Al menos el 47% de las compa\u00c3\u00b1\u00c3\u00adas listadas p\u00c3\u00bablicamente en el Reino Unido (UK), han arriesgado la seguridad de sus negocios y clientes al insertar en sus equipos una memoria port\u00c3\u00a1til de procedencia incierta.<\/p>\n
Por Gonzalo Alvarez (*)<\/p>\n
Estos son los resultados de una campa\u00c3\u00b1a sobre seguridad en UK. El primer paso fue probar cuan f\u00c3\u00a1cil era entrar y robar datos. Tuvo como objetivo principal a los directores financieros de los primeros 500 lugares de la lista.<\/p>\n
Estas personas recibieron una invitaci\u00c3\u00b3n an\u00c3\u00b3nima a la \u00abFiesta de su vida\u00bb. En vez de usar sobres y papel, fueron memorias port\u00c3\u00a1tiles (pendrives). El 53% de ellos lo pensaron dos veces y resistieron la tentaci\u00c3\u00b3n de saber m\u00c3\u00a1s acerca de tan \u00abexclusiva\u00bb fiesta. Algunos eligieron no abrirla o directamente no la recibieron.<\/p>\n
Las primeras invitaciones llegaron a las oficinas entre las 8 y las 11:30 de la ma\u00c3\u00b1ana. Unas 70 personas insertaron las memorias a pesar de que se les mostraba un mensaje de advertencia. Dicho aviso ped\u00c3\u00ada confirmaci\u00c3\u00b3n para ejecutar una aplicaci\u00c3\u00b3n almacenada en el dispositivo port\u00c3\u00a1til. Esto demuestra la falta de suspicacia por parte de la gente en esos cargos.<\/p>\n
Los resultados obtenidos revelan que hay que continuar mejorando el conocimiento que tienen los empleados y sus jefes, sobre la seguridad en las redes. La campa\u00c3\u00b1a fue lanzada para destacar los peligros potenciales que pueden existir al insertarse un pendrive de procedencia dudosa, en cualquier red corporativa.<\/p>\n
En las palabras de Paul Vlissidis, encargado de la encuesta llevada a cabo por NCC Group, esto revela la necesidad real de incrementar el conocimiento acerca de las protecciones necesarias en esta materia. Esto es un tema muy serio y que deber\u00c3\u00ada estar presente hoy en el pensamiento de los hombres de negocios.<\/p>\n
Entre las 500 organizaciones listadas, se encuentran bancos, empresas de servicios p\u00c3\u00bablicos, de telecomunicaciones, minoristas y medios de comunicaci\u00c3\u00b3n. Todos ellos tienen a su cargo datos confidenciales, financieros e informaci\u00c3\u00b3n importante sobre los clientes que manejan.<\/p>\n
Actualmente no hay compa\u00c3\u00b1\u00c3\u00adas que no manejen informaci\u00c3\u00b3n secreta. Esto incluye datos financieros, corporativos, de los empleados o inclusive de sus clientes. Este tipo de t\u00c3\u00a9cnica puede ser f\u00c3\u00a1cilmente adoptada por un delincuente inform\u00c3\u00a1tico, teniendo grandes posibilidades de repetirlo en forma exitosa. No solamente podr\u00c3\u00adan obtener informaci\u00c3\u00b3n sobre los clientes o empleados, sino tambi\u00c3\u00a9n robar las identidades correspondientes. Adem\u00c3\u00a1s cabe la posibilidad de que ganen el control completo sobre las cuentas de correo de la empresa, con lo cual no solo acceder\u00c3\u00adan a mucha informaci\u00c3\u00b3n, sino tambi\u00c3\u00a9n afectar cualquier trato corporativo. Las posibilidades son infinitas para alguien con intenciones criminales y poco conocimiento t\u00c3\u00a9cnico.<\/p>\n
Un pirata con mayores conocimientos y utilizando un troyano especifico, puede tomar como blanco las credenciales del usuario y un registrador de las teclas pulsadas (keylogger). De este modo, en forma remota acceder\u00c3\u00ada legalmente a la base de datos protegida, robar todo lo que quisiera, cambiar datos a gusto, utilizarlos para influenciar un negocio entre organizaciones o vender estos a terceros. Una amenaza m\u00c3\u00a1s factible es implantar un troyano que permita la entrada a la red, permitiendo un ataque completo contra los sistemas.<\/p>\n
Tras esta campa\u00c3\u00b1a, se planea educar a las compa\u00c3\u00b1\u00c3\u00adas sobre estas amenazas y la seguridad de las redes en forma externa e interna. Es de suma importancia hoy en d\u00c3\u00ada desarrollar una cultura firme sobre seguridad, que abarque estos temas.<\/p>\n