En la primera parte de este artículo te hablamos sobre ataques dirigidos y sobre cómo los cibercriminales penetran en las redes corporativas, atacando los equipos de empleados que los usan para conectarse a redes sociales y navegar en Internet.
Pero no sólo los ataques dirigidos son una amenaza. Los mismos empleados pueden publicar información confidencial o violar las leyes de derechos de autor de forma intencional o sin darse cuenta, lo que podría acarrear demandas judiciales contra la compañía.
Te hablaremos de algunos incidentes relacionados con el almacenamiento y transferencia de documentos corporativos mediante una cuenta de correos personal o servicio en la nube y el uso de programas para compartir archivos P2P. Explicaremos qué tecnologías y políticas de seguridad ayudan a los administradores del sistema y especialistas en seguridad a evitar estos incidentes.
Pérdida de reputación
La reputación es un recurso importante de una compañía, que vale la pena proteger no sólo de los criminales. Los empleados que envían correspondencia profesional a sus cuentas de correo personales, descargan contenido ilegal o utilizan programas pirata en equipos corporativos ni siquiera piensan en que podrían dañar la reputación de su compañía.
Divulgación de información personal
Una compañía sufrió un accidente en el que se publicó información extremadamente confidencial. Los especialistas en seguridad de datos iniciaron la investigación revisando los documentos filtrados y se sorprendieron al descubrir que los metadatos contenían información importante: nombre de la compañía, nombre del equipo, dónde se guardó el documento por última vez, nombres de los autores, direcciones de correo electrónico, números de teléfono, etc. Los criminales suelen eliminar estos datos para esconder la fuente de la filtración. Los investigadores descubrieron copias de los documentos filtrados guardados en los ordenadores de cinco empleados. Ninguno de ellos admitió que había entregado los documentos a terceras personas; es más, todos se sorprendieron al enterarse del accidente en una entrevista con el equipo de seguridad. Después de analizar los registros del servidor proxy corporativo, se descubrió que uno de esos cinco empleados había subido copias de los archivos publicados a un servicio de correos.
En una segunda entrevista, el empleado confesó que había guardado documentos corporativos en su cuenta de correos un par de veces. Era algo cómodo: si no tenía tiempo de terminar o leer un documento, lo enviaba a su cuenta personal para terminar el trabajo en casa. Cualquier empleado podía ganar acceso remoto a su cuenta de correos personal si lo solicitaba, y el empleado había tratado de hacerlo pero nunca completó el proceso. No pensó que habría problemas si usaba su cuenta de correos personal para cuestiones de trabajo.
Cuando consiguieron ingresar a su cuenta personal, los especialistas en seguridad de datos revisaron la lista de direcciones IP que se usó para conectarse a la cuenta. Además de las direcciones IP de su casa y empresa, se descubrieron muchas direcciones IP de servidores proxy de diferentes países.
Al investigar el equipo del empleado, los especialistas en seguridad descubrieron programas espía que tenían todos los datos de la cuenta (nombre de usuario, contraseña, números de tarjeta, etc.) de diferentes sistemas: sitios web, redes sociales, cuentas de correo, servicios de bancos en línea. Después de usar un programa malicioso para ingresar a la cuenta de correos del empleado, el criminal encontró varios documentos corporativos almacenados.
Se despidió al empleado responsable, pero el daño a la reputación de la empresa persiste.
Violación de los derechos de autor
Todos saben que la descarga de contenido pirata es una violación de los derechos de autor. Aun así, pocas personas recuerdan que cuando se usa Internet en una red corporativa, también se usa la dirección IP de la empresa. Esto significa que si se descubre una violación de este tipo, la compañía es la que tiene que hacerse responsable de los daños.
Una pequeña compañía sufrió un incidente de este tipo. Experimentaba una caída notoria de la velocidad de la conexión a Internet en ciertas horas. Las estadísticas del tráfico de red mostraron que un ordenador usaba el 80% de la capacidad de la red, con conexiones entrantes y salientes desorbitantes. El administrador del sistema asumió que el equipo se estaba usando para compartir datos en una red P2P.
Resulta que un empleado había traído su ordenador portátil personal y lo había conectado a la red corporativa. Un cliente BitTorrent instalado en el equipo estaba configurado para iniciarse de forma automática cada vez que se encienda el equipo. El empleado lo había olvidado y el programa que se ejecutaba en su equipo causó problemas con la conexión a Internet.
Tres meses después, las autoridades fueron a las oficinas con una orden de allanamiento y tomaron varios discos duros y documentos. Se sospechaba que la compañía estaba usando programas pirata, violando las leyes de derechos de autor. La compañía tuvo que pagar una multa, y desde entonces, se ha vuelto más estricta en su política contra los programas pirata y ha introducido una nueva regulación de seguridad. Ahora los empleados sufren duras sanciones si se detecta esta actividad por primera vez y pierden su trabajo su vuelve a suceder. Además, se prohibió la posesión de contenido ilícito (programas hackeados, videos, música, libros electrónicos, etc.) en la empresa sin importar si se hubiese descargado usando los equipos y redes de la compañía o no.
Solución
Sólo hemos descrito dos casos en los que la violación de políticas corporativas por parte de los empleados causó problemas serios. Hay muchos más ejemplos de este tipo en la vida diaria. Por suerte, existen métodos simples que, junto a las políticas de seguridad de la empresa, ayudan a prevenir la mayoría de los incidentes.
Control de tráfico de red
En el incidente descrito arriba se filtraron documentos corporativos y contenido ilícito que se subió a las redes P2, y la red corporativa funcionaba como un canal para enviar y recibir los datos. Los cortafuegos, IPS, HIPS y otras tecnologías ayudan a los administradores de sistemas y especialistas en seguridad informática a limitar o bloquear:
- El acceso a servicios públicos y sus servidores: servicios de correo, almacenamientos en la nube, sitios con contenido prohibido, etc.
- El uso de puertos y protocolos para compartir archivos en redes P2P
- El envío de datos corporativos fuera de la red de la empresa
Hay que recalcar que ningún método de control del tráfico de redes por sí sólo puede ofrecer el más alto nivel de seguridad de redes corporativas. Para evadir las políticas de seguridad, los empleados pueden usar métodos de codificación de tráfico, conectarse a las copias (espejos) de servicios de Internet bloqueados o usar servidores proxy y herramientas que los vuelvan anónimos. Es más, muchas aplicaciones pueden usar otros puertos de aplicaciones e integrar su tráfico en varios protocolos, lo que no se puede prohibir. A pesar de todo, el control de tráfico de redes es importante y necesario, pero necesita combinarse con el control de aplicaciones y codificación de archivos.
Control de aplicaciones
Al usar el control de aplicaciones, el administrador del sistema o experto en seguridad no sólo puede prohibir cualquier programa que no quiera en sus redes (clientes de torrent, aplicaciones de redes sociales, juegos, programas pirata, reproductores multimedia, etc.), también sabe cuándo y dónde se ejecutan. Es casi imposible prohibir todos los programas pirata, porque pueden crearse muchas variantes casi idénticas de una aplicación. Por lo tanto, el mejor abordaje es usar el control de aplicaciones en el modo “denegar de forma predeterminada” (Default Deny) para asegurarse de que todos los empleados usen sólo programas autorizados.
Codificación de archivos
Suele ser imposible rastrear cómo utilizan los empleados los servicios en la nube y sus correos electrónicos personales para guardar datos corporativos que pueden incluir información confidencial. Muchos servicios de correo y almacenamientos en la nube codifican los archivos, pero no pueden garantizar la protección contra los intrusos: sólo se necesita robar un nombre de usuario y contraseña para poder acceder a los datos.
Para evitar esto, muchos servicios de Internet agregaron números de teléfono como medida de seguridad de sus cuentas. De este modo, el criminal también necesita interceptar un código de confirmación de uso único que se envía a un dispositivo móvil durante el proceso de autorización. Recuerda que esta protección funciona sólo si el equipo telefónico no tiene algún programa malicioso que haga que el criminal vea el código.
Por suerte, existe una forma más segura de proteger los documentos corporativos que salen de las redes de la empresa: las tecnologías de codificación de datos. Aun si el intruso puede acceder a la cuenta de correo o almacenamiento en la nube donde el usuario guarda documentos de la empresa, no podrá acceder a su contenido si se ha codificado antes de guardarlo.
Políticas de seguridad
El control de tráfico de redes, el control de aplicaciones y la codificación de datos son medidas de seguridad importantes que pueden detectar y prevenir las filtraciones de datos de forma automática, así como restringir el uso de programas no deseados en la red corporativa. Sigue siendo necesario implementar políticas de seguridad y educar a los empleados sobre este tema, ya que muchos no se dan cuenta de que sus acciones pueden poner en peligro a sus compañías.
En caso de violaciones repetidas, las políticas de seguridad deben incluir sanciones administrativas contra el empleado que incluyan el despido.
Las políticas de seguridad también deben estipular las acciones que se llevarán a cabo si un ex empleado tiene acceso a información confidencial o sistemas de infraestructura crítica de la empresa.
Conclusión
Los incidentes como las filtraciones de datos confidenciales o la carga de contenido pirata desde la dirección IP corporativa puede causar mucho daño a la reputación de una compañía.
Para evitarlo, las empresas deben limitar o bloquear por completo el acceso de los empleados a recursos de Internet que pueden convertirse en una amenaza para una compañía y limitar o bloquear el uso de sus puertos, protocolos de transmisión de datos y aplicaciones que no son necesarias para el trabajo. La codificación de archivos se puede usar para asegurar la confidencialidad e integridad de documentos corporativos.
Los expertos en seguridad deben tener en cuenta que, además de la detección y prevención, deben prestar atención a las medidas de protección de datos administrativos. Los usuarios deben estar conscientes de qué se permite y se prohíbe mediante una política de seguridad y de las consecuencias de cualquier violación.
Políticas de seguridad: uso improductivo de recursos