[07/10/2022] A menudo se advierte a los empleados sobre los riesgos de exposición de datos asociados a correos electrónicos de phishing, robo de credenciales y uso de contraseñas débiles. Sin embargo, pueden correr el riesgo de filtrar o exponer información sensible sobre ellos mismos, el trabajo que realizan o su organización sin siquiera darse cuenta. Este riesgo a menudo no se aborda en la formación sobre ciberseguridad, lo que hace que los empleados no sean conscientes de los riesgos que pueden suponer para la seguridad de los datos que, si se exponen, podrían ser explotados tanto directa como indirectamente para atacar a los trabajadores y a las empresas con fines maliciosos.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Aquí hay ocho formas inusuales, inesperadas y relativamente extrañas en que los empleados pueden exponer datos accidentalmente, junto con consejos para abordar y mitigar los riesgos asociados a ellos.
1. Los reflejos de las gafas exponen los datos de la pantalla en las llamadas de videoconferencia
Las plataformas de videoconferencia como Zoom y Microsoft Teams se han convertido en un elemento básico del trabajo remoto/híbrido. Sin embargo, una nueva investigación académica ha descubierto que los participantes en videoconferencias con lentes pueden correr el riesgo de exponer accidentalmente información a través del reflejo de los mismos.
En un artículo titulado Private Eye: On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing, un grupo de investigadores de la Universidad de Cornell reveló un método para reconstruir el texto de la pantalla expuesto a través de los lentes de los participantes y otros objetos reflectantes durante las videoconferencias. Utilizando modelos matemáticos y experimentos con sujetos humanos, la investigación exploró hasta qué punto las cámaras web filtran información textual y gráfica reconocible que brilla en las gafas.
"Nuestros modelos y resultados experimentales en un entorno controlado de laboratorio demuestran que es posible reconstruir y reconocer con más del 75% de precisión textos en pantalla que tienen alturas tan pequeñas como 10 mm con una cámara web de 720p", escribieron los investigadores. "Además, aplicamos este modelo de amenaza a contenidos textuales de la web con diferentes capacidades de los atacantes para encontrar los umbrales en los que el texto se vuelve reconocible". El estudio, en el que participaron 20 personas, descubrió que las cámaras web actuales de 720p son suficientes para que los adversarios reconstruyan el contenido textual de los sitios web de gran tamaño, mientras que la evolución hacia las cámaras de 4K inclinará el umbral de fuga de texto hasta la reconstrucción de la mayoría de los textos de cabecera de los sitios web populares.
Estas capacidades, en manos de un actor malicioso, podrían amenazar la seguridad de algunos datos confidenciales y sensibles. La investigación propuso mitigaciones a corto plazo, entre ellas un prototipo de software que los usuarios pueden utilizar para difuminar las zonas de las gafas en sus transmisiones de video. "Para las posibles defensas a largo plazo, abogamos por un procedimiento de pruebas de reflexión individual para evaluar las amenazas en varios escenarios, y justificar la importancia de seguir el principio de mínimo privilegio para los escenarios sensibles a la privacidad", añadieron los investigadores.
2. Las actualizaciones de la carrera profesional en LinkedIn desencadenan ataques de phishing con "SMS de nueva contratación”
En el sitio de redes profesionales LinkedIn, es común que las personas publiquen al comenzar un nuevo rol, actualizando su perfil para reflejar su último movimiento de carrera, experiencia y lugar de trabajo. Sin embargo, este acto aparentemente inofensivo puede exponer a los recién llegados a los llamados ataques de phishing "new hire SMS", en los que los atacantes rastrean LinkedIn en busca de nuevos puestos de trabajo, buscan el número de teléfono de los recién contratados en un sitio de intermediación de datos, y envían mensajes de phishing SMS simulando ser un alto ejecutivo de la empresa, tratando de engañarlos durante las primeras semanas de su nuevo trabajo.
Según detalla la experta en ingeniería social y CEO de SocialProof Security, Rachel Tobac, estos mensajes suelen pedir tarjetas de regalo o falsas transferencias de dinero, pero también se sabe que solicitan datos de acceso o cubiertas sensibles. "He visto un aumento en el método de ataque de phishing por SMS a los nuevos empleados recientemente", escribió en Twitter, añadiendo que se ha vuelto tan común que la mayoría de las organizaciones con las que trabaja han dejado de anunciar las nuevas contrataciones en LinkedIn, y recomiendan a los nuevos empleados que limiten las publicaciones sobre sus nuevas funciones.
Estas son buenas medidas de mitigación para reducir los riesgos de las estafas de phishing por SMS de las nuevas contrataciones, afirmó Tobac, y los equipos de seguridad también deberían educar a los nuevos empleados sobre estos ataques, explicando cómo será la comunicación genuina de la empresa y qué métodos se utilizarán. También recomendó proporcionar a los empleados DeleteMe para que eliminen sus datos de contacto de los sitios de intermediación de datos.
3. Las fotos de las redes sociales y las aplicaciones de mensajería revelan información de fondo sensible
Es posible que los usuarios no asocien la publicación de fotos en sus redes sociales y apps de mensajería personales como un riesgo para la información sensible de la empresa, pero como señala Dmitry Bestuzhev, investigador de amenazas más destacado de BlackBerry, la divulgación accidental de datos a través de apps sociales como Instagram, Facebook y WhatsApp es una amenaza muy real. "A la gente le gusta hacer fotos, pero a veces se olvida de su entorno. Así, es habitual encontrar documentos sensibles sobre la mesa, diagramas en la pared, contraseñas en notas adhesivas, claves de autenticación y pantallas desbloqueadas con aplicaciones abiertas en el escritorio. Toda esa información es confidencial y podría utilizarse para actividades nefastas".
Es fácil que los empleados olviden que, en una pantalla desbloqueada, es sencillo detectar qué navegador utilizan, a qué productos antivirus están conectados, etc., añade Bestuzhev. "Todo esto es información valiosa para los atacantes y puede exponerse tan fácilmente en fotos de Instagram, Facebook y actualizaciones de estado de WhatsApp".
Keiron Holyome, vicepresidente de UKI, Europa del Este, Oriente Medio y África de BlackBerry, destaca la importancia de la educación en seguridad y la concienciación sobre este tema. "Las empresas no pueden impedir que los empleados tomen y compartan fotos, pero pueden destacar los riesgos y hacer que los empleados se detengan y piensen en lo que están publicando", señala.
4. Los errores en los scripts de ingestión de datos dan lugar a un uso incorrecto de la base de datos
En declaraciones a CSO, Tom Van de Wiele, investigador principal de amenazas y tecnología en WithSecure, afirma que su equipo ha tratado algunos casos inusuales en los que un simple error en la dirección IP o en la URL de un script de ingestión de datos ha llevado a utilizar la base de datos equivocada. "Esto da lugar a una base de datos mixta que necesita ser saneada o revertida antes de que el proceso de copia de seguridad se ponga en marcha o, de lo contrario, la organización podría tener un incidente de PII [información de identificación personal] que viola el GDPR", añade. "Las empresas se enfrentan a incidentes de mezcla de datos de forma regular y, a veces, las operaciones son irreversibles si una sucesión de fallas se produce muy atrás en el tiempo".
Por ello, Van de Wiele aconseja a los equipos de seguridad que aprovechen el aspecto de la autenticación de TLS siempre que sea posible. "Esto reducirá el riesgo de que se confunda la identidad de los servidores y las bases de datos, pero hay que entender que el riesgo no puede eliminarse por completo, por lo que hay que actuar y prepararse en consecuencia asegurándose de que se dispone de registros sobre los que se actúa como parte de una estrategia de detección y supervisión más amplia. Esto incluye tanto los eventos exitosos como los no exitosos", añade.
Van de Wiele también aboga por aplicar reglas estrictas, procesos, concienciación y controles de seguridad sobre cómo y cuándo utilizar los entornos de producción / preproducción / establecimiento / prueba. "Esto dará lugar a menos incidentes de mezcla de datos, menos impacto cuando se trate de datos de productos reales, y garantiza que cualquier tipo de actualización o cambio como resultado del descubrimiento de un problema de seguridad pueda probarse a fondo en entornos de preproducción". Nombrar los servidores de forma que se puedan distinguir unos de otros en lugar de pasarse con las abreviaturas es otro consejo útil, al igual que realizar pruebas de seguridad en producción, afirma. "Invertir en detección y monitorización como uno de los controles compensatorios de esto y hacer pruebas para asegurarse de que la detección funciona dentro de lo esperado".
5. Los registros de transparencia de certificados exponen balsas de datos sensibles
Los registros de transparencia de certificados (CT) permiten a los usuarios navegar por la web con un mayor grado de confianza, y a los administradores y profesionales de la seguridad detectar anomalías en los certificados y verificar rápidamente las cadenas de confianza. Sin embargo, debido a la naturaleza de estos registros, todos los detalles de un certificado son públicos y se almacenan para siempre, afirma Art Sturdevant, vicepresidente de operaciones técnicas de Censys. "Una rápida auditoría de los datos de los certificados de Censys muestra nombres de usuario, correos electrónicos, direcciones IP, proyectos internos, relaciones comerciales, productos previos al lanzamiento, estructuras organizativas y mucho más. Esta información puede ser utilizada por los atacantes para tomar la huella de la empresa, compilar una lista de nombres de usuario o direcciones de correo electrónico válidos, apuntar a los correos electrónicos de phishing y, en algunos casos, apuntar a los sistemas de desarrollo, que pueden tener menos controles de seguridad, para la toma de posesión y el movimiento lateral".
Dado que los datos de un registro de TC son eternos, lo mejor es formar a los desarrolladores, administradores de TI, etc. para que utilicen una cuenta de correo electrónico genérica para registrar los certificados, añade Sturdevant. "Los administradores también deberían formar a los usuarios sobre lo que entra en un registro CT para que puedan ayudar a evitar la divulgación accidental de información".
6. El hardware USB "inocente" se convierte en una puerta trasera para los atacantes
Los empleados pueden estar inclinados a comprar y utilizar su propio hardware, como ventiladores o lámparas USB, con sus portátiles corporativos, pero el líder del equipo de investigación de malware de CyberArk, Amir Landau, advierte que estos gadgets, aparentemente inocentes, pueden ser utilizados como puertas traseras para el dispositivo de un usuario y la red empresarial más amplia. Estos ataques al hardware suelen tener tres vectores de ataque principales, afirma:
* Hardware malicioso por diseño, donde los dispositivos vienen con malware preinstalado, con un ejemplo conocido como BadUSB. Los BadUSB se pueden comprar muy fácilmente en AliExpress, o la gente puede hacer los suyos propios con fuentes abiertas, como USB Rubber Ducky, a partir de cualquier dispositivo USB.
* Luego están las infecciones por gusanos -también llamadas replicación a través de medios extraíbles-, en las que los dispositivos USB son infectados por gusanos, como USBferry y Raspberry Robin.
* En tercer lugar, están las cadenas de suministro de hardware comprometidas. "Como parte de un ataque a la cadena de suministro, se instala software o chips malos dentro de hardware legítimo, como en el caso de los microchips maliciosos insertados en placas base que acabaron en servidores utilizados por Amazon y Apple en 2018", señala.
Detectar este tipo de ataques en el punto final es difícil, pero los antivirus y la detección y respuesta de puntos finales pueden, en algunos casos, proteger contra las amenazas mediante la supervisión del flujo de ejecución de los dispositivos extendidos y la validación de las políticas de integridad del código, dice Landau. "Las soluciones de gestión de acceso privilegiado (PAM) también son importantes por su capacidad de bloquear los puertos USB a los usuarios sin privilegios y evitar el código no autorizado".
7. Las impresoras de oficina desechadas ofrecen contraseñas de Wi-Fi
Cuando una vieja impresora de oficina deja de funcionar o se sustituye por un modelo más nuevo, los empleados podrían ser perdonados por simplemente desecharla para su reciclaje. Si esto se hace sin borrar primero los datos, como las contraseñas de la red Wi-Fi, puede exponer a la organización a riesgos de exposición de datos.
Van de Wiele lo ha visto de primera mano. "Los delincuentes extrajeron las contraseñas y las utilizaron para entrar en la red de la organización y robar información personal", afirma. Aconseja cifrar los datos en reposo y en uso/tránsito y asegurarse de que existe un proceso de autenticación para proteger la clave de descifrado de los dispositivos de punto final en general. "Asegúrese de que los medios extraíbles están bajo control, que los datos están siempre encriptados y que la recuperación es posible a través de un proceso formal con los controles necesarios establecidos".
8. Los correos electrónicos enviados a cuentas personales filtran información corporativa y de clientes
Avishai Avivi, CISO de SafeBreach, relata un incidente en el que un correo electrónico no malicioso enviado por un empleado con fines de formación estuvo a punto de provocar la exposición de datos que incluían los números de la Seguridad Social de los clientes. "Como parte de la formación de los nuevos asociados, el equipo de formación tomó una hoja de cálculo real que contenía los números de la seguridad social de los clientes y simplemente ocultó las columnas que contenían todos los números de la seguridad social. A continuación, proporcionaron esta hoja de cálculo modificada a los alumnos. El empleado quería continuar la formación en su casa, y simplemente enviaba la hoja de cálculo a su cuenta de correo electrónico personal", explica.
Afortunadamente, la empresa contaba con un control reactivo de protección contra la fuga de datos (DLP) que supervisaba todos los correos electrónicos de los empleados, y que detectó la existencia de varios SSN en el archivo adjunto, bloqueó el correo electrónico y alertó al SOC. Sin embargo, sirve como recordatorio de que la información sensible puede quedar expuesta incluso por la más genuina y benévola de las acciones.
"En lugar de confiar en los controles reactivos, deberíamos haber tenido mejores controles preventivos de clasificación de datos que hubieran indicado el movimiento de datos reales de SSN desde el entorno de producción a un archivo en el departamento de formación, un control que habría impedido que el empleado intentara siquiera enviar el archivo adjunto a una cuenta de correo electrónico personal", afirma Avivi.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú