Hackers podrían explotar esta información
En seguridad informática se emplea con frecuencia el término “rastro digital”. Esto se refiere a todos los registros dejados por un individuo o una empresa a través de la red. ¿Alguna vez ha cargado un currículum en un sitio? ¿Publicado sus fotos de cumpleaños a Facebook? ¿Alguna vez ha publicado un artículo o elaborado un nuevo sitio web? Cada una de estas acciones equivale a dejar un rastro digital.
Para las empresas, la tarea de monitorear y rastrear sus rastros digitales se vuelve aún más compleja. Además, una compañía es la suma de sus empleados, y cada trabajador tiene su propio registro digital. Usar estas migas digitales y conectar los puntos entre todos estos detalles disponibles públicamente puede ampliar significativamente la superficie de ataque de una empresa. Así es cómo los hackers utilizan datos de empleados disponibles públicamente para acceder ilegalmente a los sistemas de la compañía.
¿Qué son los rastros digitales?
La cantidad de acciones digitales públicas en línea por persona puede llegar a millones. Y, dependiendo de la edad del individuo, estas acciones digitales podrían haberse realizado hace años, cuando la concientización sobre seguridad informática y cursos de protección de datos personales era prácticamente inexistente. Considere la siguiente información:
- 45% de las personas revela al público su fecha de nacimiento
- 29% comparte su número en Internet
- 20% comparte su domicilio
- 14% menciona el nombre de soltera de su madre
- 7% comparte en línea su número de seguro social
Cada uno de estos detalles por sí mismos presenta algún riesgo de seguridad, pero combinar información sobre un individuo, como su fecha de nacimiento, apellido de soltera de la madre, domicilio y referencias de esta información cruzadas con numerosas aplicaciones y servicios que ofrecen datos públicos individuales en Internet permite crear un perfil muy preciso de esa persona. Este perfil, combinado con recursos disponibles en dark web, podría ayudar a un hacker a hacerse pasar por una persona y aprovecharse de su información.
Por ejemplo, conocer el segundo nombre, el año de nacimiento y el lugar de nacimiento de una persona sería suficiente para ubicar y comprar su número de seguridad social en la dark web. Este hacker ahora puede acceder a los sistemas corporativos y las divisiones que solicitan un número de seguridad social para su identificación.
Gestión de rastros digitales de las organizaciones
Así como las personas deben ser conscientes de la gestión de sus rastros digitales, las empresas necesitan procesos y herramientas para administrar los suyos. Una gran empresa cuenta con numerosos sitios web, cuentas de redes sociales, servidores, rangos de IP, ASN, bases de datos, repositorios, servidores de almacenamiento en la nube y otros activos orientados a Internet. Generalmente hay muchos más activos que la empresa desconoce, como sitios y servicios ad-hoc, entornos temporales de control de calidad (que a menudo permanecen permanentes) y todo tipo de servicios orientados a Internet, que probablemente fueron creados por antiguos empleados, pero ahora están olvidados.
Como se menciona anteriormente, una compañía es la suma de sus empleados. Aunque algunas personas pueden tratar de separar sus “vidas digitales” personales y profesionales, toda esta información contribuye a sus registros digitales y, por lo tanto, puede aprovecharse como un vector de ataque contra la empresa.
Piense en el siguiente escenario: Un hacker usa LinkedIn para identificar a los desarrolladores de una compañía. La investigación adicional sobre estos desarrolladores revela las direcciones de correo electrónico de su empresa (a través de herramientas de SEO, o incluso a través de un artículo de código abierto). Esto ayuda al hacker a conocer la convención de nomenclatura de los sistemas de correo electrónico de la empresa (por ejemplo, nombre + apellido, primera letra del nombre + apellido@ejemplo.com, etc).
La contraseña se puede descubrir de varias maneras, por ejemplo, a través de la fuerza bruta, investigando credenciales filtradas en dark web (si el hacker tiene mucha suerte) u otras contraseñas filtradas de ese empleado, que es probable que reutilicen para el servidor de la empresa. Si ninguna de esas tácticas funciona, el hacker puede buscar contraseñas filtradas de otros empleados, dándole una pista sobre la longitud de la contraseña y las políticas de complejidad de la empresa, ayudando a reducir el alcance del ataque de fuerza bruta.
La realidad es que este escenario se presenta con frecuencia. Los rastros digitales que las personas dejan en Internet facilitan a los hackers la tarea de eludir sistemas de seguridad. Y aunque las empresas continúan imponiendo políticas de seguridad más estrictas cada año, el factor humano requiere capacitación especializada en cursos de protección de datos personales. Las empresas necesitan encontrar formas de monitorear y reducir los rastros digitales para que los hackers tengan menos información que puedan aprovechar para entrar en sus sistemas.
En conclusión
Administrar los rastros digitales de su empresa y empleados requiere de un esfuerzo constante. Las herramientas web se lanzan constantemente, y las empresas necesitan que sus empleados se mantengan al día. Sin embargo, el incremento en el uso de Internet genera rastros digitales más grandes, lo que facilita a los hackers la búsqueda de información clave para acceder a sus sistemas. Limpiar su rastro digital es una práctica necesaria en el mundo de hoy, por lo que las empresas deben establecer contacto con especialistas en cursos de protección de datos personales para no sufrir malas experiencias de seguridad por los rastros digitales que dejan en la red.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad