Las redes inalámbricas son la manera de conectarse preferida por muchos usuarios. Sin embargo, son muy vulnerables a intrusiones y engaños.

Cuando dictamos nuestros cursos y seminarios de seguridad solemos hacer las siguientes preguntas: ¿cuántos de ustedes poseen uno o más smartphones?, ¿quiénes tienen la conexión Wi-Fi encendida o suelen mantenerla de este modo? En base a las respuestas obtenidas estamos en condiciones de afirmar que en la gran mayoría de los casos los asistentes poseen uno o más smartphones, de los cuales al menos la mitad mantiene la conexión Wi-Fi encendida casi en forma permanente.

En general esta acción se debe al olvido (conectarse en lugares específicos y luego retirarse sin desactivar la conexión) o quizás por tratar de “enganchar” alguna red Wi-Fi “libre” y así poder descargar más rápido los mails, mensajes de WhatsApp, Facebook, etc. (casi como que de una búsqueda del tesoro se tratase).

El objetivo de este artículo es conocer y analizar algunos de los riesgos y amenazas que conllevan las acciones del párrafo anterior. No solo nos enfocaremos en el uso de los dispositivos personales sino también en el cuidado y las precauciones que debemos tomar al implementar un punto de acceso inalámbrico, ya sea en nuestro hogar u oficina. Todo esto sin olvidar algunos consejos y recomendaciones que nos ayudarán a elevar nuestro umbral de seguridad de una forma notable.

A continuación vamos a detallar algunos riesgos y amenazas a los cuales estamos expuestos día a día. Si bien algunos ya los hemos compartido en nuestro artículo “El Fin de la Privacidad”, aquí trataremos detalles de cara a las redes que podemos tener en nuestro hogar u oficina.

Wardriving

Si bien éste no conlleva un riesgo en sí, conociendo de qué se trata podemos apreciar que si no prestamos un mínimo de atención a la configuración de nuestro Access Point o Router Wi-Fi podremos quedar totalmente expuestos.

Veamos ahora qué es el Wardriving: una técnica que se utiliza para detectar redes Wi-Fi desde un vehículo en movimiento en una zona determinada. Para esto se utilizan computadoras, dispositivos Wi-Fi, antenas (externas o internas) y GPS. Como resultado se obtienen mapas donde puede apreciarse la posición geográfica de las redes detectadas junto a algunos detalles de las mismas (SSID – nombre de la red, dirección MAC, seguridad utilizada, etc.).

Ésta información suele compartirse en sitios como Wigle (uno de los más populares) para contribuir al desarrollo de mapas completos y actualizados.

Actualmente es muy común ver smartphones y tablets realizando este tipo de tareas, ya que poseen cada vez mayor capacidad de cómputo, Wi-Fi y GPS integrados, y aplicaciones desarrolladas específicamente para (Wigle, Wi-FiFoFum).

A partir del Wardriving han aparecido otras variantes que se identifican según el medio que se utilice para trasladarse. Por ejemplo: warwalking (caminando), wartraining (tren), warbiking (bicicleta) y bus wardriving (colectivo).

“Escucha” de redes conocidas

Al mantener nuestra conexión Wi-Fi activa, nuestros dispositivos se encuentran en constante búsqueda de las redes conocidas.

Básicamente, son las últimas redes a las cuales nos conectamos. Con esta información un atacante podría llegar a obtener nuestras “huellas”, ya que sabría exactamente qué redes usamos con frecuencia. Y al disponer de los datos obtenidos por Wardriving podría llegar a cruzar la información y saber nuestro recorrido cotidiano.

Suplantación

Existen algunos dispositivos que son capaces de “decir que sí” a todas las peticiones de nuestros dispositivos Wi-Fi (teléfonos, tablets, notebooks). Por ejemplo, como comentamos anteriormente, al mantener la conexión Wi-Fi encendida y no estar conectados a una red específica, en todo momento nuestros dispositivos se encuentran a la búsqueda de las redes que en algún momento se conectaron. Este tipo de dispositivos tienen la habilidad de engañar a nuestros móviles para hacerles creer que se encuentran conectados a “casa”, “trabajo”, etc. De esta manera se puede interceptar y obtener la información transmitida.

Access Points falsos

Además de las amenazas antes nombradas, existen muchos usuarios que van por la ciudad en busca de una red Wi-Fi “abierta”, sobre todo cuando las conexiones de datos móviles (3G, 4G) no funcionan muy bien que digamos (los atacantes agradecen esto a los proveedores). Esto implica un riesgo muy alto, ya que existen Access Points falsos a la espera de alguna víctima que intente conectarse a ellos.

Un ejemplo muy claro podría ser un atacante que se encuentra cerca de una conexión abierta y concurrida (McDonald’s, Starbucks). Aprovechando esto, crearía un nuevo punto de acceso con un nombre similar al original (McDonald’s Free, Starbucks Coffee). A partir de allí los datos de los usuarios que se conecten a esa red podrán ser interceptados por el atacante (ver más abajo: “Man In The Middle”).

Man in The Middle

Como habíamos mencionado anteriormente, una vez que un atacante accede a una red, sis u intención fuese “husmear” o robar información, puede llegar a lanzar un tipo de ataque conocido como Man In The Middle (MiTM). Para ello generalmente se elige entre una o varias víctimas (servidores, estaciones de trabajo, smartphones, tablets, laptops, etc.) y se comienza a interceptar las comunicaciones que las mismas realicen entre sí o de cara a Internet. Así se pueden obtener datos sensibles de los distintos sitios y servicios que utilicen las víctimas. Por ejemplo: home banking, webmail, redes sociales, archivos transferidos, conversaciones, etc.

Deauthentication Attack

Este tipo de ataque puede traernos dolores de cabeza, ya que su objetivo es desconectar a los clientes del punto de acceso. Si bien generalmente se usa como una forma de conseguir el “handshake” (una secuencia de mensajes que se envían entre el punto de acceso inalámbrico y el dispositivo que se conecta a él), puede usarse como forma de potenciar un ataque de suplantación. En la suplantación, el atacante crea un AP (Access Point) falso con el mismo nombre que una red válida y luego envía una serie de paquetes de desasociación para que los dispositivos se desconecten de la red válida y se conecten a la red del atacante. El Deauthentication Attac también puede ser utilizado para generar un ataque de denegación de servicio (DoS Denial of Service), ya que es posible dejar sin conexión a uno o varios dispositivos por un buen tiempo.

Dispositivos y herramientas de seguridad

Existen distintos dispositivos y herramientas que, si bien fueron concebidas para ser utilizadas por profesionales en seguridad IT, pueden caer en manos de personas con fines poco éticos para realizar alguno de los ataques antes mencionados (escucha de redes, suplantación, AP falso, Man In The Middle, etc.), entre otros.

Dichos dispositivos, al ser pequeños y alimentados por baterías, pueden ocultarse. Las herramientas de soft son aún más furtivas, ya que no podemos saber qué programa está utilizando tal o cual persona. De hecho hasta existen teléfonos y tablets (adaptados para este tipo de tareas) que poseen distintas herramientas de auditoría preinstaladas.

Protocolos de seguridad

Cuando comenzó a popularizarse el uso de redes Wi-Fi en hogares y oficinas, la mayoría encontraban abiertas (sin contraseña). Esto permitía a cualquier persona conectarse libremente y por consecuencia no sólo obtenía el beneficio de usar una conexión sin pagar, sino que también (dependiendo de sus intenciones) podía llegar a obtener distintos tipos de información (incluso privada o confidencial) de los dispositivos que se encontraban allí conectados. Hoy, para protegernos de esto dispone de algunas medidas de seguridad que se basan en diferentes protocolos y algoritmos de cifrado. En la práctica podemos apreciarlos cuando las redes nos solicitan una contraseña para poder conectarnos a ellas.

–WEP (Wired Equivalent Protection, o Protección equivalente a una red cableada) fue uno de los primeros protocolos utilizados. Su adopción comenzó a decaer al descubrirse vulnerabilidades. Su seguridad se podía romper en muy poco tiempo, lo que en la práctica permitía acceder a la red sin necesidad de conocer la contraseña.

–WPA (Wi-Fi Protected Access o Acceso Wi-Fi Protegido). Fue creado para subsanar las deficiencias de WEP. Ciertamente, es más seguro que su antecesor, pero también se le descubrieron distintas vulnerabilidades.

–WPA2. Este es un protocolo totalmente nuevo en comparación con sus antecesores. Hoy se considera que WPA2 es tan seguro como la contraseña que le configuremos, ya que es posible “romper” WPA2 con un buen poder de cómputo (de ello dependerá el tiempo que se tarde en hacerlo y algo de suerte, ya que los ataques tratan de “adivinar” la contraseña mediante técnicas de fuerza bruta (probando todas las combinaciones de caracteres posibles) o diccionario (probando con una lista de palabras predefinidas).

–WPS (Wi-Fi Protected Setup). Se creó como una forma de agilizar la conexión y mejorar la seguridad de las redes que utilizan el protocolo WPA2. Esta norma implementa diversos mecanismos para facilitar la configuración, pero prontamente se descubrió una vulnerabilidad que permite “pasar por arriba” la autenticación. Por eso ya no se recomienda utilizar WPS, porque es una posibilidad de debilitar la seguridad que provee WPA2.

Proteger nuestras redes

-Utilizar el protocolo WPA2 con algoritmo de cifrado AES.

-Utilizar contraseñas robustas y cambiarlas periódicamente.

-Al adquirir un punto de acceso inalámbrico nuevo es recomendable cambiar el nombre y la contraseña de la red Wi-Fi que trae por defecto.

-Habilitar la restricción por MAC Address. De esta manera podemos indicar qué dispositivos físicos están autorizados a conectarse a nuestra red.

-Si no vamos a utilizar la red Wi-Fi por mucho tiempo (vacaciones, viajes) es recomendable apagar el punto de acceso inalámbrico.

-Chequear periódicamente el registro de conexiones en búsqueda de accesos sospechosos.

Proteger nuestros dispositivos

-Mantener las conexiones inalámbricas desactivadas y sólo activarlas cuando sea necesario.

-Evitar el uso de redes públicas. En caso de utilizarlas, evitar el uso de sitios que contengan información sensible (mail, home banking, etc.).

-Observar que aparezcan las siglas “https” en la barra de direcciones de nuestro navegador cuando ingresemos a sitios que nos soliciten credenciales (usuario y contraseña). Generalmente, este tipo de sitios nos deberían proveer de una conexión segura y certificados válidos. Por ejemplo: https://www.facebook.com.

-Activar el doble factor de autenticación en los servicios que así lo permitan (Google Authenticator, SMS, etc.).

-Utilizar un servicio de VPN (Virtual Private Network o Red Privada Virtual) cuando nos conectamos desde redes “poco confiables” (bares, aeropuertos).

Conclusiones

Seguramente en los próximos artículos profundizaremos aún más sobre estos temas. Como se habrán dado cuenta, dan para mucho. De todas maneras y como pudimos apreciar, es conveniente tomar algunos recaudos, ya sea en el uso de nuestros teléfonos, tablets o computadoras. También requiere especial atención la configuración de nuestro router Wi-Fi o Access Point.

El phishing es muy utilizado para cometer distintos tipos de fraudes y delitos. Si bien su uso data desde hace ya un tiempo, sus técnicas fueron evolucionando, haciendo que sea cada vez más difícil poder identificar estos engaños, causando así un sinfín de perjuicios a sus víctimas. El objetivo de este artículo es echar un poco de luz sobre este tema y concientizar así a los lectores.

¡No seas pescado!

Podemos definir al phishing como uno de los métodos comúnmente utilizados dentro de la Ingeniería Social, el cual tiene como objetivo engañar a las víctimas a través de la suplantación de identidad de una empresa o persona. El término hace referencia a “fishing” (pesca), porque –justamente- se trata de “pescar” víctimas digitales mediante diferentes métodos.

10 consejos para prevenir ataques

Hacemos un recorrido por diferentes acciones, actitudes y tácticas que podemos emplear para enfrentar el problema del phishing, gracias a un decálogo recomendado por Panda Security (www.pandasecurity.com).

1. Aprender a identificar los correos sospechosos. Existen algunos aspectos que, inequívocamente, identifican a los ataques de phishing a través de correo electrónico.

-Utilizan nombres y adoptan la imagen de empresas reales.

-Llevan como remitente el nombre de la empresa o el de un empleado real de la empresa.

-Incluyen webs que visualmente son iguales a las de empresas reales.

-Como gancho utilizan regalos o la pérdida de la propia cuenta existente.

2. Verificar con la fuente de información de los correos entrantes. Nuestro banco nunca nos pedirá que le enviemos claves o datos personales por correo. Nunca respondamos a este tipo de preguntas. Y si tenemos una mínima duda, debemos llamar directamente al banco para aclararlo.

3. Nunca entremos a la web de nuestro banco pulsando links incluidos en emails. No hagamos clic en los hipervínculos o enlaces que se adjunten en el correo, ya que de forma oculta nos podrían dirigir a una web fraudulenta. Escribamos directamente la dirección URL en el navegador o utilicemos marcadores/favoritos si queremos ir más rápido.

4. Reforzar la seguridad de la computadora. El sentido común y la prudencia son tan indispensables como mantener nuestro equipo protegido con un buen antivirus que bloquee este tipo de ataques. Además, siempre debemos tener actualizado nuestro sistema operativo y navegadores web.

5. Introduzcamos nuestros datos confidenciales únicamente en webs seguras. Las webs “seguras” han de empezar por https:// y debe aparecer en nuestro navegador el icono de un pequeño candado cerrado.

6. Revisar nuestras cuentas. Nunca está de más revisar nuestras cuentas bancarias de forma periódica, para estar al tanto de cualquier irregularidad en las transacciones online.

7. No solo ataca la banca online. La mayor parte de ataques de phishing van contra entidades bancarias, pero en realidad pueden utilizar cualquier otra web popular del momento como gancho para robar datos personales: Ebay, Facebook, PayPal, etc.

8. El phishing sabe idiomas. El phishing no conoce fronteras y pueden llegarnos ataques en cualquier idioma. Por norma general están mal escritos o traducidos, así que este puede ser otro indicador de que algo no va bien. Si nunca entramos a la web en inglés de nuestro banco, ¿por qué ahora debe llegarte un comunicado suyo en este idioma?

9. Ser prudente y no arriesgarse. La mejor forma de acertar siempre es rechazar de forma sistemática cualquier correo electrónico o comunicado que incida en que facilitemos datos confidenciales. Eliminemos este tipo de correos y llamemos a nuestra entidad bancaria para aclarar cualquier duda.

10. Informarse sobre malware. Mantenernos al día sobre los últimos ataques de malware y consejos para evitar cualquier peligro en la red.

El delito y los objetivos

Uno de los medios más utilizados para contactar a las víctimas es el mail. De esta manera se busca engañarlas para que estas crean que están siendo contactadas por una persona o empresa verdadera. Por ejemplo “su banco”, pero en realidad las personas estarán en contacto con el ciberdelincuente. Éste, a través de distintas artimañas, buscará obtener claves de acceso, datos personales, datos de tarjetas de créditos, etc.

Si bien la mayor parte de los objetivos son usuarios de bancos, redes sociales o cuentas de mail, existen otros tipos de phishing donde se juega con los sentimientos y la avaricia, entre otras cosas.

Un caso típico es el del “Príncipe” o “Princesa” de África a quien se le han muerto sus padres, dejándole una herencia millonaria. Pero debido a restricciones de su país este personaje no puede hacerse con el dinero y es allí donde nos solicitan nuestra “ayuda”… y comienza la estafa.

Para poder graficarlo mejor nos gustaría compartir dos casos que hemos estudiado.

Caso 1

El Banco de Chile

No hace mucho tiempo nos llegó un correo proveniente del “Banco de Chile”, donde nos sugerían mantener la “seguridad” de nuestros datos ingresando al home banking. Para ello se nos ofrecía un link, el cual nos llevaría al sitio “sin escalas”. Una vez allí deberíamos ingresar nuestro usuario y contraseña y luego los datos que nuestro “digipass” (token) nos arrojara. Este mail nos llamó la atención por dos cuestiones: por un lado no teníamos cuenta en ese banco. Por otro, el mail llegó correctamente a nuestra bandeja de entrada y no a la de spam, como suele suceder en estos casos. Entonces decidimos estudiarlo. Aquí veremos los detalles.

Dominio emisor

Una de las primeras tareas fue investigar cómo un mail de este tipo entró sin problemas a nuestra bandeja de entrada. Para ello chequeamos el dominio del emisor y nos encontramos con que el mail había sido enviado desde una empresa irlandesa, la cual poseía en ese momento una vulnerabilidad en su servidor de correo. Esto había sido aprovechado por el ciberdelincuente para tomar control y así enviar mails desde un dominio válido.

Link al sitio del falso Banco

Verificamos el destino del link donde se nos invitaba a hacer clic. Pudimos observar que nos dirigía a un sitio de otra empresa, más precisamente a un archivo con el nombre xx.php, el cual casi de inmediato nos llevaba a otro dominio en donde se encontraba alojado el sitio falso.

Generalmente los ciberdelincuentes vulneran distintos sitios webs antes de comenzar con su campaña de phishing, para poder alojar allí los sitios falsos y de esta manera dificultar la tarea de identificarlos en caso que se inicie una investigación. Pero al parecer este no era el caso, ya que como detallamos anteriormente el primer dominio donde apuntaba el link no contenía el sitio en falso en sí, sino solo un archivo que nos llevaría a otro dominio.

Fue así que decidimos visitar el primer sitio (donde se encontraba alojado el archivo en cuestión) y pudimos comprobar que había sido vulnerado aprovechando para ello la existencia de un plugin de WordPress llamado MailPoet (wysija-newsletter). Este plugin se encontraba desactualizado y gracias a esto el ciberdelincuente había podido alojar allí su archivo.

Una vez aclarado lo anterior procedimos a visitar el segundo sitio donde sí se encontraba alojado el sitio del falso banco bajo el subdominio “bancodechile”. Pensando que se trataba de otro sitio vulnerado visitamos el dominio y nos encontramos con la sorpresa que no existía ninguna página activa en él. Esto nos indicaba que era muy probable que este dominio hubiera sido adquirido por el ciberdelincuente. Esta actividad no es muy habitual en este tipo de ataques, ya que para poder registrar un dominio generalmente se requieren distintos tipos de datos, como también abonar con algún medio de pago desde el cual se pueden llegar a obtener datos del registrante.

Revisamos a nombre de quién se encontraba registrado el dominio para poder saber si realmente era como suponíamos. Resultó que eran datos falsos y la empresa registrante otorgaba dominios casi sin requisitos.

Reacción inmediata del hosting

Algo positivo en todo esto fue que en muy pocas horas el sitio dejó de estar activo, ya que debido a distintas denuncias el hosting que lo alojaba procedió a suspenderlo de forma inmediata y luego a eliminarlo.

Caso 2

La Mujer Sola

En el spam de una cuenta de correo vimos el mensaje de mujer francesa de 70 años de edad, llamada Marie. Ella nos comentaba que padecía una enfermedad terminal y había decidido donar una suma importante de dinero para realizar beneficencia, pero al no tener familia a quien dejarle esa tarea, nos había seleccionado a nosotros.

A investigar

Pusimos manos a la obra contestándole desde una cuenta de mail con un perfil ficticio que recién habíamos creado.

Ella nos comentó que nos había elegido tras haber realizado investigaciones en Internet y parecerle que éramos buenas personas (recordemos que nuestro perfil no tenía más de 24 horas). A esto le agregaba una copia de su pasaporte para que pudiéramos comprobar que realmente no se trataba de un engaño. Inmediatamente le contestamos poniéndonos a disposición. Horas después nos indicaba que a partir de ese momento deberíamos tratar con su notario para realizar el acto de donación.

El notario iba a necesitar de nosotros distintos datos y una copia de nuestro documento o pasaporte. Le contestamos que no solíamos enviar la copia de nuestro documento debido a un problema que habíamos tenido anteriormente. Pero que no teníamos problema con el resto de los datos y que quizás le servía nuestro acceso a algo llamado Home Banking, que no sabíamos cómo se usaba (contra Ingeniería Social).

El notario acusó recibo de toda la documentación (parece que no hizo falta el pasaporte), adjuntando un Acto de Donación para que firmemos y se la enviemos. Ya con este paso cumplido y el envío de 95 Euros en concepto de honorarios y distintos gastos se nos giraría el dinero.

Si bien ya se habrán dado cuenta por donde venía el engaño, repasemos algunos puntos importantes.

Cuando recibimos la copia del pasaporte comprobamos si el archivo no contenía algún tipo de malware. Una vez realizado este paso y ya estando seguros que era un archivo “inofensivo” procedimos a realizar una búsqueda por imágenes en Google. Así encontramos un pasaporte de idénticas características pero con otro nombre y apellido.

Acto de Donación

Cuando el “Notario” nos confirmó que estaba todo listo para realizar la transferencia nos adjuntó un archivo PDF con el título “Acto de Donación”, donde podíamos leer claramente cada detalle de la donación que nos estarían por realizar. Como primera medida y tal como lo hicimos con la copia del pasaporte, procedimos a verificar que el archivo no contuviera malware. Una vez seguros de esto pudimos apreciar que la firma de la Sra. Marie había sido copiada y cortada del pasaporte.

Transferencia a través de Western Union

Al pie del mail que contenía el Acto de Donación se nos solicitó dinero (95 Euros) en concepto de honorarios del Secretario, gastos de legalización del Acto de Donación, etc. Este detalle no hubiera levantado tantas sospechas sino no nos hubieran pedido que usemos los servicios de Western Union para realizar este pago. Lo interesante es que el pago debía hacerse a nombre del “contable de su gabinete”, quien seguramente era otra víctima a la cual se la estaba engañando para que hiciese de intermediario y así los delincuentes poder hacerse del efectivo sin dejar registros de sus datos.

Seguramente hoy en día la mayoría de nosotros poseemos un teléfono inteligente, participamos en al menos una o más redes sociales y utilizamos algunos otros servicios online. También nos animaríamos a decir que a la mayoría de nosotros nos da pereza leer los “famosos” términos y condiciones cuando nos inscribimos en algún servicio, rellenamos varios formularios sin saber a dónde van a parar nuestros datos y no le prestamos mucha atención a los permisos que las aplicaciones móviles nos solicitan. El objetivo de este artículo es que podamos comprender cuán expuestos podemos estar si no tomamos al menos algunas medidas para protegernos.

Regalando nuestra información

¿Estamos realmente exponiendo nuestra información privada?

Aquí conocemos los detalles.

Metadatos

Es muy común compartir información con nuestros amigos, compañeros de trabajo o clientes. Si bien esta acción (con el debido cuidado) no representa una vulnerabilidad en sí, los datos que se generan y asocian a casi la mayor parte de los documentos que creamos (.doc, .xls, .ppt, .pdf, .jpg, .png, etc.) sí lo son.

Estos datos se conocen como metadatos (datos de los datos) y pueden llegar a ser usados en nuestra contra. Si no se controlan correctamente podrían representar una importante fuga de información, tanto para nuestra empresa como para nuestra vida privada.

Veamos a continuación qué datos se podrían llegar a obtener tan solo con leer los metadatos de nuestros archivos:

-Nombre de usuario.

-Sistema operativo.

-Software con el que se creó el documento.

-Ubicación dentro del disco duro.

-Modificaciones.

-Posición geográfica.

-Datos específicos de la cámara (en caso que el archivo fuera una foto).

Para evitar esto podemos llevar a cabo diferentes acciones. Entre ellas, configurar la herramienta que utilicemos (siempre y cuando disponga de esta opción) para que no grabe los metadatos.

También podemos utilizar herramientas para el análisis y borrado de metadatos, como puede ser Exiftool (http://sourceforge.net/projects/exiftool).

Otra opción es contratar servicios externos que controlen y nos ayuden a mantener nuestros archivos sin metadatos, como puede ser Metashield Protector (www.redusers.com/u/51y).

Registro en portales

Es verdad que día a día diferentes sitios están simplificando mucho el proceso de registro (Sign Up), ya sea por la poca cantidad de datos que nos solicitan en comparación a unos años atrás, como por la facilidad que ofrecen muchos al integrar nuestras cuentas de Facebook, Twitter, Gmail, etc. Sin embargo, este sigue siendo un proceso de cierta peligrosidad para nuestra información. Lo es porque, simplemente, estamos brindando nuestros datos personales a cambio de un acceso. En principio parece algo normal, porque estamos diciendo “quiénes somos” para entrar en un lugar (un foro, por ejemplo). No obstante, esto puede tener implicancias más amplias. Pensemos si los datos que se solicitan como obligatorios son realmente lógicos: cuando se empieza a solicitar información personal de manera innecesaria (documento de identidad, dirección postal, etc.) es para sospechar y, como recomendación, directamente eviten el registro.

Ya sea que nos demos de alta ingresando pocos datos o que lo hagamos con algunas de nuestras cuentas preexistentes, siempre es aconsejable prestar mucha atención. Tanto a la “letra chica” como a los permisos que nos soliciten.

Registro en eventos públicos

No solo corremos el riesgo que nuestra información pueda quedar expuesta públicamente si rellenamos formularios online. Esto mismo nos puede suceder cuando nos inscribimos en algún evento en forma presencial, como una promoción de una bebida o un electrodoméstico en un hipermercado. Muchas veces las bases y condiciones especifican que nuestros datos podrán ser compartidos con otras marcas y no solo con la marca en la cual nos registramos. Esta práctica es muy común entre algunas empresas, ya que de esta manera colaboran para aumentar sus bases de datos. Así es como muchas veces nos llega publicidad sobre algún producto que quizás no nos interesa. Pero el agravante se da cuando alguna marca o empresa que realiza estas promociones no cuida correctamente sus activos información y, en consecuencia, quedan expuestos nuestros datos.

Recomendaciones

Ahora ya sabemos que antes de aceptar cualquier política nos conviene leerla. Si ingresamos con algunas de nuestras cuentas preexistentes (Facebook, Twitter, Google) debemos prestar atención a los permisos que nos solicita, o por lo menos saber a qué estamos expuestos.

Recordemos también que al otorgar nuestros datos en algún evento o promoción también podemos llegar a correr los mismos riesgos. Es por ello que lo conveniente (en caso que queramos participar sí o sí del evento o promoción en cuestión) es no usar nuestro correo corporativo para evitar de esa manera poner en riesgo a nuestra empresa, como también rellenar únicamente los campos obligatorios.

Sorteando mi mail corporativo

Tiempo atrás nos tocó realizar una evaluación de seguridad a una empresa. Al comenzar con una de las primeras etapas (Information Gathering), nos sorpendimos al encontrar casi inmediatamente que el mail perteneciente a uno de los empleados había sido utilizado (por el mismo empleado) para registrarse en un sorteo que se estaba realizando en un supermercado. Junto a este mail se encontraban datos como: nombre y apellido, DNI, domicilio, teléfono (fijo y celular). Si tuvieron la oportunidad de leer los tres artículos que publicamos sobre Ingeniería Social, ya se habrán dado cuenta que esta información es oro en polvo para los ciberdelincuentes.

Si se preguntan cómo obtuvimos estos datos… bueno, no nos costó mucho esfuerzo. Realizamos una búsqueda avanzada en Google donde nos encontramos con un archivo de texto plano expuesto públicamente, dentro de un sitio perteneciente a una empresa que se dedica a realizar diferentes eventos y promociones.