Filtración de datos en Trello

Lo que ocurrió con Trello no fue una fuga de datos tradicional. Entonces, ¿qué pasó?

De acuerdo con algunos medios se filtraron desde Trello datos de usuarios de cientos de grandes empresas y miles de pequeñas empresas. Sin embargo, no fue una fuga en el sentido tradicional de la palabra. Las empresas habían estado usado Trello por años sin tomarse la molestia de establecer configuraciones de privacidad adecuadas; por tanto, el alboroto actual es porque algunos investigadores hicieron pública esta información.

La realidad es que cada tantos años los medios reportan sobre alguna empresa que almacena a la vista sus datos importantes en Trello. El investigador Kushagra Pathak intentó resaltar el problema en Medium hace tres años. Desafortunadamente, el efecto de dichas advertencias tiende a ser de corta duración.

Qué se filtró y por qué

Los miembros de Trello utilizan tableros para colaborar en proyectos. Los tableros son privados (no puede verlos nadie fuera del equipo) por defecto, pero cuando los usuarios necesitan mostrar un tablero a alguien que no esté en el equipo, ponen la visibilidad del tablero como pública. En ese momento, cualquier usuario puede abrir el tablero con un enlace directo, y los motores de búsqueda pueden indexar la información de éste. El acceso a cada tablero se configura por separado.

Con una consulta de búsqueda formulada de manera adecuada se puede descubrir muchos tableros públicos que pertenecen a varias empresas. Entre ellos se esconden credenciales de sitios web, escaneos de documentos y discusiones comerciales confidenciales que varios investigadores han ido encontrando y publicando.

El acceso no autorizado al espacio de trabajo de tu empresa en Trello puede traer problemas incluso si no guardas documentos confidenciales o contraseñas. Los atacantes pueden utilizar información empresarial para que sus atacantes de ingeniería social sean más persuasivos, por ejemplo, al iniciar correspondencia con un empleado y disminuir su vigilancia al mencionar detalles de proyectos actuales.

Configura Trello para mantener la información privada

Al cambiar solo dos configuraciones, puedes evitar que los motores de búsqueda indexen datos en tu espacio de trabajo de Trello. La menos importante es la visibilidad del espacio de trabajo; la más importante es la visibilidad de cada tablero.

Los espacios de trabajo tienen dos configuraciones de visibilidad: privada y pública. La elección es clara.

Configuraciones de visibilidad de Trello

Los tableros permiten más opciones: privado (solo los miembros del tablero tienen acceso), espacio de trabajo (todos los miembros del espacio de trabajo tienen acceso), organización (todos los empleados tienen acceso –esto solo para cuentas empresariales), y público (todos tienen acceso). La interfaz actual de Trello proporciona una descripción lo suficientemente clara de las opciones de visibilidad, lo cual indica que los acechadores de la web tienen acceso solo a los tableros públicos, de manera que cualquier otra opción excepto “público” podría haber evitado esta filtración.

Configuraciones de visibilidad de tableros

Creemos que la información relacionada con el trabajo debería estar restringida a un mínimo de empleados, y, por lo tanto, siempre es mejor utilizar una opción privada. Implica un poco más de trabajo, ya que alguien tendrá que gestionar quién tiene acceso a cada tablero, pero ayuda a asegurar la integridad de la información.

Garantiza una colaboración segura

Configura tus tableros de Trello con la visibilidad adecuada para evitar que la información se haga pública. Considera también estas medidas importantes:

  • Gestiona cuidadosamente la lista de usuarios que tienen acceso a tu espacio de trabajo en Trello y cada tablero. Si alguien sale del proyecto, el equipo o de la empresa, revoca su acceso de inmediato.
  • Educa a los empleados sobre la importancia de utilizar contraseñas seguras, y recomienda que activen la opción de autenticación de dos factores de Trello.
  • Asegura que todos los empleados responsables de la seguridad de la información sepan qué herramientas de colaboración online utilizan todos los empleados y qué información almacenan en estas herramientas y servicios. Esta información es necesaria para evaluar los riesgos y crear un modelo para amenazas.
  • Instala una solución de seguridad en todas las computadoras, pero ten en mente que cualquier herramienta de colaboración puede volverse un canal para esparcir ciberamenazas (archivos o enlaces maliciosos).
Consejos