Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.
Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.
*******
Allá por 2016 explicaba en una pieza la de maldades que se podían hacer en el Campus de Google a poco que quien quisiera tuviera las ganas y el conocimiento suficiente.
Pasado el control físico inicial (que, ojo, cualquiera puede pasar entregando su DNI), el paradigma de espacio de coworking abierto nos permite, de paso, una infinidad de ataques que podrían comprometer precisamente a muchos de esos emprendedores con vocación de crear un negocio escalable y muy rentable.
Enumeraba por aquel entonces varios tipos de ataque, entre los que estaban los ya clásicos de WiFi, el shoulder surfing, y otro que es más viejo que el carbón y no por ello menos efectivo: Un Road Apple Attack. O lo que es lo mismo, dejar un dispositivo infectado (como puede ser un USB)en la cafetería, a ver quién es el primero que se lo agencia y tiene la osadía de conectarlo «sin condón» al puerto de su ordenador.
Pues todos estos ataques partían del hecho de que un extraño consiguiera acceder físicamente al recinto.
La cuestión es que en el mayoría de oficinas de la actualidad, y viendo cómo ha evolucionado el paradigma tecnológico a nivel de electrónica de consumo, ya ni siquiera es necesario.
Es más, sale hasta más cómodo atacar a dispositivos que ya están en ellas, y que por una u otra razón, no están bajo el abrigo del departamento de IT.
El caso de la NASA
Esto mismo es lo que recientemente le ha pasado a nada menos que a la agencia espacial norteamericana. Una organización de la que se espera que tenga unas políticas de seguridad claramente mejor implementadas que las que tienes tú en tu empresa.
¿Verdad?
Y pese a todo, según la oficina del Inspector General de la NASA (PDF), el Laboratorio de Propulsión a Chorro (Jet Propulsion Laboratory (JPL)) de la agencia sufría múltiples debilidades de ciberseguridad (EN).
En particular por un pequeño detalle. Alguien había conectado a la red una raspberry pi:
Los investigadores de la PDF analizaron los controles de seguridad de la red del centro de investigación después de una violación de la seguridad ocurrida en abril de 2018. Averiguaron que una Raspberry Pi fue atacada por hackers cibercriminales, y esta no estaba autorizada para conectarse a la red de los sistemas de JPL. Los atacantes que pasaron a través de la Raspberry y accedieron a los sistemas robaron unos 500 mb de información de uno de sus principales sistemas de misión, y también aprovecharon esa oportunidad para encontrar una puerta de enlace que les permitiera profundizar todavía más en dicha red.
Al hacerlo, pudieron acceder a una variante de misiones importantes. Por ejemplo, pudieron acceder a la misión Deep Space Network, su red de instalaciones de comunicación para naves espaciales. Tras esto, los equipos de seguridad de algunos de estos programas espaciales se desconectaron de la red de la NASA. Y no fue lo único que encontraron los investigadores.
Todo por dos motivos principales:
- Dispositivos conectados a la red fuera del perímetro de seguridad: un mal endémico en la mayoría de organizaciones, y que se agrava conforme más y más dispositivos de electrónica de consumo personal empiezan a utilizarse a nivel corporativo.
- Un perímetro sin sandboxing: Al parecer la red era única y accesible por cualquier dispositivo. Lo que permitió que los atacantes saltasen de algo tan poco crítico como una raspberry pi a sistemas con información sensible fácilmente. Un error al que sí se puede echar la culpa al departamento IT… presuponiendo, claro, que éstos no alertaran ya del riesgo a sus superiores y estos prefirieran dedicar recursos a «temas más importantes».
En fin, que espero que este caso te sirva de ejemplo para tomar acción en tu empresa.
El primer punto es cada vez menos controlable, pero el segundo sí depende de nosotros (los técnicos), aunque para ello haya que hacer un estudio pormenorizado de los activos informáticos con los que contamos, y categorizarlos según su importancia y los datos que manejan, para luego montarlo todo a nivel de sistemas.
En caso contrario, abrimos la veda a que el día de mañana nos ocurra algo por el estilo. Y es entonces cuando vienen los lloros.
P.D.: Si trabajas en un departamento IT, puedes enviarle de mi parte este artículo por email a tu superior, por cierto :).
________
Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.
Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.
