miércoles, 19 de julio de 2006

La curiosidad puede afectar la seguridad

¿Si usted se encotrara con una memora USB en el suelo, no le interesaría saber que contiene adentro?

Bueno, esto fue lo que hizo un consultor de informática, que repartió por varias dependencias de una empresa memorias USB y varios problemas originó este hecho y demostró que los sistemas informáticos son falibles incluso a través de la ingeniería social.

Steve Stasiukonis es un reconocido consultor en seguridad informática y volvió a demostrar lo sencillo que es obtener contraseñas de usuarios de una empresa.En su artículo titulado "Social Engineering, the USB Way", relata que fue contratado para realizar una auditoría de seguridad en una empresa.

Los dueños de la compañía le pidieron que se enfocara en la ingeniería social más que en las falencias técnicas de los equipos, es decir, orientarse hacia los usuarios antes que en las computadoras u otros dispositivos.Debido a que los empleados fueron advertidos de la llegada de este consultor, Stasiukonis debió optar por un método distinto pero finalmente válido para demostrar que no hay sistema de seguridad suficiente para mantener a salvo información corporativa.

Abandonó en el estacionamiento, la zona para fumadores y otras áreas 20 memorias USB antiguas, de poca capacidad. En esta oportunidad, en vez de tratar de convencer a los trabajadores de que las empleen se sentó a esperar.El virus de tipo troyano que las memorias USB tenían dentro hizo el resto. Programado para enviar las contraseñas y demás información de la PC del trabajador al atacante, Stasiukonis recibió datos de 15 de los 20 dispositivos.En otras palabras, la curiosidad de los trabajadores fue tal que dejaron en riesgo datos confidenciales de la empresa. Si esos datos llegan al creador de la trampa, sin dudas, la compañía podría verse severamente perjudicada. Imagínese que la experiencia se convierte en realidad en un banco, por sólo dar un ejemplo.

Otra situación ocurrida es aquella en que bajo la excusa de que un disco contenía información sobre una promoción especial, se iba regalando un CD a los ejecutivos que acudían a su trabajo. La promoción no existía. En el interior del CD había un código que permitía informar a la empresa quién había ejecutado el programa. Los resultados fueron bastante sorprendentes, ya que entre ellos había personal de grandes bancos y aseguradoras multinacionales.Como queda en evidencia, la ingeniería social continúa siendo una de las principales causas del éxito de los piratas informáticos. Algo que, sin duda, debería preocupar a cualquier empresa.

No hay comentarios.: