4 formas en los que puedes filtrar los datos de tu empresa

Unas cuantas historias sobre lo fácil que es filtrar accidentalmente información confidencial al dominio público.

Si subes fotos de los boletos de conciertos en Instagram sin ocultar el código de barras, alguien podría ver a tu banda favorita en tu lugar. Lo mismo puede suceder, aunque escondas el código de barras, pero con la herramienta equivocada.

Dicho esto, no es tan difícil recordar que hay que ocultar bien el código de barras antes de presumir los boletos. Es un asunto totalmente diferente cuando subes una foto en línea y no notas que se ve un boleto o, digamos, una nota adhesiva con contraseñas que accidentalmente salen en el encuadre. A continuación, hay varios casos en los que la gente publicó datos confidenciales en línea sin darse cuenta.

 

1. Publicar fotos con una contraseña de fondo

Las fotos y los videos tomados en oficinas y otras instalaciones revelan contraseñas y secretos mucho más a menudo de lo que se piensa. Cuando toman fotos de colegas, pocas personas prestan atención al fondo, por lo que el resultado puede ser embarazoso o incluso peligroso.

 

 

La (falta de) inteligencia militar

En 2012, la Real Fuerza Aérea Británica metió la pata a lo grande. Junto con un reportaje fotográfico sobre el príncipe Guillermo, que entonces servía en una unidad de la RAF, se hicieron públicos los datos de acceso a MilFLIP (publicaciones con información sobre vuelos militares). Un nombre de usuario y una contraseña en un trozo de papel adornaban la pared detrás del Duque de Cambridge.

Poco después de su publicación en el sitio web oficial de la familia real, las imágenes fueron reemplazadas por versiones retocadas y las credenciales filtradas se cambiaron. Se desconoce si fueron clavadas en la pared de nuevo.

Credenciales de inicio de sesión de MilFLIP decorando el interior. <a href="https://nakedsecurity.sophos.com/2012/11/21/prince-william-photos-password/">Fuente</a>

Credenciales de inicio de sesión de MilFLIP decorando el interior. Fuente

 

El incidente del Príncipe Guillermo no es único. Personal militar menos conocido también ha compartido secretos en línea, con y sin la ayuda de la prensa. Por ejemplo, un oficial publicó una selfie en una red social con un fondo de pantallas de trabajo que mostraban información secreta. Al militar le valió una amonestación moderada: “reeducación y entrenamiento”.

Fuga al aire

En 2015, la empresa de televisión francesa TV5Monde fue víctima de un ciberataque. Individuos no identificados hackearon y desfiguraron el sitio web y la página de Facebook de la organización, e interrumpieron la emisión durante varias horas.

Los acontecimientos posteriores convirtieron la historia en una farsa. Un empleado de TV5Monde concedió a los periodistas una entrevista sobre el ataque, con un fondo decorado con las contraseñas para los perfiles de medios sociales de la empresa. En las imágenes, el texto es difícil de leer, pero los entusiastas pudieron obtener la contraseña de la cuenta de TV5Monde en YouTube.

Casualmente, también fue una lección de cómo no crear una contraseña: la frase secreta en cuestión resultó ser “lemotdepassedeyoutube”, que, traducido del francés, es literalmente “lacontraseñadeyoutube”. Afortunadamente, la cuenta de YouTube de la empresa y otras cuentas salieron ilesas. Sin embargo, la historia sobre el fondo con las contraseñas da para reflexionar sobre el ciberataque inicial.

Un empleado de TV5Monde da una entrevista sobre un fondo con las contraseñas. <a href="https://arstechnica.com/information-technology/2015/04/hacked-french-network-exposed-its-own-passwords-during-tv-interview/">Fuente</a>

Un empleado de TV5Monde da una entrevista sobre un fondo con las contraseñas. Fuente

 

Un incidente similar ocurrió justo antes del Super Bowl XLVIII, en 2014, cuando las credenciales de acceso Wi-Fi interno del estadio se colaron en la lente de un camarógrafo de televisión. Para añadir ironía a la ofensa, las imágenes procedían del centro de mando responsable de la seguridad del evento.

Credenciales de acceso al Wi-mostradas en una pantalla en el centro de control del estadio. <a href="https://twitter.com/TheSmarmyBum/status/430055727777214464">Fuente</a>

Credenciales de acceso al Wi-mostradas en una pantalla en el centro de control del estadio. Fuente

 

2. Uso de rastreadores de fitness

Los dispositivos que usas para monitorear tu salud bien podrían permitirle a alguien más vigilarte, e incluso extraer datos confidenciales como el código PIN de una tarjeta de crédito de tus movimientos de tu mano. Aunque, es cierto, este último escenario es un poco irreal.

Pero las filtraciones de datos sobre la ubicación de las instalaciones secretas son, por desgracia, perfectamente reales. Por ejemplo, la aplicación de fitness Strava, con una base de usuarios de más de 10 millones, marca las rutas de jogging de los usuarios en un mapa de actividad global. También ha señalado bases militares.

Aunque la aplicación puede ser configurada para ocultar las rutas de las miradas indiscretas, no todos los usuarios que usan uniforme parecen estar versados en dichos tecnicismos.

Los movimientos de los soldados en una base militar de los EE.UU en Afganistán se muestran en un mapa de actividades de Strava <a href="https://www.strava.com/heatmap#12.19/69.26844/34.94082/hot/all">Fuente</a>

Los movimientos de los soldados en una base militar de los EE.UU en Afganistán se muestran en un mapa de actividades de Strava Fuente

 

Citando la amenaza de nuevas filtraciones, en 2018 el Pentágono simplemente prohibió a los soldados estadounidenses desplegados el uso de rastreadores de fitness. Claro, para aquellos que no pasan sus días en las bases militares de EE.UU., esta solución puede ser exagerada. Pero, de todas formas, recomendamos que se tomen el tiempo de configurar los parámetros de privacidad en su aplicación de fitness.

3. Difusión de metadatos

Es muy fácil olvidar (o no saber en primer lugar) que los secretos a veces pueden estar ocultos en la información de los archivos o metadatos. En particular, las fotografías a menudo contienen las coordenadas del lugar donde fueron tomadas.

En 2007, soldados de EE.UU. (parece que aquí hay un patrón desarrollándose) publicaron en línea fotos de helicópteros que llegaban a una base en Irak. Los metadatos de las imágenes contenían las coordenadas exactas del lugar. De acuerdo con una versión de los hechos, la información fue utilizada posteriormente en un ataque enemigo que le costó a los Estados Unidos cuatro helicópteros.

 

4. Compartir demasiado en medios sociales

Puedes conocer algunos secretos simplemente mirando a los amigos de una persona. Por ejemplo, si los vendedores de una región determinada empiezan a aparecer de repente en la lista de amigos del gerente de una empresa, los competidores pueden llegar a la conclusión de que la organización está buscando nuevos mercados, e intentar adelantarse a su jugada.

En 2011,  la periodista de Computerworld Sharon Machlis llevó a cabo un experimento para obtener información de LinkedIn. En sólo 20 minutos de búsqueda en el sitio, descubrió el número de moderadores de los foros online de Apple, la configuración de la infraestructura de RRHH de la compañía, y más.

Como la autora admite, no encontró algo así como un secreto comercial, pero Apple se enorgullece de tomar la privacidad más seriamente que una empresa promedio. Mientras tanto, a partir de las responsabilidades de un vicepresidente de HP, que de nuevo aparece en LinkedIn, cualquiera podía averiguar con qué servicios de nube la empresa estaba trabajando.

 

Cómo evitar filtrar los datos sin saberlo

Los empleados pueden, sin darse cuenta, compartir mucho sobre tu empresa. Para evitar que sus secretos se hagan públicos, establece reglas estrictas para publicar información en línea e informa a todos tus colegas de lo siguiente:

  • Al tomar fotos y videos para publicar en medios sociales, asegúrate de no encuadrar nada que no debería estar ahí. Lo mismo aplica cuando alguien te tome una foto o te filme a ti o a tu oficina. A los periodistas no les importa, pero puedes pagarlo muy caro si tus contraseñas circulan por Internet. Mantén las fotos en lugares especialmente designados para ello. Si no existe tal lugar, al menos revisa las paredes y los escritorios de antemano.
  • También ten en cuenta lo que los demás pueden ver lo que está detrás de ti durante las videollamadas y teleconferencias, incluso si estás hablando con colegas o socios.
  • Esconde los contactos confidenciales personales y de negocios en redes sociales. Recuerda que los competidores, los estafadores y los malhechores en general pueden usarlos en tu contra.
  • Antes de publicar un archivo, elimina sus metadatos. En una computadora con Windows, puedes hacerlo en las propiedades del archivo; para los teléfonos inteligentes, existen aplicaciones especiales. Tus lectores no necesitan saber dónde se tomó una foto, o en qué computadora se creó un documento.
  • Reflexiona antes de presumir éxitos laborales; podrían ser en realidad secretos comerciales. Como mínimo, probablemente no sea prudente exponer tus triunfos con lujo de detalle.

Los empleados deben entender claramente qué información es confidencial y saber cómo manejarla. Nuestra solución Kaspersky Automated Security Awareness Platform tiene un curso dedicado a ese tema.

 

Consejos