Si a usted le preocupa que los hackers utilicen técnicas avanzadas y siniestras para traspasar sus firewalls, bueno eso es algo que es muy probable que ocurra. De ser necesario, gaste dinero en firewalls. Pero tal vez también quisiera considerar algunos problemas de seguridad de menor perfil que no son tan sofisticados – de hecho, algunos podrían calificarlos de tontos – que no obstante podrían traer cosas malas para las compañías o para la gente que los padece.
Vivimos en un mundo cada vez más virtual, en el que nuestros datos cruciales se encuentran en la nube y en el que vivimos temerosos de las intrusiones electrónicas en nuestros reinos particulares en el ciberespacio. Pero vale la pena recordar que todos esos datos, finalmente, residen en computadoras de metal y plástico que ocupan un espacio real en el universo físico. Estas computadoras pueden ser tomadas y robadas, y esa es la mala noticia. Por ejemplo, la NASA sufrió varios escándalos de seguridad, entre ellos el hecho de que 48 laptops y teléfonos de la agencia fueron robados.
Lo único que hace a esto del robo algo complicado es que se requiere de acceso físico a las cosas. Pero hacerlo es más fácil de lo que usted cree. Un investigador demostró lo bastante sencillo que era tener acceso a áreas restringidas con sólo mostrar actitud (como mover imperiosamente un gafete a los guardias de seguridad, incluso si no es un gafete que le permita el acceso a dondequiera que se dirija) y ser sigiloso (colarse por las puertas de salida). Oh, ¿mencionamos que estas técnicas funcionaron en una conferencia de RSA Security? Tal vez sea mucho más fácil de hacer en su edificio.
Pero cuando la tecnología que usted tiene no es suficiente, no olvide lo que se dice, que nunca debe culpar a la malicia de lo que puede atribuirse a la incompetencia. Por ejemplo, quizás esas computadoras no fueron robadas por ladrones cobardes empeñados en sabotear; tal vez la persona que estaba a cargo de ellas simplemente las perdió. Esto no sucedía mucho cuando todos tenían una pesada computadora de escritorio que era difícil de cargar, pero la conveniencia de las laptops y los teléfonos inteligentes los hace también propensos a perderse. Una encuesta entre pequeñas empresas reveló que 35% contaban a un empleado que perdió un dispositivo con información del negocio en ella.
A finales de 2011, los medios del mundo estaban impactados por el escándalo de espionaje telefónico de News Corp, en el que se reveló que varios periódicos del imperio editorial británico de Rupert Murdoch entró a los correos de voz de las celebridades y víctimas del crimen para tener las primicias y algunas veces cometer algo de chantaje. Lo que no se publicitó mucho fue el método usado para lograr este aparente golpe de alta tecnología: los investigadores que tenían la información de la víctima simplemente llamaban al número provisto por el proveedor de telefonía móvil para recuperar el correo de voz remotamente, entonces se intentaba con algunos posibles PIN de la víctima. Muchos eran bastante obvios – de hecho, muchos incluso eran los números predeterminados que venían con la cuenta.
¿La lección? Si tiene la oportunidad, la gente elegirá contraseñas muy básicas. Implemente políticas que obliguen a la gente a elegir las contraseñas más elaboradas posibles, y oblíguelos a cambiarlas regularmente.
Los administradores paranoicos mantendrán actualizados los parches de los sistemas operativos, por supuesto. Windows en particular tiene la reputación de ser un barco que hace agua, al igual que el personal de tecnología – particularmente el personal que pudiera haber sido en parte responsable de elegir Windows como el sistema operativo de facto – es generalmente bueno para mantener esos parches actualizados.
El problema es que muchas de estas vulnerabilidades que se pueden hackear fácilmente no están en el sistema operativo; están en las aplicaciones que corren dentro del sistema operativo. Por ejemplo, consulte esta lista, publicada por SANS en 2009, de aplicaciones que eran problemáticas en ese momento. ¿Cuáles están a la cabeza? Oh, sólo un convertidor de texto para WordPad, que usted probablemente pensó era el programa más inofensivo de su computadora. También en la lista está Java, que, como los usuarios de Mac lo supieron de forma nada agradable, puede abrir todo tipo de hoyos por sí mismo.
Sus datos son uno de sus activos más valiosos: pueden contener información propietaria de su negocio, o información sobre sus clientes a quienes les ha prometido mantenerla segura y secreta. Los hackers tratarán de obtener estos datos, por supuesto, pero realmente no hay necesidad de tratar de ayudarles a hacerlo. Recuerde el incidente de 2006 cuando AOL colocó los registros de búsqueda de millones de usuarios, incluyendo información que los identificaba personalmente, en un servidor público por accidente. Es fácil hacer chistes de eso (especialmente de AOL), pero la verdad es que la mayoría de las organizaciones de cualquier tamaño tienen una reserva heterogénea de servidores, algunos públicos, otros no, y algunos instalados a espaldas de TI y que no están cubiertos por las rigurosas políticas de seguridad.
Al igual que puede ser complicado tener el control de qué tan públicos son los servidores de su red corporativa, también puede ser difícil tener control de los nodos de la red que pudieran dejar una puerta abierta. En 2007, TJX (la compañía que opera las tiendas departamentales TJ Maxx y Marshalls) sufrió una brecha embarazosa cuando los hackers manipularon los kioscos públicos que se instalaron para que la gente pudiera enviar solicitudes de empleo. (Incluso lo hicieron delante de todos, y sólo afirmaron ser parte del personal de TI que estaba ahí para reparar las máquinas). Recuerde, no tiene sentido establecer defensas elaboradas contra las intrusiones no autorizadas a la red, cuando usted deja una entrada totalmente abierta por la que cualquier puede entrar directamente.
¿Cuál es el error de seguridad más tonto del que haya sido testigo? No tema hacernos sus comentarios (aunque tal vez quiera hacerlo de forma anónima).
