Llegamos a ustedes gracias a:



Reportajes y análisis

¿Venderia su contraseña?

Estudios demuestran que los empleados no tienen ningún reparo en vender contraseñas corporativas.

Vender contraseñas

[22/04/2015] Un montón de gente es descuidada con sus propias contraseñas -usando la misma para varios sitios, y/o haciéndolas tan simples que son cómicamente fácil de descifrar-, pero casi nadie las vendería intencionalmente por unos cuantos dólares a alguien que conocen, y éste las utilizarías para hacerle daño.

Sin embargo, al parecer, algunos de ellos no tienen reparos en vender contraseñas corporativas. Una reciente encuesta global a mil empleados de organizaciones grandes (más de tres mil trabajadores), a cargo del proveedor SailPoint, encontró que uno de cada siete vendería su contraseña a un extraño por tan poco como 150 dólares.

Pero este no es un problema nuevo. Y 150 dólares es, en términos relativos, gran cantidad de dinero. Una encuesta del 2012 realizada en el Reino Unido encontró que casi la mitad de los encuestados vendería sus contraseñas corporativas por menos de cinco libras, mientras que el 30% las vendería por solo una libra.

Tampoco sorprende a personas como Christopher Frenz, un miembro de la facultad en el New York City College of Technology, quien dijo que "otros grupos de investigación fueron capaces de hacer que la gente revelara sus contraseñas a cambio de algo tan pequeño como una barra de chocolate".

Sin embargo, Frenz agrega que es importante saber cuán rigurosa es esa investigación. "Estas encuestas tienden a entrevistar a las personas que se auto seleccionan a sí mismas para participar, así que no es una muestra representativa", anota. "Éstas (las encuestas) a menudo carecen de controles adecuados, y no suelen tratar de verificar si el usuario está realmente revelando una contraseña. Hace que uno se pregunte cuántas personas se inventan una contraseña en ese momento por el chocolate gratis o por los pocos dólares".

Aun así, incluso si el porcentaje real es menor que lo que las encuestas encontraron, es suficiente para hacer un agujero importante en la seguridad de los datos de cualquier empresa.

"Los seres humanos son falibles, y este tipo de problema es real", señala Muddu Sudhakar, CEO de Caspida, recordando titulares como el de enero pasado sobre un asesor financiero de Morgan Stanley, quien fue despedido después de presuntamente robar información de cerca de 350 mil clientes de la administración de la salud, y publicó la información de 900 de ellos en línea.

En este caso, la información filtrada, según informes, incluía nombres y números de cuenta, pero no las contraseñas. Pero ilustra claramente que los empleados que ofrecen información corporativa sensible a la venta pueden ser "un verdadero problema".

Una pregunta obvia es ¿por qué incluso una minoría de trabajadores se arriesgaría a perder sus puestos de trabajo, y por lo tanto no solo su subsistencia inmediata, sino también toda su carrera, por un poco de dinero?

Joseph Loomis, fundador y CEO de CyberSponse, señala que la lealtad del empleado no se debe asumir. "¿Cuántos empleados conoce que realmente se preocupan por la organización en la que trabajan?", anota. "Excluyendo a algunas de las principales organizaciones en el mercado, la moral o la atención de los empleados es siempre una preocupación en cuanto al desencadenamiento de amenazas internas".

Sudhakar añade que sospecha que los trabajadores saben que si se vieran comprometidas sus contraseñas personales, las consecuencias serían severas; mientras que ven a una contraseña corporativa como "el problema de otra persona, o piensan que podría no haber una consecuencia por el mal uso de ésta".

Frenz señala que algunos trabajadores podrían no darse cuenta de lo importante que son sus contraseñas corporativas. "Esto es particularmente cierto si los datos que manejan en el trabajo no son considerados sensibles", agrega, "ya que probablemente no llegan a comprender que su cuenta puede proporcionar una puerta que se puede utilizar como la base para acceder a información más sensible a través de una escalada de privilegios y métodos parecidos.

Sudhakar estuvo de acuerdo. Una contraseña comprometida es solo el primer paso, señala. "Los chicos malos establecen un punto de apoyo dentro de la empresa, escalan privilegios, se mueven lateralmente para obtener los datos, mantienen su presencia, hasta que puedan llegar a la información sensible y filtrarla", añade.

Algunos argumentan que la venta de contraseñas no es un problema tan grande como las contraseñas débiles, porque éstas son muy fáciles de hackear. De hecho, cualquier contraseña de menos de 10 caracteres que sea una palabra real -incluso de atrás para adelante con algunas letras mayúsculas- es como una puerta abierta para los hackers informáticos, aún con un mínimo de habilidades pero con el software adecuado. Eso, dicen, hace que el precio de venta sea casi nulo.

Loomis no lo cree por completo. Señala que ofrecer contraseñas en venta lo hace más fácil para los delincuentes, ya que no tienen que probar ni dos ni tres veces para tener acceso -una anomalía que las contramedidas de seguridad podrían encontrar sospechosa.

Sea cual sea su valor en el mercado, un grupo relativamente nuevo -el FIDO (Fast Identity Online) Aliance- dice que es una razón más para eliminar las contraseñas por completo.

El vicepresidente de FIDO, Ramesh Kesanupalli, también fundador de Nok Nok Labs, dijo en un comunicado, "que usuarios de las empresas vendan contraseñas, muestra un ejemplo más de cuán defectuosa y arriesgada es la autenticación por contraseña".

FIDO, una organización no lucrativa formada en el 2012, ha desarrollado un sistema de autenticación de dos factores que, "intercambia datos criptográficos con servidores FIDO -no información personal vulnerable de cualquier tipo", anota Kesanupalli.

Aun así, incluso con las credenciales de autenticación mucho más seguras que las contraseñas, si las personas están dispuestas a venderlas, el problema persiste; o tal vez podría ser aún peor, ya que esas credenciales probablemente serían más valiosas.

Los expertos señalan que eso significa que la necesidad de una mejor formación de conciencia de seguridad es esencial. Frenz anota que es importante que los empleados sepan que no solo están en riesgo los datos corporativos, "recordándoles a las personas que no solo trabajan con datos de los clientes. Recordarles que muchos de sus datos de carácter personal en la forma de registros de recursos humanos y planilla, quedan también expuestos; y esto, a menudo, puede ayudar a poner las cosas en perspectiva", indica.

Y el sitio web Malicious Link, en una publicación reciente, argumentó que las empresas tienen que entender la psicología de los empleados y proporcionar incentivos para que no caigan en la tentación de vender sus credenciales.

Si los profesionales en seguridad se convierten en "familiarizados con los estudios emergentes bajo el título de la psicología cognitiva/economía del comportamiento", serán capaces de entender "irracionalidades" en el juicio humano, y, "diseñar mejores sistemas de incentivos y esquemas de control de seguridad", señala la publicación.

La buena noticia, según Sudhakar, es que incluso si la gente voluntariamente vende o pone en riesgo sus credenciales, la tecnología en la detección ha mejorado. "Las innovaciones en la ciencia de datos y el aprendizaje de máquina, están mejorando la detección temprana de las credenciales comprometidas o de infiltrados", anota.

Eso, combinado con una mejor formación y conocimiento de los empleados descontentos, puede ser la mejor defensa. Como señala Frenz, las contraseñas tienen una gran ventaja sobre otras formas de autenticación biométrica más seguras. "Son muy fáciles de cambiar una vez comprometidas", señala.

Taylor Armerding, CSO (EE.UU.)