Son trucos a los que no se les presta atención pero que pueden abrir las puertas a los ciberdelincuentes para acceder a datos valiosos de las organizaciones. Se supone que los encargados de seguridad informática de las empresas tienen una política, que incluye procedimientos para resguardar los sistemas y las redes de las compañías. Parches al día, antivirus con sus bases de códigos maliciosos actualizadas, un firewall (cortafuegos) en regla, documentos encriptados y un personal capacitado en el uso seguro de estas herramientas pueden dar la falsa sensación de estar protegido ciento por ciento.
Pero un descuido puede tirar todo esfuerzo o plan por la borda, y poner en riesgo a la información y a las comunicaciones de una organización. Y en general se trata de amenazas a las cuales no se les prestas atención. Algunas son tácticas provenientes de la delincuencia en el mundo físico, que rinden sus frutos en el universo de los bits y que no están habitualmente incluidas en los planes de seguridad.
No se trata de amenazas críticas, como el virus Kamasutra que infectó a miles de computadoras el 3 de febrero, aunque se las puede considerar como las cabeceras de playa que plantan los ciberdelincuentes para llegar a los botines mayores.
Estas amenazas son descriptas en un documento elaborado por el especialista en seguridad informática Andrew Bycroft, quien cuenta con una certificación CISSP, considerada como una de las máximas acreditaciones en el tema que otorga el consorcio International Information Systems Security Certification (ISC). El documento fue publicado por el sitio especializado Infosec Writers.
Las diez prácticas que atentan contra la seguridad que describe Bycroft son las siguientes:
- «Shoulder surfing”: La práctica de mirar por encima del hombro de un usuario. Por ejemplo, cuando se espía la clave de un empleado en un computadora especial o en un sitio web bancario.
- Observación: Es una técnica similar a la anterior, pero a una distancia mayor, a través de binoculares u otro medio. Aquí el objetivo es obtener información preliminar para cometer luego ataques. Por ejemplo, se controlar si existen alarmas en una sala de servidores, o los horarios de los servicios de vigilancia, o quién sale último de una oficina de informática o quién entra primero.
- «Eavesdropping”: O «parar la oreja”. En este caso, se trata de una técnica para capturar información privilegiada afinando el oído cuando se está cerca de conversaciones privadas. Por ejemplo, cuando un administrador de sistemas le comenta a un ejecutivo cuál es la clave que puso en una aplicación crítica.
- «Dumpster diving”: La búsqueda de información valiosa en la basura es una práctica que puede resultar riesgosa para una empresa. Allí van a parar muchos datos importantes que figuran en notas, documentos confidenciales, configuraciones, e-mails, memorandos internos, computadoras en desuso, entre otras muchas fuentes.
- Dispositivos móviles perdidos: Equipos como los teléfonos móviles y los asistentes digitales (PDAs) pueden guardar datos de cuentas bancarias e información personal, hasta notas confidenciales.
- Prensa: A través de los medios, los delincuentes pueden enterarse cuál es la infraestructura que tiene una empresa determinada. Por ejemplo, cuando la propia compañía informa que instaló un antivirus determinado o se pasó a tal sistema operativo (Windows o Linux), un ciberladrón procurará averiguar cuáles son los puntos débiles de estos sistemas para aprovecharlos y explotarlos.
- Foros online: Los grupos y foros de discusión en Internet son lugares donde puede aparecer información valiosa. En estos espacios son habituales las consultas técnicas sobre temas muy específicos de seguridad. Por ejemplo: «¿Alguien puede ayudarme? He instalado Apache 1.39 en mi sistema RedHat Linux 7.2 y no puedo instalar el SSL para trabajar en mi sitio www.misitio.com «. Además de esta información crítica, el delincuente tiene acceso a la dirección IP del técnico que pide ayuda.
- Sitios Web: Los buscadores revelan cada vez más información de las organizaciones. Es más, hay prácticas que se engloban bajo el término de «Google hacking”, que describen cómo el famoso motor de búsqueda puede ser utilizado para acceder a información, programas o dispositivos sensibles. En general, la publicación de una nueva vulnerabilidad proporciona muchas veces un nuevo término o cadena que buscar, y la extraordinaria potencia de Google a la hora de indexar se encarga del resto. Hasta hay un libro, «Google Hacking for Penetration Testers”, que explica en sus más de 500 páginas ejemplos de cómo puede usar al buscador para localizar sitios web vulnerables o información sensible que sus propietarios consideraban a salvo.
- Herramientas en línea: Existen programas que buscan vulnerabilidades o que revisan los puertos de comunicación de una computadora que pueden conseguir información valiosa sobre una dirección determinada.
- Ingeniería social: La técnica más antigua y eficaz. Millones de usuarios que cada año abren incautamente un archivo adjunto a un e-mail bajo la promesa de ofrecer imágenes de personas desnudas y que en realidad es la trampa para inocular códigos maliciosos demuestran cómo los delincuentes se aprovechan de la curiosidad humana.
[Vía]