Español | English
rss facebook linkedin Twitter

El rival más débil

Hace ya unos años se emitía el programa 'El rival más débil' (posteriormente a su éxito en la BBC como 'The weakest link'). En este programa se realizaba una serie de preguntas a los concursantes, y después entre ellos votaban para echar al que consideraba 'el rival más débil', ya sea porque no hacía ningún bien al equipo y no ganaban dinero, o porque en él veían una amenaza a la hora de ganar el premio (sólo podía quedar uno).


En él, aparte de observar la destreza de los concursantes, primaban los comentarios irónicos de la presentadora (la que más tiempo estuvo, fue luego más conocida por su papel en los Serrano), intentando presionar a los concursantes para que mostraran su debilidad.
Recientemente se ha hablado mucho en la prensa de cómo es posible que existan esas grandes fugas de información (se habla desde el Pentágono hasta Ferrari, pasando por Danone o nuestro ejemplo del autobús alemán) y muchas de ellas (por no decir todas) tienen en su origen en el eslabón más débil: el ser humano.

Si nos centramos en el robo de información a nivel informático, hoy en día tenemos varias posibilidades, según hemos ido observando en el paso del tiempo:
  • Envío dirigido de un contenido que explota una vulnerabilidad: desde un simple correo que afecta a nuestro lector de correo, hasta un documento Word, PDF o Powerpoint. Simple y eficaz. Si le sumamos la utilización de una vulnerabilidad no conocida (zero-day) podemos infectar al eslabón más débil, puesto que si adornamos el paquete con un bonito envoltorio (fotos, familia, pornografía, humor), casi seguro que lo abrirá (o a veces no necesitará ni abrirlo).
  • Infección en una página web con contenido malicioso para que al visitar esa página, nos infectemos silenciosamente (recordáis el MPack, WebAttacker, IcePack, NuclearKit, ...). Cada vez se ve más este tipo de ataque, y el problema es que son páginas que, en teoría, son totalmente inofensivas (Bank of India, miles de sites en Italia, ...)
  • Explotar directamente el sistema operativo. Esta técnica cada vez está más en desuso y, aunque famosa hace mucho tiempo (Blaster, Sasser, ...) realmente poco útil si intentamos robar datos de una organización (tenemos cortafuegos personales, seguridad en perímetro, etc...). Aunque recordemos el eslabón más débil, cuando ya no estamos tan protegidos (por ejemplo en un aeropuerto conectándonos al WIFI, o en un hotel, en casa de unos amigos, ...) somos capaces de deshabilitar todos los elementos de seguridad para que nos funcione mejor, nos vaya más rápido, etc...
  • Desde dentro. ¿No es fácil pinchar un punto de acceso wireless a una red interna por parte del personal de seguridad, personal de limpieza o un empleado descontento, para posteriormente acceder desde fuera del edificio y eliminar rastros? O pinchar un USB en el ordenador al que se quiere acceder, o simplemente dejar unos cuantos USB 'despistados' y por supuesto, maliciosos, en el garaje de la empresa para que la gente los coja y los pinche a sus equipos.



¿Qué podemos hacer para evitar todos estos riesgos? Seguridad en capas (Defense in depth), sin concentrar todos nuestros esfuerzos en la capa exterior de riesgo, sino seguir una estrategia de proteger todos nuestras capas de cualquier proceso de negocio.

Como ejemplo, y relacionado con los casos anteriores, podemos pensar primero en controlar qué información sobre la empresa existe en Internet, ofrecer una protección perimetral con dispositivos UTM que nos realicen filtrado de todo tipo de tráfico, pero a la vez, comprobando que nuestras páginas no han sido comprometidas ni pueden serlo (Auditorias, servicio WebMalware), teniendo una política de seguridad adecuada y controlando todos nuestros riesgos (análisis de riesgos, planes de contingencia, adecuaciones con la Ley, ...), gestionando de forma eficiente todos nuestros eventos, incidentes y servicios de seguridad, controlando el acceso a nuestra red (802.1x) y los protocolos que fluyen en ella, monitorizando nuestras redes wireless, asegurando el puesto de usuario contra posibles fugas de información, o ataques dirigidos, ... el número de capas es el que nosotros deseemos aplicar, pero sin olvidarnos que no tenemos que dejar ningún punto de fallo, y, por supuesto, recordar quién es el eslabón más débil.

Como podéis comprobar, tenemos muchos métodos para intentar introducir nuestro 'código malicioso' (llámese troyano, punto de acceso, sniffer o como deseemos) dentro de una empresa. Pero ahora sumémosle el hecho de dirigir nuestro ataque a una persona de confianza dentro del ámbito de nuestro objetivo (familia, compañeros de deporte, amigos, ...), como hacen desde hace muchos años los gusanos que se propagan por redes sociales (el gusano que busca tus contactos y se autoenvía a todos ellos, o mira tu agenda de teléfono para enviarse por SMS, o tus contactos de Messenger, Skype, ...). Es fácil intentar vulnerar nuestra confianza, puesto que, como siempre, es más sencillo atentar contra el eslabón más débil, ya que, al fin de todo, somos personas, no máquinas, aunque a veces pretendamos ser lo contrario.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login