![Imagen](/uploads/5/4/3/5/54350705/3247645.jpg?194)
Quería empezar mi primer post con un tema que particularmente me llama mucho la atención, así que podemos decir que se trata tanto de una parte de noticias como de opinión.
El caso es que cada vez son más notables las 'desavenencias' que ocurren debido a lo que se ha denominado comúnmente como el 'doxing', o la manera en la que se recolecta, agrupa y se distribuye públicamente la información personal e identificable de una persona. En cierto modo, no es más que ingeniería social llevado al extremo. (Wikipedia). La palabra 'doxing' viene de la abreviatura 'docs', que es la manera de simplificar 'documents' en inglés.
Este post viene a raíz de una noticia de hace unos días, pero que desde luego no tiene desperdicio.
El caso es que el pasado lunes 19 de octubre, un joven ha reportado que durante el fin de semana del 17 y 18 del mismo mes ha conseguido acceder a la cuenta de AOL (una empresa americana, tipo Yahoo) del mismísimo director de la CIA, John Brennan. Gracias a este acceso, el joven ha podido filtrar a WikiLeaks documentación secreta acerca de distintos aspectos tales como resúmenes de la situación en Afganistán y Pakistán, perfiles detallados de otros miembros de organizaciones como el FBI, o incluso documentación sobre cómo realizar ejercicios de tortura de tal forma que se realice cumpliendo las leyes americanas.
Lo impactante de este caso, más allá del motivo por el que el director de la CIA pudiera tener esta documentación en una cuenta personal en AOL, es la manera en que los datos necesarios para entrar en su cuenta personal fueron recogidos. El caso es que la manera para entrar en la cuenta, según el propio joven (Wired) comentó a New York Post, no requirió de herramientas muy complejas o de conocimientos técnicos de programación; los pasos supuestamente seguidos por este joven y otras dos personas se describen tal que así:
El motivo de esta entrada no es otro que el de 'levantar la mano' ante este tipo de ataques. Se supone que confiamos en las diferentes empresas que tienen información nuestra (tanto información física como digital) y me aterra pensar que cualquier puede llamar por teléfono y obtener datos que utilizar para abrirse paso 'hasta la cocina' de mi cuenta de correo personal.
De hecho, pensad en las repercusiones que algo tan "simple" como perder una cuenta personal puede tener: desde perder las cuentas de todas mis redes sociales (utilizando los enlaces de 'He olvidado mi contraseña' que lanzan un enlace a un mail para el reseteo de la cuenta) a mandar correos basura, intentos de phishing o malware a mis contactos haciéndose pasar por mí.
El caso es que cada vez son más notables las 'desavenencias' que ocurren debido a lo que se ha denominado comúnmente como el 'doxing', o la manera en la que se recolecta, agrupa y se distribuye públicamente la información personal e identificable de una persona. En cierto modo, no es más que ingeniería social llevado al extremo. (Wikipedia). La palabra 'doxing' viene de la abreviatura 'docs', que es la manera de simplificar 'documents' en inglés.
Este post viene a raíz de una noticia de hace unos días, pero que desde luego no tiene desperdicio.
El caso es que el pasado lunes 19 de octubre, un joven ha reportado que durante el fin de semana del 17 y 18 del mismo mes ha conseguido acceder a la cuenta de AOL (una empresa americana, tipo Yahoo) del mismísimo director de la CIA, John Brennan. Gracias a este acceso, el joven ha podido filtrar a WikiLeaks documentación secreta acerca de distintos aspectos tales como resúmenes de la situación en Afganistán y Pakistán, perfiles detallados de otros miembros de organizaciones como el FBI, o incluso documentación sobre cómo realizar ejercicios de tortura de tal forma que se realice cumpliendo las leyes americanas.
Lo impactante de este caso, más allá del motivo por el que el director de la CIA pudiera tener esta documentación en una cuenta personal en AOL, es la manera en que los datos necesarios para entrar en su cuenta personal fueron recogidos. El caso es que la manera para entrar en la cuenta, según el propio joven (Wired) comentó a New York Post, no requirió de herramientas muy complejas o de conocimientos técnicos de programación; los pasos supuestamente seguidos por este joven y otras dos personas se describen tal que así:
- Realizaron una búsqueda inversa del teléfono para saber que se trata de un terminal de Verizon.
- Uno de ellos llamó a Verizon haciéndose pasar por un empleado de la misma compañía, con la excusa de que sus herramientas no funcionaban y necesitaba acceder a la información de esta cuenta, entre las cuales se incluyó su dirección personal de AOL.
- Posteriormente, llamó a AOL haciéndose pasar por el propio usuario, diciendo que su cuenta se había quedado bloqueada y, utilizando la información entregada por Verizon, convenció al operador de AOL para resetear la contraseña de su email.
El motivo de esta entrada no es otro que el de 'levantar la mano' ante este tipo de ataques. Se supone que confiamos en las diferentes empresas que tienen información nuestra (tanto información física como digital) y me aterra pensar que cualquier puede llamar por teléfono y obtener datos que utilizar para abrirse paso 'hasta la cocina' de mi cuenta de correo personal.
De hecho, pensad en las repercusiones que algo tan "simple" como perder una cuenta personal puede tener: desde perder las cuentas de todas mis redes sociales (utilizando los enlaces de 'He olvidado mi contraseña' que lanzan un enlace a un mail para el reseteo de la cuenta) a mandar correos basura, intentos de phishing o malware a mis contactos haciéndose pasar por mí.
![Imagen](/uploads/5/4/3/5/54350705/1446284242.png)
Lo peor de este caso es que no es la primera vez que ocurre, ya que se han dado otros casos en el pasado, tal y como reporta Bruce Schneier en su blog (Schneier) por el caso de Mat Honan, un escritor de la revista Wired, que perdió el control de su cuenta de Gmail debido a que consiguió que un empleado de Amazon le diese sus datos de tarjeta de crédito, que luego utilizó para entrar a su cuenta de Apple, y desde ahí a su correo personal de Google. Esto acabó con su cuenta de Twitter, entre otras redes sociales, siendo usurpada por un total desconocido; además de muchísimas fotos (Mat Honan comentaba que tenía muchas fotos de su hija en su correo personal) y recuerdos irrecuperables que fueron perdidos para siempre.
A lo que voy es a que mucha gente tiene una cuenta de correo "primaria", una cuenta que probablemente se entregue en ocasiones contadas (facturas, registro en redes sociales, notificaciones importantes, repartir fotos de familia,...) y perder el control de dicha cuenta puede acarrear problemas enormes para las personas que hay detrás. Es por eso que hago alusión a esta "tendencia", a la facilidad que tiene una persona desde la 'oscuridad' de un teléfono o un email de obtener datos personales de un individuo; y todo porque estamos acostumbrados a quererlo todo sin pensar en las consecuencias, además de confiar en empresas que bajo el pretexto de "auditar correctamente sus procesos" no sufren las pérdidas (monetarias y sentimentales) que sufren las personas afectadas. |
En cierto modo, también es culpa nuestra, del ciudadano 'normal' que quiere que las medidas de seguridad sean siempre sencillas y fáciles de sobrellevar y solucionar, sin darnos cuenta de que estamos contribuyendo a que cualquier persona pueda realizar los mismos procesos sencillos que seguimos nosotros para obtener nuestra información. Esta tendencia de facilitar la manera de saltarnos las medidas de seguridad (cuando olvidamos nuestra contraseña o datos de acceso) hace que, precisamente, nuestros procesos sean más inseguros.
![Imagen](/uploads/5/4/3/5/54350705/6007537.jpg?201)
Tampoco creo que tengamos que crear un búnker para restablecer o recuperar nuestros datos de acceso, pero desde luego que la aparición de sistemas como el acceso por doble factor, aunque no infalible, puede ayudar a mitigar muchas de estas amenazas. Al fin y al cabo, ¿cuántas son las probabilidades de que un atacante tenga nuestra contraseña y nuestro teléfono móvil (por ejemplo)? De nuevo, no son métodos infalibles, pero quiero pensar que casos como el de John Brennan no habrían pasado.
¿Quizás algún órgano gubernamental debería forzar a las empresas a utilizar 2 factores de autenticación para poder restablecer nuestra información? Podría ser una solución, aunque más lenta, más segura. Gente, tengamos claro que lo que está en juego aquí es el acceso a lo que puede ser toda tu identidad en la red. ¿Estamos seguros de que queremos que toda la información se pueda restablecer mediante un proceso de 4 minutos y el error de un teleoperador o un programa informático?
¿Quizás algún órgano gubernamental debería forzar a las empresas a utilizar 2 factores de autenticación para poder restablecer nuestra información? Podría ser una solución, aunque más lenta, más segura. Gente, tengamos claro que lo que está en juego aquí es el acceso a lo que puede ser toda tu identidad en la red. ¿Estamos seguros de que queremos que toda la información se pueda restablecer mediante un proceso de 4 minutos y el error de un teleoperador o un programa informático?
![Imagen](/uploads/5/4/3/5/54350705/6728242.jpg?231)
Quizás la solución pase por hacer responsables a estas empresas que tienen toda nuestra información en sus bases de datos a que se hagan responsables de la información que yo pierda debido a errores en sus procedimientos de divulgación de datos... Hay que admitir que probablemente a la persona que ha perdido correos y correos con información y fotos que no se pueden recuperar le importe bastante poco que la empresa de turno les dé una compensación, pero desde luego que ayudaría a que estas empresas que tienen todos nuestros datos sean conscientes del potencial daño que podrían hacernos, además de pensárselo dos veces antes que dar pasos por teléfono o mediante un simple correo.
Al fin y al cabo, no se trata de otra cosa que de afrontar este nuevo reto que se presenta delante nuestra, intentar buscar la mejor manera para minimizar los ataques de este tipo. Cabe destacar, al igual que ocurre con muchas otras amenazas, la mejor manera de contrarrestar la ingeniería social se basa en la concienciación de nuestros empleados y de nosotros mismos como clientes y usuarios. Si tenemos claro que nuestro banco, o nuestra tienda online, o el negocio que sea no nos va a pedir nuestra contraseña en ningún caso, también tienen que tener en cuenta que no queremos, hablando desde el punto de vista del usuario, contamos con que ellos tampoco divulguen esta información a gente 'non-grata'.
Seamos menos exigentes con la rapidez, y empecemos a pedir SEGURIDAD.
Ya hablaremos más adelante del caso de tener información sensible en el correo personal...
¡Muchas Gracias!
Fran Security
P.D: Recordad que hasta que no se resuelva el tema del 'Safe Harbor', tendréis que mandar vuestros comentarios a través de Facebook, Twitter o a nuestro email. ¡¡¡Perdonad las molestias!!!
Al fin y al cabo, no se trata de otra cosa que de afrontar este nuevo reto que se presenta delante nuestra, intentar buscar la mejor manera para minimizar los ataques de este tipo. Cabe destacar, al igual que ocurre con muchas otras amenazas, la mejor manera de contrarrestar la ingeniería social se basa en la concienciación de nuestros empleados y de nosotros mismos como clientes y usuarios. Si tenemos claro que nuestro banco, o nuestra tienda online, o el negocio que sea no nos va a pedir nuestra contraseña en ningún caso, también tienen que tener en cuenta que no queremos, hablando desde el punto de vista del usuario, contamos con que ellos tampoco divulguen esta información a gente 'non-grata'.
Seamos menos exigentes con la rapidez, y empecemos a pedir SEGURIDAD.
Ya hablaremos más adelante del caso de tener información sensible en el correo personal...
¡Muchas Gracias!
Fran Security
P.D: Recordad que hasta que no se resuelva el tema del 'Safe Harbor', tendréis que mandar vuestros comentarios a través de Facebook, Twitter o a nuestro email. ¡¡¡Perdonad las molestias!!!