En julio del 2019, el investigador Sam Jadali descubrió varias extensiones para los navegadores Chrome y Firefox que recopilaban el historial de navegación y lo transferían a un tercero. Además, también halló una plataforma en la que se compraban y vendían estos datos.
Esto tal vez no active ninguna alarma, pues no importa si un atacante descubre que uno de tus empleados ha visitado el sitio web de un contratista o ha iniciado sesión en una red social; lo único que obtendrá será la dirección, pero no podrá acceder a ningún otro tipo de información. Por lo tanto, ¿qué importancia tiene? El problema se centra en que estas extensiones filtran continuamente los datos internos de empresas. Te explicamos cómo.
Enlaces que revelan todo sobre ti
Seguramente las redes sociales y los sitios web oficiales de tus contratistas y socios no divulguen información secreta. Deberías preocuparte más por las páginas “cerradas”, a las que se puede acceder únicamente a través de enlaces únicos y que se pueden utilizar para filtrar información. Lo cierto es que lo único que protege estas páginas es su discreción: los intrusos no conocen sus direcciones. Estos son algunos ejemplos de este tipo de páginas.
Conferencias en línea
Imagínate que tu empresa utiliza mucho las conferencias web en las que los empleados de distintos departamentos discuten sus planes, organizan sesiones para aportar ideas o, simplemente, reciben información de los directivos. Existen muchas plataformas para conducir este tipo de conferencias. En algunas necesitas una clave para participar, pero las pequeñas empresas suelen utilizar soluciones gratuitas o económicas que requieren tan solo un enlace con un identificador único; posteriormente, el organizador lo envía a todas las partes interesadas. Esto es todo lo que necesita un participante para unirse al evento.
Ahora imagínate que uno de los empleados que recibieron este enlace cuenta con una extensión instalada en su navegador que desvía información a los intrusos. Cuando el empleado se una a la conferencia, el complemento enviará su URL a un mercado donde un atacante que intenta recopilar información sobre tu empresa o que busca una oportunidad, comprará el historial de navegación de tu empleado. A través de este, el atacante puede comprobar que se está llevando a cabo en esos momentos una reunión a la que puede acceder.
No hay nada que evite que el comprador de este enlace se una a la reunión. Desde luego, los otros participantes recibirán una notificación alertando que alguien se ha unido al evento, pero si hay una docena de personas y no todas se conocen entre sí, nadie se preguntará quién es el participante desconocido. El resultado: todo lo que se dice durante la conferencia llegará a oídos del intruso.
Facturas en línea de proveedores
Es probable que los proveedores de tu compañía utilicen servicios de facturación en línea. En algunos servicios, se puede acceder a las facturas de pago utilizando un enlace único que, sin embargo, es de acceso público. Si un atacante tiene acceso a esa factura, puede dar con el nombre y la dirección de tu empresa y la del proveedor, la cantidad de pago y mucho más.
Es cierto que en la mayoría de los casos no ocurrirá nada malo si esa información cae en las manos equivocadas. Pero para quien utilice la ingeniería social, estas facturas contienen información muy valiosa.
Documentos de trabajo
Muchas empresas utilizan servicios en línea como Google Drive con fines colaborativos. En teoría, este tipo de servicios permiten restringir el acceso a archivos para evitar que los intrusos los abran. No obstante, no todo el mundo establece esta restricción en los archivos compartidos. A menudo, cualquiera que cuente con el enlace a un archivo puede ver, e incluso editar, el documento.
Y este documento puede contener cualquier tipo de información, desde cotizaciones hasta datos personales de los empleados.
Cómo protegerte de las filtraciones de datos a gran escala
Para minimizar el riesgo de filtración, recuerda a los empleados que deben prestar máxima atención antes de instalar cualquier extensión de navegador y que, si el servicio en línea que utilizan lo permiten, necesitan restringir el acceso del documento antes de compartirlo. Una buena práctica sería aprobar una lista de extensiones de navegador y prohibir todo aquello que se considere peligroso.
Además, realiza un análisis de los servicios en línea que utiliza la compañía e identifica aquellos que permiten el acceso mediante enlace sin necesidad de autentificación. Si un servicio permite el acceso a cualquiera que posea el enlace, busca una alternativa más segura.
Por último, es primordial instalar una solución de seguridad de confianza en todas las computadoras de la empresa para bloquear cualquier intento de instalación de una extensión maliciosa, además de otras ciberamenazas.