miércoles, 19 de abril de 2017

Destrucción de Documentos

Crear información. Transferir esos datos. Usarlos para un objetivo útil. Y al final destruirlos. Simplifiqué al máximo el ciclo de la información y en este artículo quiero enfocarme en ese último paso que en muchas corporaciones puede no llevarse a cabo consistentemente. O tal vez nunca se haga.


Los documentos que tiramos a la basura contienen todo tipo de información desde la banal hasta la confidencial. Y si mientras “vive” en nuestras computadoras o archiveros le damos un tratamiento acorde a su sensibilidad (¿verdad?), no también deberíamos de hacer lo mismo al final de su vida?

Pero el primer problema es que la gente sepa que debe destruirlos. El segundo es que ¡no hay destructoras de papel! Buscamos y buscamos en los pasillos de la empresa y no hallamos uno. “Creo que vi uno en Legal, pero no sé si sigue ahí”, nos dice un colega. 

La existencia de estos aparatos empieza a sonar como leyenda urbana; muchos dicen haberlos visto pero no hay uno a la vista. Así es que acabamos interrumpiendo nuestra búsqueda abruptamente y prefiriendo tomar al toro por los cuernos. “Lo haré yo, usando las manos lo trituraré y es el mismo efecto que la dichosa máquina esa”.

Pero pocas veces tenemos el cuidado necesario para realmente romper esos papeles sensibles en partes que realmente no sean recuperables. Así es que la mayoría de las veces rompemos los papeles un par de veces con las manos y listo, ya están destruidos y a la basura. 

Pero tal vez en este punto estén pensando: “¿Momento, por qué tanto lío por papeles que van a la basura? ¿Qué loco va a estar hurgando en mi basura?” Pues al perecer sí hay locos. Los hay tantos que en inglés hasta existe un término: “dumpster diving”. 

Bucear en la basura es un método efectivo para encontrar oro en la forma de papeles impresos. ¿O suponemos que nuestra corporación maneja información tan poco importante que nadie va a echarse un clavado a la basura en busca de datos útiles para un fin malicioso? Reflexionemos dos veces la respuesta.

Por lo tanto parece no ser suficiente romper documentos a mano limpia. Inclusive cuando uno lo hace usando un aparato que hace “tiras” cada papel arrojado, no hay seguridad de que sea irrecuperable. 

¿No me creen? Busquen en internet “recover shredded paper” o “Unshredder”. Se sorprenderán de lo que encontrarán. Por ejemplo software que ayuda a un actor malicioso a escanear el papel destruido y trata de hacer sentido reconstruyendo cada pedazo de papel aparentemente desconectado del resto. 

Y es que bueno, cuando uno hace tiras una hoja, pues el contenido sigue estando ahí revuelto entre otras tiras de papel, así es que basta paciencia para armar el rompecabezas con curitas y poder volver a tener acceso a la preciada información. 

No por algo en las películas cuando el enemigo va a tomar una embajada, empieza a salir humo de los papeles quemados. Porque no los hacen tiras.

Destruir los documentos a través de “confeti” es más efectivo, pero como siempre, si ni siquiera hay una cultura de destruir papeles en la corporación, de nada sirve el último aparatito de moda o que haya el rumor de que existe uno en “Legal”. 


Así es que a revisar la política de destrucción de papel en la empresa y ver cómo se está implementando para determinar si hay cultura de eliminación de documentos, si hay suficientes aparatos y si realmente sirven para su propósito.

Watering Holes

Todos hemos visto el canal “Animal Planet” donde no solo hay videos de perros y gatos divertidos, sino que también y principalmente, documentales sobre animales. Mis favoritos son en donde los protagonistas son los leones…felinos fascinantes! En fin, en uno de estos episodios explicaron algunas de las técnicas de caza de estos depredadores y una llamó mi atención. Era época de sequía y no había muchos lugares para que los animales pudieran beber agua, así es que lo leones implementaron un plan inteligente. 

En lugar de ir detrás de manadas de búfalos y demás víctimas, decidieron aguardar alrededor de un abrevadero. Ahí encontraron sombra de la vegetación que crece cerca de esos lugares y obvio, agua a disposición. Faltaba la comida. El plan era que esta vez no tenían que salir a buscarla por todas partes porque ¡la comida llegaba a ellos!

Los animales, en su búsqueda del vital líquido, llegaban por docenas al abrevadero. No tenían muchas opciones si no deseaban morir de sed. Así es que en el momento menos pensado mientras tranquilamente bebían, de pronto salía un grupo de leonas estratégicamente posicionadas para al menos abatir a una presa. 

Gran plan. 

Y con poco esfuerzo lograban su cometido en diversas ocasiones, hasta cierto punto de manera “fácil”. Probablemente desde hace cientos o miles de años los depredadores ejecutan esta técnica de caza. Nació el ataque “watering hole”.

Los atacantes cibernéticos ya han estado usando esta manera de cazar por varios años. Claro, no andan en búsqueda de búfalos ni cebras, sino de víctimas informáticas. ¿Cómo funciona su ataque?
Empecemos por al abrevadero a donde las víctimas deben de ir por algo que necesitan. En este caso es un sitio web válido. Por ejemplo, el depredador desea cazar a personas relacionadas con la seguridad física. 

Entonces infecta un sitio web de venta de armas, o uniformes o de normatividad relacionada a ese ramo. Sabe que sus víctimas irán a visitar tarde o temprano este tipo de sitios válidos porque necesitan conseguir información o hacer una compra.

O por ejemplo si el atacante desea “conseguir” doctores, infecta un sitio legítimo relacionado a medicamentos, conferencias médicas o nuevos estudios clínicos. Sabe que los doctores irán a estos sitios porque es parte de sus funciones. 

Necesitan ir al abrevadero. Una vez que la computadora del doctor visita el sitio web legítimo pero comprometido, a su computadora le llega un virus que infecta al equipo de cómputo. El doctor ahora y sin saberlo, bajó una infección informática a su equipo de cómputo que fue cazado por el depredador. 

Ahora el sistema no solo es usado por el médico, sino también por “el león” que hace y deshace a placer. Roba información del galeno. O tal vez haga que el sistema comprometido envíe correos tipo “spam”. También el objetivo puede ser conocer el avance de un estudio médico de vanguardia para un fin malicioso. 

La computadora está en poder del atacante. Está a su disposición.
El ataque “watering hole” no involucró ir a buscar a las víctimas. Ellas solas fueron por necesidad a visitar la página web legítima sin necesidad de que el atacante las forzara, no tuvo que hace uso de otras técnicas más tardadas y tal vez menos efectivas. 

Este tipo de ataque funciona muy bien cuando el agente malicioso quiere ir contra computadoras de cierto grupo de personas. Gente de seguridad física, ingenieros civiles, investigadores académicos o diseñadores automotrices.

Es un ataque difícil de prevenir porque el hacker arremete contra sitios web válidos con los cuales la gente trabaja y no es posible simplemente cortarles la comunicación. Inclusive en ocasiones la comunicación hacia esos sitios legítimos tiene una seguridad informática relajada porque, bueno, después de todo son sitios web genuinos de los cuales nadie sospecharía. Todos asumimos que esas páginas web son seguras. Que no nos enviarán un virus porque confiamos en ellas.


-->
Es un abrevadero seguro. Tiene lo que necesitamos. Hay vegetación alrededor de él que nos da confianza y paz, además se ve muy tranquilo y ningún depredador tendría la osadía de estar espiándonos y buscando el momento justo para ir detrás de nosotros. Piénsenlo la próxima vez que visiten su sitio web preferido y de confianza.