Top 7 de riesgos informáticos para las empresas

Valora este artículo

Siempre he pensado que la seguridad informática es como el colesterol: todos sabemos que existe y que está ahí, pero a nadie le preocupa hasta que no empieza a causar problemas. Es por esto que quiero ahorraros ese mal trago de "la he liao", antes de que ocurra. O, al menos, tratar de prevenir los escenarios más habituales en lo que a ataques informáticos se refiere.

Para no extenderme demasiado, he seleccionado los 7 elementos dentro del ecosistema informático de una empresa sobre los que más se suelen centrar los atacantes en la actualidad, ordenándolos en este Top 7 de riesgos informáticos para las empresas.

Top 7: Inteligencia artificial

Este punto es más una curiosidad que un ataque al uso, ya que de momento no está lo suficientemente perfeccionado como para suponer un grave problema de seguridad. Sin embargo, conviene conocerlo, ya que puede que en un futuro (y no muy lejano), este tipo de ataques suba puestos en esta lista. Me refiero a todos aquellos ataques basados en entrenar a una inteligencia artificial para una situación específica dentro de una empresa.

Un ejemplo un tanto siniestro de este tipo de ataques son los llamados DeepFakes, que viene de la unión de Deep learning o aprendizaje profundo y fake o falsificación. En esta técnica, se usan vídeos o imágenes de una persona para entrenar una IA utilizando algoritmos de aprendizaje no supervisados, y así finalmente suplantar su identidad. Esto es comúnmente utilizado en el mundo del cine para generar escenas con actores ya fallecidos, como es el caso de la actriz Carrie Fisher en Star Wars – Rogue One.

Por desgracia, esta técnica también tiene aplicaciones más problemáticas. Con los suficientes datos (imágenes y audio) de una persona, es posible suplantarla en tiempo real en una videollamada, tal y como muestra Chema Alonso en su artículo. Esto, en caso de mejorarse hasta el punto de parecer real, podría convertirse en un gran problema de seguridad en las comunicaciones dentro de una empresa.

Inteligencia artificial

Carrie Fisher en Star Wars – Rogue One

Top 6: Wi-Fi

A ver, no me engañéis. ¿Cuántos de vosotros tenéis en vuestra empresa la contraseña del wifi que viene por defecto debajo del router? Y por supuesto, imagino que ninguno os conectaréis con vuestros móviles personales a la misma red que los ordenadores de la empresa.

En ocasiones perdemos la noción de lo importante que es el router dentro de la red corporativa de nuestra empresa. Hay que tener presente que TODOS los datos que enviamos y recibimos de cualquier página web pasan a través del router. Además, nuestra red local es vulnerable una vez que un atacante logra acceder al router.

Para prevenir este tipo de ataques, lo primero es cambiar la contraseña por defecto, una lo suficientemente larga como para evitar ataques de fuerza bruta (se recomienda un mínimo de 14-15 caracteres, usando letras, números y símbolos). Esto no es tan problemático como en el pasado, cuando las contraseñas se podían averiguar con un simple algoritmo al que únicamente le tenías que proporcionar el nombre de la red o SSID. Sin embargo, mejor prevenir que curar. Además, si un posible atacante tiene acceso físico al router, es lo primero que va a intentar, así que al menos vamos a ponérselo difícil.

En segundo lugar, si aún no lo habéis hecho, cread una red diferente para invitados. No sería la primera vez que un posible cliente ha resultado ser un delincuente informático, y dándole acceso a la red le estaríamos dando las llaves de la oficina.

Por otro lado, conviene integrar un filtro de MAC. Una dirección MAC es un identificador único para un dispositivo concreto, como un ordenador o un teléfono móvil. Con este filtro estableceremos una barrera adicional de seguridad, ya que, si un dispositivo no está en nuestra lista de direcciones MAC, aunque tenga la contraseña, no podrá acceder a nuestra red.

Finalmente, os recomiendo ocultar el SSID de vuestra red. Esto hará que no aparezca en la lista de conexiones inalámbricas disponibles para ordenadores o móviles. Cuanto menos nos vean, menos problemas.

Wi-Fi

Bonus tip: Nunca os fieis del Wi-Fi gratis

Top 5: Navegador

Todos usamos un navegador web en nuestro día a día, por lo que muchos atacantes se centran en esta vía para tratar de acceder a nuestro sistema o robar información. En primer lugar, tenéis que conocer las tres mayores vulnerabilidades de un navegador: los scripts, las cookies y las extensiones.

Los scripts suelen estar desarrollados en el lenguaje de programación Javascript y pueden ejecutarlos cualquier página web a la que accedamos. La mayoría de navegadores suele limitar los permisos de estos scripts para que no puedan acceder a información del equipo del usuario, pero eso no significa que no puedan ejecutar código malicioso. Por ejemplo, se han descubierto numerosas webs que han dejado atrás los anuncios y que se financian usando los ordenadores de los usuarios que acceden para minar criptomonedas. Mediante este proceso, la web utiliza los recursos de tu ordenador para generar criptomonedas y lucrarse a tu costa. Para evitarlo, os recomiendo instalar alguna extensión como No Coin

Por su parte, las cookies son un mecanismo que tienen las webs para almacenar información en nuestro ordenador, pero que también puede ser utilizado por empresas de publicidad para analizar nuestros gustos o preferencias y clasificarnos como consumidores. Es por esto que debemos controlar en todo momento qué cookies estamos permitiendo que se almacenen en nuestro ordenador y cuál es su función.

Por último, esto va dirigido especialmente a los técnicos SEO, que suelen presentar una curiosa adicción por las extensiones para el navegador. Pese a que hay muchas extensiones muy útiles que nos facilitan el uso del navegador o nos aportan funcionalidades adicionales, siempre debemos revisar quién es el autor de la extensión, así como sus opiniones, por si hubiera algo que nos haga sospechar. También conviene hacer una pequeña investigación en Google para contrastar información.

Wi-Fi

Ejemplo de código Javascript

Top 4: Metadatos

Los metadatos son conjuntos de datos utilizados para describir las diferentes características de un fichero o registro de información. Esto ayuda a su posterior análisis y control. Un ejemplo de metadatos son los metadatos de autor, que nos indican el autor de un documento.

El problema es que muchas veces no somos conscientes de la existencia de estos metadatos, o al menos no somos conscientes de la cantidad de información que aportan a un atacante. Los metadatos pueden aportar información sobre geolocalización, nombres de usuario, identificadores de equipo, características del sistema operativo... Esto puede parecer bastante inofensivo, pero existen programas que descargan todos los ficheros públicos de una web, extraen los metadatos, los analizan y generan un esquema de la red interna de una empresa. Estos datos son oro para alguien que esté pensando en ejecutar un ataque hacia la red de vuestra empresa, ya que le permite conocer los puntos más débiles de la red en un vistazo.

Un ejemplo de este tipo de programas es FOCA (Fingerprinting Organizations with Collected Archives). Os invito a descargarlo y probar a poner la web de vuestra empresa, estoy seguro de que os sorprenderá la cantidad de información que es capaz de extraer solo con los metadatos de archivos públicos de vuestra web.

Para minimizar las consecuencias de un ataque de extracción de metadatos, os aconsejo utilizar un programa de eliminación de metadatos para todos aquellos ficheros a los que tengáis pensado dar acceso al público.

Metadatos

Interfaz del programa FOCA

Top 3: Contraseñas

Entrando en el podio, como no podía ser de otra manera, tenemos las contraseñas. Este método de autenticación es considerablemente uno de los menos seguros que tenemos disponibles. Una contraseña pierde toda su seguridad con el simple hecho de que alguien la vea una sola vez. Se puede copiar, se puede compartir... Y no tenemos forma de saber si alguien la conoce o no.

Es por esto que os animo a seguir estos tips a la hora de gestionar vuestras contraseñas en la empresa:

Contraseñas

Login en Instagram

Top 2: Software

Hay que tener especial cuidado a la hora de descargar software para el uso en la empresa. No solo qué programas descargamos, sino desde dónde. Lo ideal es que solo descarguemos programas verificados desde las páginas web oficiales del desarrollador, nunca desde páginas de third-parties.

También debemos ser muy restrictivos con los permisos que otorgamos a los programas o aplicaciones que descargamos. En el caso de dispositivos Android, el control de los permisos es más sencillo porque se nos van solicitando a medida que la aplicación los va requiriendo, por lo que podemos saber en todo momento qué permisos le hemos otorgado. En Windows, por el contrario, sencillamente hay programas que nos exigen permisos de administrador y otros que no.

Mi profesor de base de datos siempre decía que otorgar permisos de administrador a diestro y siniestro es como cuando en Blancanieves y los siete enanitos Mudito cierra la puerta de la mina y luego deja la llave colgada al lado. De poco sirve tener la cerradura más segura del mundo si vamos regalando llaves al primero que nos las pide.

Software

Mudito no sería el mejor admin de base de datos...

Top 1: Ingeniería social

Y en el puesto 1 tenemos la vía más utilizada por los delincuentes informáticos: la ingeniería social. Este tipo de estrategia consiste en un conjunto de técnicas orientadas a convencer a trabajadores de la empresa para que entreguen información al atacante, normalmente mediante el engaño o chantaje.

Esta técnica es la más utilizada porque es de las más rápidas y efectivas. Muchos de los ataques informáticos de puestos anteriores llevan gran cantidad de tiempo y tienen un alcance limitado. Sin embargo, la ingeniería social permite que, escogiendo a la víctima adecuada, sea posible acceder a sectores confidenciales de los datos de una empresa aprovechando su infraestructura interna.

Estos son los típicos ataques que se realizan a grandes multinacionales, en los que se escoge un objetivo (normalmente, alguien que disponga de permisos dentro del sistema), y se contacta con ellos a través de email para iniciar el ataque.

En estos casos, se suele aprovechar toda la información disponible sobre el objetivo para realizar el ataque, principalmente a través de redes sociales. También se investiga si existen cuentas asociadas al email de la víctima cuyos datos hayan sido robados en el pasado, para así personalizar al máximo el ataque hacia esa persona.

Para evitar este tipo de ataques, os recomendaría, en primer lugar, acceder a la web Have I Been Pwned. Esta página os permite averiguar si existe alguna cuenta asociada a vuestro correo que haya sido vulnerada en el pasado, con lo que podréis cambiar la contraseña de aquellos servicios que puedan presentar una amenaza. Por otro lado, y esto va más dirigido a la empresa en sí, considero de vital importancia que exista una formación en seguridad informática de calidad para los trabajadores de la empresa, sin importar el puesto de trabajo.

Ingeniería social

Interfaz de la página web Have I Been Pwned

Espero que os haya resultado útil el artículo. Sé que a veces es difícil implementar algunas de estas medidas en el día a día, pero es necesario que seamos conscientes del riesgo que supone una pobre seguridad informática en los sistemas de la empresa. En un mundo donde los datos lo son todo, siempre es mejor prevenir que curar.

SocialOnce Marketing&Internet

Contacto (Zaragoza)

Coso, 102, Oficina 11 · 50001 Zaragoza

+34 622 100 758 · +34 876 032 807

contacto@social11.es

Aviso Legal | Privacidad | Cookies

SocialOnce Internacional

Delegación en Perú

Malecón Balta, 720 · Nº 11-E
Distrito de Miraflores · 15074 Lima (Perú)

+51 992 759 920

bgarro@social11.es

Expertos en posicionamiento

En toda España

Agencia de Diseño y programación

Todo para tu negocio digital