Por GEOFFREY A. FOWLER
Somos el eslabón más débil.
Los ataques de piratas cibernéticos contra compañías son cada vez mayores y más audaces. Entre las víctimas de alto perfil de este año figuran Sony Corp. y Citigroup Inc. Pero atrás quedaron los días en que los hackers encontraban brechas en redes corporativas y robaban datos valiosos de manera impune. En los últimos 30 años, las grandes compañías se han vuelto más astutas a la hora de enfrentar la amenaza del hacking, y han fortaleciendo los perímetros de sus redes.
El problema es que en estos días, los delincuentes no sólo hackean redes. Hackean a empleados.
"La brecha de seguridad son los usuarios finales", dice Kevin Mandia, presidente ejecutivo de la firma de seguridad Mandiant Corp. La mayoría de las violaciones de seguridad corporativa que su firma investiga actualmente implica a hackers que consiguieron acceso a las redes de empresas explotando a trabajadores bien intencionados.
Considere lo que le pasó en marzo a la división de seguridad RSA de EMC Corp., fabricante de aparatos de acceso a computadoras usados por miles de otras compañías. Un hacker envió mensajes de correo electrónico que incluían una planilla titulada "Plan de reclutamiento de 2011" que parecieron inocentes a dos pequeños grupos de empleados. El mensaje era tan convincente que un empleado lo rescató del buzón de "correo basura" y abrió el documento adjunto. Al hacerlo, introdujo un virus en la red de RSA que terminó por dar al hacker acceso a datos delicados de la compañía y permitió ataques posteriores contra clientes de la empresa.
Brian Stauffer
Los empleados tienen más oportunidades que nunca de comprometer información de la compañía. No sólo metemos la pata al abrir e-mails de hackers desde los cuales se descargan virus, permitiéndoles superar los controles de seguridad corporativa. También abrimos una caja de Pandora de problemas de seguridad, circunviniendo reglas de soporte tecnológico de la compañía y haciendo trabajos con equipos personales y servicios en línea como correo electrónico en la web y servicios de almacenamiento en nube.
Cerrar estas brechas está demostrando ser muy difícil, dicen expertos de seguridad. Pero las compañías siguen luchando. Para prevenir hábitos potencialmente peligrosos de empleados, están probando nuevas herramientas para seguir lo que ocurre en sus redes y dictando programas de orientación.
A continuación, ofrecemos un vistazo a lo que los empleados hacen mal y cómo las compañías tratan de repeler sus malos hábitos.
Ayudamos a los hackers a que apunten contra nosotros. Espías y estafadores se han embarcado durante mucho tiempo en lo que se llama ingeniería social para manipular a la gente de modo que divulgue información confidencial. Ahora esos trucos se han adaptado a la era de Internet.
Hoy nos convertimos en blancos fáciles colocando una cornucopia de información acerca de nosotros mismos y nuestros empleos en línea, dicen expertos de seguridad. Blogs y redes profesionales como LinkedIn son recursos particularmente útiles para delincuentes, ya que muchas personas comparten detalles acerca de sus puestos en el trabajo, lo cual puede usarse para determinar jerarquías corporativas, entre otras cosas. Eso facilita que un hacker engendre un mensaje, por ejemplo, que parece provenir del jefe del empleado escogido como blanco.
Tratamos de saber más que el equipo de apoyo técnico. Conforme nos volvemos más adeptos con la tecnología personal, nuestras expectativas sobre cómo podemos usarla en el trabajo se han multiplicado. Pero algunas medidas que tomamos para ser más productivos, como crear una cuenta de equipo en un servicio de almacenamiento en nube, o llevar una tableta personal a la oficina, inadvertidamente pueden abrir brechas en las defensas corporativas.
En particular, los hackers que buscan datos corporativos están apuntando a cuentas personales de correo electrónico. Algunos empleados prefieren la facilidad de cuentas privadas como Gmail y Yahoo Mail, por lo que remiten algunos mensajes del trabajo a esas cuentas, o incluso las configuran de modo tal que todos sus e-mails del trabajo sean remitidos a sus direcciones personales. Eso es una mala idea: muchos servicios de mensajes electrónicos personales no ofrecen la misma clase de protección contra software malicioso que los empleados tienen en la oficina.
En 2009, cientos de páginas de planes confidenciales de Twitter Inc. fueron expuestos después de que un pirata informático accedió a la cuenta de Gmail de un empleado reconfigurando la contraseña de éste.
En junio de este año, Google Inc. impidió un ataque dirigido contra las cuentas personales de Gmail de quienes describió como "altos funcionarios gubernamentales estadounidenses, activistas políticos chinos, funcionarios de varios países asiáticos (predominantemente Corea del Sur), personal militar y periodistas". Si estos funcionarios hubieran estado usando sus correos electrónicos oficiales y seguros para comunicaciones, podrían haber estado en menos riesgo, dicen los expertos de seguridad.
La proliferación de servicios de medios sociales, también, tiene el potencial de amplificar nuestras decisiones malas. En mayo, un ejecutivo de Hewlett-Packard Co. accidentalmente expuso en LinkedIn los planes estratégicos de computación en nube de la compañía, al actualizar su perfil con detalles sobre lo que la compañía estaba armando. Los blogueros (y probables competidores) los vieron antes de que el empleado tuviera la oportunidad de retirarlos.
Soluciones humanas. Los problemas de seguridad que se originan con las personas no tienen soluciones técnicas fáciles.
La tecnología de la información corporativa "necesita una nueva doctrina de defensa", dice el jefe de protección de identidad de RSA, Uri Rivner. "Uno necesita tener protección de seguridad dentro de su organización, en vez del perímetro. Uno necesita comprender lo que están haciendo sus usuarios, y luego detectar toda clase de actividad sospechosa en su interior".
Después del ataque en RSA meses atrás, la firma concretó planes existentes de comprar la empresa Netwitness, que sigue el tráfico de redes en busca de patrones sospechosos. Aun así, ninguno de estos esfuerzos puede reemplazar la vigilancia de empleados acerca de la manera en que los delincuentes podrían tratar de aplicar su ingeniería social con nosotros, dicen expertos de seguridad. Algunas firmas envían a sus empleados mensajes recordatorios acerca de buenos hábitos, como nunca enviar el nombre de usuario y la contraseña de una cuenta corporativa, aun cuando el pedido parezca provenir de un superior o de alguien del departamento de soporte tecnológico. Otros llevan a cabo ataques regulares contra sus propios empleados para enseñarles a ser más precavidos.
No hay comentarios:
Publicar un comentario