La gran "mentira" del Hacker

0
100

Empresa Multinacional, de esas que tienen su propia área de Seguridad Informática, donde uno para acceder a sus sistemas debe llenar y firmar varios formularios, haciéndose responsable de muchísimas cosas. No se podía acceder de forma remota a los sistemas sin la firma del personal jerárquico, los sistemas de producción no podían ser tocados con excepción de un grupo selecto de personas, el DataCenter estaba bajo 7 llaves y era imposible ir. Los servidores y desktops tenían la última actualización de antivirus, y parches de sistema operativo, y la contraseña cambiaba mes a mes y debía ser diferente de la anterior. Los puertos estaban filtrados y prácticamente no había excepciones a las reglas. Adicionalmente había auditorías externas e internas sobre seguridad y cada nuevo desarrollo era auditado por el grupo de seguridad informática. La intranet viajaba por protocolos seguros siempre. Es decir mi organización era pionera en seguridad informática.

Sin embargo, todo ese esfuerzo volcado a la seguridad informática, no impidió que un usuario de liquidación de sueldos compartiera un borrador de archivo Excel con toda la nómina de empleados y sus sueldos en una carpeta pública. Un empleado deshonesto siempre atento, encontró la carpeta, el archivo y lo compartió a toda la subsidiaria local con el nombre de “papa.txt”.

El resultado de este descuido tuvo un impacto notable en la organización. Empleados que realizaban la misma tarea tenían diferencias de hasta un 50% en sus salarios. Aún hoy es recordada esta anécdota por los empleados con más tiempo en la organización.

El “marketing” del Hacker

La mayoría de la gente piensa que  un grupo de hackers, con cara de “nerds” y acné en sus rostros utilizando algoritmos de última generación rusos (porque Europa del Este suena mejor) penetrarán los sistemas de la compañía, ingresarán y copiaran toda la información sensible que haya disponible.

Lamento informarles que estadísticamente está demostrado que sólo el 20% de los ataques son externos. Esto quiere decir nada más ni nada menos que el 80% restante es perpetrado desde dentro de la organización.

A pesar de lo arriba expuesto, aún hoy, es común que la mayoría de las organizaciones no tome medidas para ataques internos o empleados deshonestos.

Las “filtraciones” de seguridad

La mayoría de las “filtraciones” se dan por descuidos del usuario final, o aprovechamiento de algún empleado deshonesto de determinadas situaciones.

Por cuestiones de extensión del artículo voy a mencionar  únicamente los ejemplos más sencillos para que el lector pueda ver situaciones cotidianas donde hay fallos graves de seguridad

“Mi teléfono anda lento”

Un ejecutivo le da su Smartphone a mesa de ayuda porque esta “lento”. En general, nadie toma el trabajo de borrar toda la información disponible del teléfono. Cualquier empleado podría entonces leer los mails corporativos,  Facebook, archivos adjuntos de mails internos que se guardaron en el teléfono, fotos familiares, videos familiares de viajes, historial de navegación, etc., etc. etc.

“Intranet”

Toda corporación que se precie tiene su intranet. La misma suele tener opciones por defecto con fallas o permite el mal uso del usuario. Así suelen grabar en carpetas compartidas, o eliminar la seguridad de acceso a los archivos para compartirlo con otros usuarios, o hacerse copias en su home de intranet de archivos con información sensible para irlos “modificando” de una forma “más ágil y cómoda” para después subirlo. Al hacer eso, es fácil para cualquiera usar el buscador  de archivos de la intranet, poner palabras como “costo”, “precios”, “Proyecto” y frotarse las manos con los resultados obtenidos.

“Secretarias Ejecutivas”

Los ejecutivos suelen delegar el mail corporativo en sus secretarias, las cuales por lo general son las que se ocupan de llamar a soporte técnico para que le configuren al gerente de turno el teléfono y con el objetivo se ser eficientes, comparten la contraseña del email corporativo para que sus jefes queden contentos. Incluso de cuentas de Hotmail o Gmail para tener todo configurado al momento de finalizar el día. Cualquier empleado deshonesto podría  leer mails que no debe incluso varios días después de la visita.

“Quiere que le instales el iTunes”

Muchas veces ejecutivos de alto nivel, utilizan a mesa de ayuda para fines no tradicionales, por ejemplo para que le instalen iTunes, o Angry Birds o lo que fuese en su Notebook, entonces le dejan a “alguien de soporte” que haga esa tarea. Lo que no se dan cuenta que ese “alguien de soporte” tiene acceso a mails, archivos locales, cualquier sitio de internet donde “guardo su contraseña”, fotos, etc.

Conclusiones rápidas

De algo estoy seguro, pasan los años, la tecnología de seguridad mejora, pero en todos estos años, hay algo que jamás va a cambiar: la “estupidez” humana que seguirá permitiendo filtraciones de información.