8 abril, 2016
Esta nota fue publicada originalmente en la edición 295 de revista USERS. Podes suscribirte a la versión impresa y/o digital aquí
Por Emiliano Piscitelli
Seguramente hoy en día la mayoría de nosotros poseemos un teléfono inteligente, participamos en al menos una o más redes sociales y utilizamos algunos otros servicios online. También nos animaríamos a decir que a la mayoría de nosotros nos da pereza leer los “famosos” términos y condiciones cuando nos inscribimos en algún servicio, rellenamos varios formularios sin saber a dónde van a parar nuestros datos y no le prestamos mucha atención a los permisos que las aplicaciones móviles nos solicitan.
El objetivo de este artículo es que podamos comprender cuán expuestos podemos estar si no tomamos al menos algunas medidas para protegernos.
Regalando nuestra información
¿Estamos realmente propalando nuestra información privada? Aquí conocemos los detalles.
Metadatos
Es muy común compartir información con nuestros amigos, compañeros de trabajo o clientes. Si bien esta acción (con el debido cuidado) no representa una vulnerabilidad en sí, lo datos que se generan y asocian a casi la mayor parte de los documentos que creamos (.doc, .xls, .ppt, .pdf, .jpg, .png, etc.) sí lo son.
Estos datos se conocen como metadatos (datos de los datos) y pueden llegar a ser usados en nuestra contra. Si no se controlan correctamente podrían representar una importante fuga de información, tanto para nuestra empresa como para nuestra vida privada.
Veamos a continuación qué datos se podrían llegar a obtener tan solo con leer los metadatos de nuestros archivos:
- Nombre de usuario.
- Sistema operativo.
- Software con el que se creó el documento.
- Ubicación dentro del disco duro.
- Modificaciones.
- Posición geográfica.
- Datos específicos de la cámara (en caso que el archivo fuera una foto).
Para evitar esto podemos llevar a cabo diferentes acciones. Entre ellas, configurar la herramienta que utilicemos (siempre y cuando disponga de esta opción) para que no grabe los metadatos.
También podemos utilizar herramientas para el análisis y borrado de metadatos, como puede ser Exiftool.
Otra opción es contratar servicios externos que controlen y nos ayuden a mantener nuestros archivos sin metadatos, como puede ser Metashield Protector.
Registro en portales
Si bien es verdad que día a día diferentes sitios están simplificando mucho el proceso de registro (Sign Up), ya sea por la poca cantidad de datos que nos solicitan en comparación a unos años atrás, como por la facilidad que ofrecen muchos al integrar nuestras cuentas de Facebook, Twitter, Gmail, etc.
Ya sea que nos demos de alta ingresando pocos datos o que lo hagamos con algunas de nuestras cuentas preexistentes, siempre es aconsejable prestar mucha atención. Tanto a “la letra chica” como a los permisos que se nos soliciten.
Registro en eventos públicos
No solo corremos el riesgo que nuestra información pueda quedar expuesta públicamente si rellenamos formularios online. Esto mismo nos puede suceder cuando nos inscribimos en algún evento en forma presencial, como una promoción de una bebida o un electrodoméstico en un hipermercado. Muchas veces las bases y condiciones especifican que nuestros datos podrán ser compartidos con otras marcas y no solo con la marca en la cual nos registramos. Esta práctica es muy común entre algunas empresas, ya que de esta manera colaboran para aumentar sus bases de datos. Así es como muchas veces nos llega publicidad sobre algún producto que quizás no nos interesa.
Pero el agravante se da cuando alguna marca o empresa que realiza estas promociones no cuida correctamente sus activos información y, en consecuencia, quedan expuestos nuestros datos.
Sorteando mi mail corporativo
Tiempo atrás nos tocó realizar una evaluación de seguridad a una empresa. Al comenzar con una de las primeras etapas (Information Gathering), nos sorprendimos al encontrar casi inmediatamente que el mail perteneciente a uno de los empleados había sido utilizado (por el mismo empleado) para registrarse en un sorteo que se estaba realizando en un supermercado. Junto a este mail se encontraban datos como: nombre y apellido, DNI, domicilio, teléfono (fijo y celular).
Si tuvieron la oportunidad de leer los tres artículos que publicamos en ediciones anteriores sobre Ingeniería Social, ya se habrán dado cuenta que esta información es oro en polvo para los ciberdelincuentes.
Si se preguntan cómo obtuvimos estos datos… bueno, no nos costó mucho esfuerzo. Realizamos una búsqueda avanzada en Google donde nos encontramos con un archivo de texto plano expuesto públicamente, dentro de un sitio perteneciente a una empresa que se dedica a realizar diferentes eventos y promociones.
Recomendaciones
Ahora ya sabemos que antes de aceptar cualquier política nos conviene leerla. Si ingresamos con algunas de nuestras cuentas preexistentes (Facebook, Twitter, Google) debemos prestar atención a los permisos que se nos solicita, o por lo menos saber a qué estamos expuestos.
Recordemos también que al otorgar nuestros datos en algún evento o promoción también podemos llegar a correr los mismos riesgos. Es por ello que lo conveniente (en caso que queramos participar sí o sí del evento o promoción en cuestión) es no usar nuestro correo corporativo para evitar de esa manera poner en riesgo a nuestra empresa, como también rellenar únicamente los campos obligatorios.
OSINT
Mucha información valiosa sobre nosotros es demasiado fácil de conseguir.
El término OSINT (Open Source Intelligence) se refiere a todas las fuentes abiertas de información accesibles para el público general. A través de distintas técnicas y herramientas se puede obtener una gran cantidad de información. Estos datos sirven para armar el perfil de una empresa o persona y en base a ello usarse para distintos objetivos: marketing, negocios, estudios previos a la contratación de una persona y hasta ciberataques.
Algunas de las fuentes para la realización de OSINT pueden ser:
- Medios de comunicación: diarios, revistas, televisión.
- Información gubernamental.
- Redes sociales, foros, etc.
- Eventos, papers y otras publicaciones institucionales.
Si bien muchas de estas fuentes no dependen directamente de nosotros (por ejemplo, la información gubernamental), debemos poner foco y prestar atención a las que sí lo hacen. Por ejemplo: redes sociales, foros, papers y la información que otorgamos a los medios de comunicación.
Una foto dice más que mil palabras
Muchas veces notamos que las empresas no reparan mucho en las fotos o imágenes que publican en sus sitios y blogs. El hecho es que en reiteradas ocasiones se puede llegar a obtener algunos de los siguientes datos a través de ellas:
- Disposición física de las workstations y servidores.
- Sistemas operativos utilizados.
- Controles de acceso y cámaras (tarjetas RFID, huellas dactilares, etc.).
Como se habrán dado cuenta, es un riesgo que toda esta información esté disponible para cualquiera que esté dispuesto a observar detalladamente algunas fotos e imágenes.
Recomendaciones
Una muy buena práctica es el utilizar OSINT para con uno mismo o nuestra empresa. Por ejemplo, realizando búsquedas específicas en los buscadores, porque de esta manera podremos “barrer” lo que se conoce de nosotros y así podemos adelantarnos y actuar en forma proactiva en el caso que exista algo que nos pueda comprometer.