INFOTECHNO

Bienvenidos a INFOTECHNO!! Un sitio de tecnologia dedicado a informar.

Cuando a las buenas empresas les sucede lo peor

Posted by infotechno en mayo 2, 2007

Cuando a las buenas empresas les sucede lo peor

Cada día su empresa puede estar en peligro. Virus, piratas informáticos e incluso errores de usuario accidentales son amenazas graves con consecuencias serias. Las siguientes historias de desastres ilustran estas amenazas con ejemplos reales de actividades malintencionadas y sus resultados. En las historias se subraya la importancia de tomar medidas preventivas, ya que todas las amenazas se pueden minimizar e incluso, evitar. Consulte las cuestiones básicas acerca de la seguridad de los equipos de las pequeñas empresas para averiguar cómo hacerlo. Si necesita más información acerca del funcionamiento de Internet y el modo en que los piratas actúan, consulte “Introducción a la piratería criminal, virus y actividades malintencionadas

Virus
En abril de 2003, los usuarios de Internet de todo el mundo comenzaron a recibir de amigos y familiares, correos electrónicos con contenido pornográfico. A otros se les canceló su acceso a Internet porque se les acusó de enviar correo electrónico no deseado. Otros usuarios descubrieron incluso que se habían suscrito a boletines que no deseaban. Evidentemente, había pasado algo extraño.

A medida que las acusaciones empezaron a circular por Internet, los usuarios se dieron cuenta de que el responsable era un nuevo virus denominado “Klez”. El virus Klez utilizaba varios trucos que le ayudaban a difundirse rápidamente. En primer lugar, engañaba a los usuarios haciéndoles pensar que había usuarios reales que enviaban correos electrónicos infectados utilizando las libretas de direcciones de los usuarios infectados. Este truco tuvo el efecto agregado de bloquear los sistemas de correo electrónico con advertencias innecesarias, respuestas y recriminaciones. A continuación, el virus tentaba a los usuarios a abrir los mensajes infectados con líneas de asunto engañosas como “un sitio Web muy divertido” o “no se ha podido entregar el correo”.

Y por si no fuera suficiente con este virus, las versiones posteriores del mismo convirtieron los archivos de los usuarios en el vehículo para transmitir la infección. Klez recorría los discos duros de un equipo infectado, elegía un posible documento, lo infectaba y después lo reenviaba a otros usuarios por correo electrónico. En muchos casos, los archivos privados de los usuarios se hicieron así del dominio público.

Klez aprovechó un problema en el software de correo electrónico de Microsoft Outlook que se había descubierto y corregido años antes con actualizaciones gratuitas y descargables de Microsoft. Los desarrolladores de software antivirus se dieron cuenta y actualizaron su software de detección en pocas horas, aunque el virus arrasó durante meses. Es decir, este virus destructivo y agresivo era evitable. Klez fue uno de los virus más destructivos de 2003, pero sólo es uno de los miles que aparecen cada año.

Falsificación de correo electrónico y usurpación de la identidad
“Lo admito. Me gusta mucho eBay. Lo he estado utilizando durante años como punto de venta para algunas de mis mercancías más interesantes. Recientemente recibí un mensaje que parecía de eBay en el que se me informaba de que estaban a punto de cancelar mi servicio. Hice clic en el vínculo del correo electrónico, obtuve acceso a lo que creía que era un sitio de eBay, facilité información personal y la envié. No fue sino hasta más tarde que me percaté de que había algo raro. Fui al sitio Web de eBay y me di cuenta de que me habían engañado para que enviara mi información a desconocidos.”

El envío de correo electrónico que parece proceder de otra persona es un viejo truco que se denomina falsificación de correo electrónico. En la mayoría de los casos, la falsificación de correo electrónico se utiliza para que se abra un mensaje de correo no deseado porque se cree que procede de alguien legítimo, una actividad molesta pero relativamente inofensiva. Un tipo distinto de falsificación de correo electrónico, como el ejemplo descrito anteriormente, se denomina “phishing” (juego fonético que en inglés significa “pescar”) y que es más peligroso. Normalmente, un pirata informático envía un mensaje de correo electrónico que se parece mucho a uno procedente de un remitente oficial (como eBay o Microsoft). Los vínculos del mensaje de correo electrónico llevan a un sitio Web que también se parece al real. Sin embargo, el sitio es pura fachada y el objetivo del timo es engañarle para que proporcione información personal, en unas ocasiones para listas de correo no deseado y en otras para que los delincuentes puedan robarle su información de cuenta o incluso su identidad.

Equipos robados
“Estaba tramitando mi tarjeta de embarque en el aeropuerto. Tenía el maletín del equipo portátil a los pies. Creía que estaba seguro, pero no me di cuenta cuando me lo robaron”. De un equipo robado se puede obtener hasta el 50 por ciento de su precio de venta al público. No es de extrañar que se roben decenas de miles de portátiles cada año en Estados Unidos.

Esta historia se repite miles de veces cada año y no termina cuando se reemplaza el equipo robado. Si pierde un equipo portátil normalmente pierde información vital e, incluso, confidencial.

Nicholas Negroponte, fundador del Massachusetts Institute of Technology (MIT) Media Lab, iba a entrar en un edificio seguro cuando un guardia de seguridad le pidió que declarara el valor del equipo portátil que llevaba. Negroponte contestó: “Aproximadamente de uno a dos millones de dólares”. Aunque el valor de sustitución del equipo en sí fuera únicamente de un par de miles de dólares, el valor de la información que contenía era mucho mayor.

Dado el número de equipos que se roban cada año, sorprende que muy pocos usuarios se preocupen de cifrar sus datos o de utilizar contraseñas seguras que impidan el acceso no autorizado. También sorprende que muy pocas pequeñas empresas capaciten a su personal en medidas de seguridad básicas.

Búsqueda de redes inalámbricas (war driving)
Un buscador de redes inalámbricas (war driver en inglés) es un nuevo tipo de pirata informático. Cualquiera con un equipo portátil, una tarjeta de red inalámbrica barata, software descargado gratuitamente y una antena fabricada con una lata de patatas fritas puede atacar redes inalámbricas de hogares y empresas a cientos de metros de distancia.

La mayoría de las redes inalámbricas son completamente inseguras. Además, muchos fabricantes de dispositivos inalámbricos dejan desactivado el cifrado de forma predeterminada. Los usuarios tienden a no habilitar el cifrado inalámbrico ni a adoptar otras medidas de seguridad agregadas, por lo que resulta una tarea bastante sencilla detectar y aprovechar la conexión. La búsqueda de redes inalámbricas es algo más que una broma pesada: algunos intrusos buscan el acceso a los archivos y dañar los sistemas. Afortunadamente, proteger una red inalámbrica es relativamente fácil y la mayoría de los buscadores de redes inalámbricas se pueden disuadir o repeler con una serie de pasos simples.

Información confidencial
James trabajaba en una empresa de publicidad de éxito. Su equipo tuvo un problema y llamó al soporte técnico. El técnico llegó rápidamente, inició la sesión en la red con una contraseña de administrador y solucionó el problema. Con las prisas de ir al siguiente trabajo, el técnico se marchó en cuanto terminó. Sin embargo, no cerró la sesión del sistema. James sintió curiosidad y decidió echar un vistazo. Rápidamente encontró una hoja de cálculo con la información de los sueldos de todos sus compañeros de trabajo. Pensó que debía solicitar un aumento de sueldo considerable.

Afortunadamente para su empleador, James sólo quería un aumento. Imagine qué habría sucedido si hubiera sido un empleado contrariado que buscara venganza. ¿Le gustaría que todos los empleados supieran cuánto gana o tuvieran acceso a la información de las nóminas de toda la compañía? ¿Valdría la pena esa información para sus competidores?

La tecnología puede ayudarle a evitar casos como éste, pero sólo es parte de la respuesta. El mejor hardware y software no son suficientes si no dispone de buenas políticas, procedimientos y capacitación.

Piratería criminal
Jill, la administradora de un pequeño sitio Web comercial que vende software nicho, estaba satisfecha con su nuevo sitio, que suponía una gran mejora con respecto al anterior. La compañía ahora tenía su propio servidor Web y una conexión de banda ancha. Ya no tenían que pagar a nadie para alojar el sitio. El viernes por la noche, Jill se fue contenta a casa.

El lunes por la mañana, cuando Jill volvió al trabajo, fue otra historia. Durante el fin de semana, los piratas informáticos habían obtenido acceso, habían eliminado el sitio que había diseñado con tanto esmero y lo habían reemplazado por pornografía. Además, cientos de miles de personas habían estado descargando ávidamente imágenes del sitio durante el fin de semana. El uso de ancho de banda había llegado al límite máximo y la compañía tenía que hacerse cargo de una factura de miles de dólares. El jefe de Jill ya había empezado a recibir mensajes de correo electrónico de los clientes quejándose del sitio.

Un desarrollador de software antivirus informó que a principios de este año los servidores corporativos habían recibido un promedio de 30 ataques por semana. La mayoría de estos ataques proceden de piratas aficionados dedicados, denominados “chicos de la secuencia de comandos” (script kiddies en inglés), que, sin demasiados conocimientos, utilizan herramientas de libre disposición en Internet para sondear debilidades en las redes. Estas herramientas exploran Internet aleatoriamente en búsqueda de sistemas vulnerables y, a continuación, aprovechan cualquier debilidad que encuentran. Con dichas herramientas, una pequeña empresa anónima está potencialmente en mayor situación de riesgo que una multinacional muy conocida.

Muchas de estas herramientas aprovechan vulnerabilidades conocidas que se pueden actualizar fácilmente. Por ejemplo, en 2001 un grupo de estos chicos de la secuencia de comandos, autodenominados Sm0ked Crew, utilizó una vulnerabilidad conocida y ya actualizada del software de servidor Web para desfigurar los sitios Web pertenecientes a Intel, Gateway, Disney y The New York Times. Mucho antes de que se produjera el ataque ya había disponible una actualización para corregir la vulnerabilidad que los administradores simplemente no habían instalado. La adopción de precauciones lógicas en general y el uso de software actualizado en particular, deberían haber bastado para prevenir el ataque fácilmente.

Si las empresas no adoptan medidas de seguridad básicas para protegerse de adolescentes con herramientas de amplia difusión, ¿cómo podrán defenderse de piratas informáticos experimentados con intenciones maliciosas?

Copias de seguridad
Kevin era el director administrativo de un despacho de arquitectos en expansión. Con 30 empleados y una serie de clientes multinacionales, la compañía confiaba en su sistema de correo electrónico para mantener el contacto. En concreto, los empleados utilizaban el correo electrónico para efectuar el seguimiento de las solicitudes de cambios de los clientes, por lo que constituía una parte vital del negocio de la compañía. Una tarde, el servidor de correo electrónico tuvo un error de hardware desastroso y los datos se dañaron.

“No pasa nada”, pensó Kevin, “nuestro técnico de soporte tiene una copia de seguridad; así que sólo tenemos que restaurarla”. De hecho, la compañía había elaborado una biblioteca de cintas y, diligentemente, conservaba copias de seguridad fundamentales fuera de la oficina. Después de un día de trabajo intentando restaurar el sistema de correo electrónico a partir de las cintas de copia de seguridad, se dieron cuenta de que los datos no se habían copiado correctamente. Nunca habían advertido el problema y nunca habían probado si la restauración de datos funcionaba correctamente. No disponían de ningún tipo de plan de recuperación de desastres.

La seguridad de la información no sólo consiste en disponer del hardware y software adecuados, sino también en establecer los procesos correctos y en concentrar los recursos en los sistemas fundamentales.

Anuncios

Sorry, the comment form is closed at this time.

 
A %d blogueros les gusta esto: