{"id":19167,"date":"2020-07-02T08:54:43","date_gmt":"2020-07-02T14:54:43","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=19167"},"modified":"2020-07-02T16:15:02","modified_gmt":"2020-07-02T22:15:02","slug":"unusual-ways-to-leak-info","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/unusual-ways-to-leak-info\/19167\/","title":{"rendered":"4 formas en los que puedes filtrar los datos de tu empresa"},"content":{"rendered":"

Si subes fotos de los boletos de conciertos en Instagram sin ocultar el c\u00f3digo de barras, alguien podr\u00eda ver a tu banda favorita en tu lugar<\/a>. Lo mismo puede suceder, aunque escondas el c\u00f3digo de barras, pero con la herramienta equivocada<\/a>.<\/p>\n

Dicho esto, no es tan dif\u00edcil recordar que hay que ocultar bien el c\u00f3digo de barras antes de presumir los boletos. Es un asunto totalmente diferente cuando subes una foto en l\u00ednea y no notas que se ve un boleto o, digamos, una nota adhesiva con contrase\u00f1as que accidentalmente salen en el encuadre. A continuaci\u00f3n, hay varios casos en los que la gente public\u00f3 datos confidenciales en l\u00ednea sin darse cuenta.<\/p>\n

\u00a0<\/p>\n

1. Publicar fotos con una contrase\u00f1a de fondo<\/h2>\n

Las fotos y los videos tomados en oficinas y otras instalaciones revelan contrase\u00f1as y secretos mucho m\u00e1s a menudo de lo que se piensa. Cuando toman fotos de colegas, pocas personas prestan atenci\u00f3n al fondo, por lo que el resultado puede ser embarazoso o incluso peligroso.<\/p>\n

\u00a0<\/p>\n

<\/strong><\/p>\n

\u00a0<\/p>\n

La (falta de) inteligencia militar<\/h3>\n

En 2012, la Real Fuerza A\u00e9rea Brit\u00e1nica meti\u00f3 la pata a lo grande<\/a>. Junto con un reportaje fotogr\u00e1fico sobre el pr\u00edncipe Guillermo, que entonces serv\u00eda en una unidad de la RAF, se hicieron p\u00fablicos los datos de acceso a MilFLIP (publicaciones con informaci\u00f3n sobre vuelos militares). Un nombre de usuario y una contrase\u00f1a en un trozo de papel adornaban la pared detr\u00e1s del Duque de Cambridge.<\/p>\n

Poco despu\u00e9s de su publicaci\u00f3n en el sitio web oficial de la familia real, las im\u00e1genes fueron reemplazadas por versiones retocadas y las credenciales filtradas se cambiaron. Se desconoce si fueron clavadas en la pared de nuevo.<\/p>\n

Credenciales de inicio de sesi\u00f3n de MilFLIP decorando el interior. <a href=\"https:\/\/nakedsecurity.sophos.com\/2012\/11\/21\/prince-william-photos-password\/\">Fuente<\/a>

Credenciales de inicio de sesi\u00f3n de MilFLIP decorando el interior. Fuente<\/a><\/p><\/div>\n

\u00a0<\/p>\n

El incidente del Pr\u00edncipe Guillermo no es \u00fanico. Personal militar menos conocido tambi\u00e9n ha compartido secretos en l\u00ednea, con y sin la ayuda de la prensa. Por ejemplo, un oficial public\u00f3 una selfie<\/em> en una red social<\/a> con un fondo de pantallas de trabajo que mostraban informaci\u00f3n secreta. Al militar le vali\u00f3 una amonestaci\u00f3n moderada: \u201creeducaci\u00f3n y entrenamiento\u201d.<\/p>\n

Fuga al aire<\/h3>\n

En 2015, la empresa de televisi\u00f3n francesa TV5Monde fue v\u00edctima de un ciberataque. Individuos no identificados hackearon y desfiguraron el sitio web y la p\u00e1gina de Facebook de la organizaci\u00f3n<\/a><\/em>, e interrumpieron la emisi\u00f3n durante varias horas.<\/p>\n

Los acontecimientos posteriores convirtieron la historia en una farsa. Un empleado de TV5Monde concedi\u00f3 a los periodistas una entrevista sobre el ataque, con un fondo decorado con las contrase\u00f1as<\/a> para los perfiles de medios sociales de la empresa. En las im\u00e1genes, el texto es dif\u00edcil de leer, pero los entusiastas pudieron obtener la contrase\u00f1a de la cuenta de TV5Monde en YouTube.<\/p>\n

Casualmente, tambi\u00e9n fue una lecci\u00f3n de c\u00f3mo no crear una contrase\u00f1a: la frase secreta en cuesti\u00f3n result\u00f3 ser \u201clemotdepassedeyoutube\u201d, que, traducido del franc\u00e9s, es literalmente \u201clacontrase\u00f1adeyoutube\u201d. Afortunadamente, la cuenta de YouTube de la empresa y otras cuentas salieron ilesas. Sin embargo, la historia sobre el fondo con las contrase\u00f1as da para reflexionar sobre el ciberataque inicial.<\/p>\n

Un empleado de TV5Monde da una entrevista sobre un fondo con las contrase\u00f1as. <a href=\"https:\/\/arstechnica.com\/information-technology\/2015\/04\/hacked-french-network-exposed-its-own-passwords-during-tv-interview\/\">Fuente<\/a>

Un empleado de TV5Monde da una entrevista sobre un fondo con las contrase\u00f1as. Fuente<\/a><\/p><\/div>\n

\u00a0<\/strong><\/p>\n

Un incidente similar ocurri\u00f3 justo antes del Super Bowl XLVIII, en 2014, cuando las credenciales de acceso Wi-Fi interno del estadio<\/a> se colaron en la lente de un camar\u00f3grafo de televisi\u00f3n. Para a\u00f1adir iron\u00eda a la ofensa, las im\u00e1genes proced\u00edan del centro de mando responsable de la seguridad del evento.<\/p>\n

Credenciales de acceso al Wi-mostradas en una pantalla en el centro de control del estadio. <a href=\"https:\/\/twitter.com\/TheSmarmyBum\/status\/430055727777214464\">Fuente<\/a>

Credenciales de acceso al Wi-mostradas en una pantalla en el centro de control del estadio. Fuente<\/a><\/p><\/div>\n

\u00a0<\/p>\n

2. Uso de rastreadores de fitness<\/em><\/h2>\n

Los dispositivos que usas para monitorear tu salud bien podr\u00edan permitirle a alguien m\u00e1s vigilarte<\/a>, e incluso extraer datos confidenciales<\/a> como el c\u00f3digo PIN de una tarjeta de cr\u00e9dito de tus movimientos de tu mano. Aunque, es cierto, este \u00faltimo escenario es un poco irreal.<\/p>\n

Pero las filtraciones de datos sobre la ubicaci\u00f3n de las instalaciones secretas son, por desgracia, perfectamente reales. Por ejemplo, la aplicaci\u00f3n de fitness Strava, con una base de usuarios de m\u00e1s de 10 millones, marca las rutas de jogging<\/em> de los usuarios en un mapa de actividad global<\/a>. Tambi\u00e9n ha se\u00f1alado bases militares<\/a>.<\/p>\n

Aunque la aplicaci\u00f3n puede ser configurada para ocultar las rutas de las miradas indiscretas, no todos los usuarios que usan uniforme parecen estar versados en dichos tecnicismos.<\/p>\n

Los movimientos de los soldados en una base militar de los EE.UU en Afganist\u00e1n se muestran en un mapa de actividades de Strava <a href=\"https:\/\/www.strava.com\/heatmap#12.19\/69.26844\/34.94082\/hot\/all\">Fuente<\/a>

Los movimientos de los soldados en una base militar de los EE.UU en Afganist\u00e1n se muestran en un mapa de actividades de Strava Fuente<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Citando la amenaza de nuevas filtraciones, en 2018 el Pent\u00e1gono simplemente prohibi\u00f3 a los soldados estadounidenses desplegados<\/a> el uso de rastreadores de fitness<\/em>. Claro, para aquellos que no pasan sus d\u00edas en las bases militares de EE.UU., esta soluci\u00f3n puede ser exagerada. Pero, de todas formas, recomendamos que se tomen el tiempo de configurar los par\u00e1metros de privacidad en su aplicaci\u00f3n de fitness<\/em>.<\/p>\n

<\/h2>\n

3. Difusi\u00f3n de metadatos<\/h2>\n

Es muy f\u00e1cil olvidar (o no saber en primer lugar) que los secretos a veces pueden estar ocultos en la informaci\u00f3n de los archivos o metadatos<\/a>. En particular, las fotograf\u00edas a menudo contienen las coordenadas<\/a> del lugar donde fueron tomadas.<\/p>\n

En 2007, soldados de EE.UU. (parece que aqu\u00ed hay un patr\u00f3n desarroll\u00e1ndose) publicaron en l\u00ednea fotos de helic\u00f3pteros<\/a> que llegaban a una base en Irak. Los metadatos de las im\u00e1genes conten\u00edan las coordenadas exactas del lugar. De acuerdo con una versi\u00f3n de los hechos, la informaci\u00f3n fue utilizada posteriormente en un ataque enemigo que le cost\u00f3 a los Estados Unidos cuatro helic\u00f3pteros.<\/p>\n

\u00a0<\/p>\n

4. Compartir demasiado en medios sociales<\/h2>\n

Puedes conocer algunos secretos simplemente mirando a los amigos de una persona. Por ejemplo, si los vendedores de una regi\u00f3n determinada empiezan a aparecer de repente<\/a> en la lista de amigos del gerente de una empresa, los competidores pueden llegar a la conclusi\u00f3n de que la organizaci\u00f3n est\u00e1 buscando nuevos mercados, e intentar adelantarse a su jugada.<\/p>\n

En 2011, \u00a0<\/em>la periodista de Computerworld<\/em> Sharon Machlis llev\u00f3 a cabo un experimento<\/a> para obtener informaci\u00f3n de LinkedIn. En s\u00f3lo 20 minutos de b\u00fasqueda en el sitio, descubri\u00f3 el n\u00famero de moderadores de los foros online de Apple, la configuraci\u00f3n de la infraestructura de RRHH de la compa\u00f1\u00eda, y m\u00e1s.<\/p>\n

Como la autora admite, no encontr\u00f3 algo as\u00ed como un secreto comercial, pero Apple se enorgullece de tomar la privacidad m\u00e1s seriamente que una empresa promedio. Mientras tanto, a partir de las responsabilidades de un vicepresidente de HP, que de nuevo aparece en LinkedIn, cualquiera pod\u00eda averiguar<\/a> con qu\u00e9 servicios de nube la empresa estaba trabajando.<\/p>\n

\u00a0<\/p>\n

C\u00f3mo evitar filtrar los datos sin saberlo<\/h2>\n

Los empleados pueden, sin darse cuenta, compartir mucho sobre tu empresa. Para evitar que sus secretos se hagan p\u00fablicos, establece reglas estrictas para publicar informaci\u00f3n en l\u00ednea e informa a todos tus colegas de lo siguiente:<\/p>\n