtren nuevas direcciones corporativas a la vez de reducir el riesgo de sufrir una fuga de información o instalación de Malware por medio de un ataque de Ingeniería Social.

Referencias

Leer Más

viernes, 11 de octubre de 2019

¿Cuáles son los riesgos de colocar archivos en la nube?

¿Cuáles son los riesgos de colocar archivos en la nube?


Estar por las nubes tiene sus riesgos, y no nos referimos a estar distraído o abstraído, aunque también está relacionado ya que el mayor peligro es mostrarse despistado ante las amenazas que nos acechan. Dicho esto, queremos centrarnos en un importante riesgo para las compañías: que un usuario coloque información confidencial en nubes públicas sin consentimiento.

Actualmente, en unos pocos minutos y sin gastar dinero, cualquier usuario puede crearse una cuenta en un servicio en una nube pública. Si estas nubes son utilizadas para almacenar y compartir datos de la compañía estaremos en problemas, ya que se trata de un elemento externo fuera de nuestro control.

Nuevas modalidades de trabajo, nuevos desafíos

En la década pasada, las compañías podían plantearse medidas de restricción técnicas para que los usuarios no empleen este tipo de servicios. Pero en la actualidad, es impensado que un empleado no tenga acceso a Internet, pues es muy común que lo necesite para su trabajo.

El problema de utilizar soluciones de intercambio de archivos de terceros es que los datos generalmente se extraen del entorno de TI de nuestra organización, lo que significa que las preferencias de privacidad de éstos están fuera de nuestro control. De esta manera, una gran cantidad de información que se suponía que no debía compartirse podría terminar siendo expuesta públicamente o ante ciberdelincuentes

La fuga de información, el principal riesgo

La nube pública es un proveedor externo. Si un usuario coloca información confidencial de nuestra organización allí, ésta se encontrará en peligro de ser accedida por dicho proveedor, lo cual dependerá de las propias prácticas de privacidad y seguridad de éste. Además, es posible que dicho proveedor sufra un ataque informático o incluso que las cuentas sean comprometidas por los propios usuarios de la nube, por ejemplo, a través de una trampa de phishing.

También es posible que un cibercriminal realice prácticas de snooping para conseguir acceso a los dispositivos electrónicos de la víctima, en concreto, aquellos donde están configuradas sus cuentas de servicios en la nube que pueden ser de índole personal o profesional: correo electrónico, Dropbox, Google Drive, etc.

Medidas de protección

  1. Informar a los usuarios sobre cuáles son las reglas organizacionales con respecto al intercambio y almacenamiento de archivos. Aquí claramente debe indicarse cuáles son las tecnologías y proveedores autorizados, y cuáles no.
  2. Concienciar sobre los riesgos que implica utilizar esos servicios tanto para la organización como para ellos mismos, ya que muchas veces solo conocen los beneficios de los servicios de la nube pública pero no los peligros.
  3. Dar a conocer cuáles son los mecanismos para que la información sea resguardada correctamente frente al uso de servicios autorizados, como por ejemplo la utilización de herramientas de cifrado, contraseñas fuertes, autenticación de dos factores (2FA), entre otros.
  4. Utilizar controles técnicos como el cifrado de archivos y soluciones de gestión de derechos de acceso (IRM por sus siglas en inglés: Information Rights Management) que permiten a los usuarios disponer de una forma ágil pero segura de manejar archivos que excedan la frontera de la organización. 

Trabajando con capas de seguridad

Las medidas de protección mencionadas anteriormente no pueden ser suficientes por sí mismas, sino que se necesita la combinación de ellas para lograr un nivel de riesgo aceptable para la organización.

En seguridad de la información no existen las soluciones mágicas, y la seguridad en capas es siempre la mejor opción.

CTO at AceroDocs
Leer Más