El titular no tiene nada de capcioso, es el resultado de un curioso experimento que se llevó a cabo en la pasada Def Con, en el que se propusieron como objetivo obtener información corporativa de empleados de las principales compañías estadounidenses (Google, Wal-Mart, Symantec, Cisco, Microsoft, Pepsi, Ford y Coca-Cola). La idea era bastante simple, llamar por teléfono y realizar un cuestionario, aparentemente inocente, en el que se preguntaban aspectos como el sistema operativo utilizado en la compañía, el antivirus o el navegador y, luego, invitar a los encuestados a visitar una página web preparada con tal fin. Lo sorprendente, y a la vez preocupante, fue que muchos de los encuestados visitaron este sitio web.
Y esto no dejaría de ser una encuesta sin importancia, si los datos del sistema operativo, el antivirus y el navegador usados no fuesen datos relevantes y útiles a la hora de diseñar y preparar un ataque. Tres datos, aparentemente inocentes, que conjugados con las vulnerabilidades de cada uno pueden suponer el desembarco de código malicioso en nuestra compañía. Pensemos que, además de revelar los datos, hubo gente, a los que se les prometía un premio por participar en la encuesta, que entró en la web que le facilitaron...
Interesante es el hecho que de entre todos los empleados encuestados, unos 135, solo cinco, todas mujeres, se negaron a revelar ninguna información relativa a los sistemas de sus empresas y colgaron la llamada, sospechando que el fin no era nada lícito. Pero, ¿qué decimos del resto?, pues se ve que la gente picó el anzuelo y revelaron datos bastante interesantes, como por ejemplo que la mitad de las compañías "participantes" en el experimento, usa aún Internet Explorer 6, navegador para el que no se ofrece ya soporte y que es conocido por todas sus vulnerabilidades.
El incentivo de la obtención de un premio al visitar una web fue demoledor, el índice de personas que accedieron a la web para registrarse fue muy alto, lo cual, conociendo el dato del navegador mayoritariamente utilizado, puede suponer un gran problema de seguridad, ya que conociendo los datos de sistema operativo, navegador y antivirus, se puede preparar una "trampa mortal" en la web que explote las vulnerabilidades del "kit de navegación" de nuestra víctima.
Es muy habitual, y alguna experiencia he tenido, recibir llamadas solicitando hablar con algún responsable de IT, que normalmente no son filtradas, y que acaban en auténticos interrogatorios sobre los sistemas de la empresa, antivirus o la seguridad de nuestra red wifi. En este tipo de situaciones, el instinto de cada uno es casi la mejor arma para detectar si la encuesta tiene otros fines ocultos o discriminar qué tipo de información podemos desvelar o no. En cualquier caso, una concienciación a todos los niveles y una buena "cultura de seguridad" nos podrán ahorrar más de un disgusto relativo a fugas de información. De los resultados del estudio, podemos deducir que las mujeres participantes tenían muy buen instinto para detectar que la llamada era sospechosa, frente a los hombres que cayeron en la trampa, ¿instinto natural o mejor formación?.
Las compañías invierten dinero en firewalls, antivirus, medidas de continuidad del negocio, consultorías, auditorías de sistemas, etc, sin embargo, muchas veces, el mayor riesgo se encuentra entre los mismos empleados. La concienciación es vital, de hecho, puede ser una de nuestras primeras líneas de defensa. Si nuestros empleados revelan información sensible sin pensarlo, de poco servirán las medidas de seguridad implantadas.
Vía: Networkworld | Foto: Information Assurance Club