¿Datos expuestos? 8 extrañas formas en las que puede pasar

Desde reflejos de anteojos y nuevas publicaciones de trabajo hasta registros de transparencia de certificados e impresoras desechadas, los empleados tienen formas extrañas de exponer datos sin querer.

Por Michael Colina | Original de IDGN

 

A los empleados a menudo se les advierte sobre los riesgos de exposición de datos asociados con correos electrónicos de phishing, robo de credenciales y uso de contraseñas débiles.  

Sin embargo, pueden correr el riesgo de filtrar o exponer información confidencial sobre ellos mismos, el trabajo que realizan o su organización sin siquiera darse cuenta.  

Con frecuencia, este riesgo no se explora en la capacitación de concientización sobre seguridad cibernética, lo que deja a los empleados ajenos a los riesgos que pueden representar para la seguridad de los datos que, si se exponen, podrían explotarse directa o indirectamente para atacar a los trabajadores y las empresas con fines maliciosos.

Aquí hay ocho formas inusuales, inesperadas y relativamente extrañas que resultan en datos expuestos accidentalmente, junto con consejos para abordar y mitigar los riesgos asociados con ello.

1.- Los reflejos de las gafas exponen los datos de la pantalla en las llamadas de videoconferencia

Las plataformas de videoconferencia como Zoom y Microsoft Teams se han convertido en un elemento básico del trabajo remoto/híbrido.  

Sin embargo, una nueva investigación académica ha descubierto que los participantes de videoconferencias con anteojos pueden correr el riesgo de exponer información accidentalmente a través del reflejo de sus gafas.

En un artículo titulado Private Eye: On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing, un grupo de investigadores de la Universidad de Cornell reveló un método para reconstruir el texto de la pantalla expuesto a través de los anteojos de los participantes y otros objetos reflectantes durante las videoconferencias.  

Usando modelos matemáticos y experimentos con sujetos humanos, la investigación exploró hasta qué punto las cámaras web filtran información textual y gráfica reconocible que brilla en los anteojos.

“Nuestros modelos y resultados experimentales en un entorno de laboratorio controlado muestran que es posible reconstruir y reconocer con más del 75% de precisión textos en pantalla que tienen alturas tan pequeñas como 10 mm con una cámara web de 720p”, escribieron los investigadores.  

Destacó run que, además, aplicaron este modelo de amenaza a los contenidos de texto web, con diferentes capacidades de atacante para encontrar umbrales en los que el texto se vuelve reconocible.  

El estudio de 20 participantes encontró que: 

• Las cámaras web actuales de 720p son suficientes para que los adversarios reconstruyan contenido textual en sitios web con fuentes grandes
• Mientras que la evolución hacia cámaras 4K inclinará el umbral de la filtración de texto a la reconstrucción de la mayoría de los textos de encabezado en sitios web populares.

Dichas capacidades en manos de un actor malintencionado podrían amenazar potencialmente la seguridad, con algunos datos expuestos, pese a ser confidenciales y sensibles. 

La investigación propuso mitigaciones a corto plazo, incluido un prototipo de software que los usuarios pueden usar para desenfocar las áreas de los anteojos de sus transmisiones de video. 

“Para posibles defensas a largo plazo, recomendamos un procedimiento de prueba de reflexión individual para evaluar las amenazas en varios entornos y justificar la importancia de seguir el principio de privilegio mínimo para escenarios sensibles a la privacidad”, agregaron los investigadores.

2.- Las actualizaciones de carrera de LinkedIn desencadenan ataques de phishing de “nuevos empleados SMS”

En el sitio de redes profesionales LinkedIn, es común que las personas publiquen al comenzar un nuevo rol, actualizando su perfil para reflejar su último movimiento profesional, experiencia y lugar de trabajo.  

Sin embargo, este acto aparentemente inocuo puede abrir nuevos puestos a los llamados ataques de phishing “SMS para nuevos empleados”, mediante los cuales los atacantes buscan en LinkedIn: 

• Nuevos puestos de trabajo
• El número de teléfono de un nuevo empleado en un sitio de corretaje de datos 
• Y envían mensajes de phishing por SMS fingiendo ser un alto ejecutivo dentro de la empresa
• Tratando de engañarlos durante las primeras semanas de su nuevo trabajo

Como lo detalló la experta en ingeniería social y directora ejecutiva de SocialProof Security, Rachel Tobac, estos mensajes –  generalmente – solicitan: 

• Tarjetas de regalo 
• O transferencias de dinero falsas
• Se sabe, también, que solicitan detalles de inicio de sesión 
• O mazos confidenciales

“Recientemente he visto un aumento en el método de ataque de phishing por SMS para nuevos empleados”, escribió en Twitter, y agregó que se ha vuelto tan común que la mayoría de las organizaciones con las que trabaja han dejado de anunciar nuevos empleados en LinkedIn y recomiendan a los nuevos empleados que limiten las publicaciones.  sobre sus nuevos roles.

Tobac afirmó que estos son buenos pasos de mitigación para reducir los riesgos de estafas de phishing por SMS de nuevos empleados. 

Los equipos de seguridad también deben educar a los nuevos empleados sobre estos ataques describiendo: 

• Cómo se verá la comunicación genuina de la empresa 
• Y qué métodos se utilizarán  

Además se recomendó proporcionar a los empleados DeleteMe para eliminar sus datos de contacto de los sitios de corretaje de datos.

3.- Las imágenes de las redes sociales y la aplicación de mensajería revelan antecedentes confidenciales

Es posible que los usuarios no asocien la publicación de imágenes en sus redes sociales personales y aplicaciones de mensajería como un riesgo para la información corporativa confidencial, pero como dice Dmitry Bestuzhev, el investigador de amenazas más distinguido de BlackBerry, la divulgación accidental de datos a través de aplicaciones sociales como: 

• Instagram
• Facebook
• Y WhatsApp 

… es una amenaza muy real. 

“A la gente le gusta tomar fotos, pero a veces se olvidan de su entorno”, explicó. 

Por lo tanto, es común encontrar: 

• Documentos confidenciales sobre la mesa
• Diagramas en la pared
• Contraseñas en notas adhesivas
• Claves de autenticación 
• Y pantallas desbloqueadas con aplicaciones abiertas en el escritorio  

“Toda esa información es confidencial y podría utilizarse para actividades nefastas”, señaló. 

Bestuzhev agrega que es fácil para los empleados olvidar que, en una pantalla desbloqueada, es fácil detectar qué:

• Navegador usan
• O los productos antivirus que están conectados, etc. 

“Toda esta es información valiosa para los atacantes y puede exponerse fácilmente en fotos en las actualizaciones de estado de Instagram, Facebook y WhatsApp”, recordó.

Keiron Holyome, VP en UKI, Europa del Este, Medio Oriente y África de BlackBerry enfatiza la importancia de la educación en seguridad así como la concientización sobre este tema.  

“Las empresas no pueden impedir que los empleados tomen y compartan fotos, pero pueden resaltar tanto los riesgos como hacer que los empleados se detengan y piensen en lo que están publicando”, recomendó.

4.- Los errores de escritura del script de ingestión dan como resultado un uso incorrecto de la base de datos

Tom Van de Wiele, investigador principal de amenazas y tecnología en WithSecure explica que su equipo ha tratado algunos casos inusuales en los que un simple error de escritura de una dirección IP o URL para un script de ingestión de datos ha llevado a que se utilice la base incorrecta. 

“Esto luego da como resultado una base de datos mixta que debe ser desinfectada o revertida antes de que se inicie el proceso de copia de seguridad o, de lo contrario, la organización podría tener un incidente de PII [información de identificación personal] que viola el RGPD”.  

Agregó que las empresas se enfrentan a incidentes de mezcla de datos de forma regular y, a veces, las operaciones son irreversibles si se produce una sucesión de fallos en el pasado.

Por lo tanto, Van de Wiele aconseja a los equipos de seguridad que aprovechen el aspecto de autenticación de TLS cuando sea posible. 

“Esto reducirá el riesgo de identidad errónea de servidores y bases de datos. No obstante, comprenda que el riesgo no se puede eliminar por completo así que actúe y prepárese en consecuencia, asegurándose de tener registros en su lugar que se tomen como parte de una estrategia de monitoreo y detección más amplia. Eso incluye eventos exitosos y no exitosos”, agrega.

Van de Wiele también aboga por hacer cumplir: 

• Reglas
• Procesos
• Conciencia
• Y controles de seguridad estrictos 
• Sobre cómo y cuándo usar los entornos de producción/preproducción/escenario/prueba

“Esto dará como resultado menos incidentes de mezcla de datos, menos impacto al tratar con datos de productos reales y garantiza que cualquier tipo de actualización o cambio como resultado del descubrimiento de un problema de seguridad se pueda probar exhaustivamente en entornos de preproducción”, afirmó. 

En su opinión, asignar nombres a los servidores para que puedan distinguirse entre sí en lugar de exagerar con las abreviaturas es otro consejo útil, al igual que realizar pruebas de seguridad en producción.  

“Invierta en detección y monitoreo como uno de los controles compensatorios para esto. Igual, realice pruebas para asegurarse de que la detección funcione dentro de las expectativas”, sugirió.

5.- Los registros de transparencia de certificados exponen una gran cantidad de datos confidenciales

 Los registros de transparencia de certificados (CT) permiten a los usuarios navegar por la web con un mayor grado de confianza.

Tambien permiten tanto a los administradores como a los  profesionales de seguridad detectar anomalías en los certificados y verificar las cadenas de confianza rápidamente.  

Sin embargo, como recuerda Art Sturdevant, vicepresidente de operaciones técnicas de Censys, debido a la naturaleza de estos registros, todos los detalles de un certificado son públicos y se almacenan para siempre. 

Por ello, recuerda, una auditoría rápida de los datos de certificados de Censys muestra: 

• Nombres de usuario 
• Ccorreos electrónicos 
• Direcciones IP 
• Proyectos internos
• Relaciones comerciales
• Productos preliminares 
• Estructuras organizacionales y más

Es decir, los atacantes pueden usar esta información para: 

• Rastrear la empresa 
• Compilar una lista de nombres de usuario 
• O direcciones de correo electrónico válidos
• Enviar correos electrónicos de phishing 
• Y, en algunos casos, sistemas de desarrollo objetivo, que pueden tener menos controles de seguridad, para tomar el control y el movimiento lateral.

Sturdevant recomienda que, dado que los datos en un registro de CT son para siempre, es mejor capacitar a los desarrolladores, administradores de TI, etc. para que usen una cuenta de correo electrónico genérica para registrar certificados. 

“Los administradores también deben capacitar a los usuarios sobre lo que se incluye en un registro de CT para que puedan ayudar a evitar la divulgación accidental de información”, agregó.

6.- El hardware USB “inocente” se convierte en una puerta trasera para los atacantes

Los empleados pueden estar inclinados a comprar y usar su propio hardware como ventiladores o lámparas USB con sus computadoras portátiles corporativas. 

Pero el líder del equipo de investigación de malware de CyberArk, Amir Landau, advierte que estos dispositivos aparentemente inocentes pueden usarse como puertas traseras para el dispositivo de un usuario y la red comercial más amplia. 

Asegura que dichos ataques de hardware suelen tener tres vectores principales:

• Hardware malicioso por diseño, en los cuales los dispositivos vienen con malware preinstalado, con un ejemplo conocido como BadUSB. “Los BadUSB se pueden comprar muy fácilmente en AliExpress o la gente puede hacer uno propio con fuentes abiertas, como USB Rubber Ducky, desde cualquier dispositivo USB”.
• Luego están las infecciones por gusanos, también llamadas replicación a través de medios extraíbles. En éstas los dispositivos USB son infectados con malware de gusanos como USBferry y Raspberry Robin.
• En tercer lugar, están las cadenas de suministro de hardware comprometidas.  “Como parte de un ataque a la cadena de suministro, se instalan chips o software defectuoso dentro del hardware legítimo, como en el caso de los microchips maliciosos insertados en las placas base que terminaron en los servidores utilizados por Amazon y Apple en 2018”.

Detectar este tipo de ataques en el punto final es difícil pero, según Landau, la detección y respuesta antivirus y de punto final puede, en algunos casos, proteger contra amenazas al monitorear el flujo de ejecución de dispositivos extendidos, así como validar las políticas de integridad del código.  “Las soluciones de administración de acceso privilegiado (PAM) también son importantes debido a su capacidad para bloquear los puertos USB a los usuarios sin privilegios y evitar el código no autorizado”.

7.- Las impresoras de oficina desechadas ofrecen contraseñas Wi-Fi

Cuando una vieja impresora de oficina deja de funcionar o se reemplaza por un modelo más nuevo, se podría perdonar a los empleados por simplemente desecharla para reciclarla.  

Pero, si esto se hace sin borrar primero datos como las contraseñas de Wi-Fi, puede exponer a una organización a riesgos quedar con sus datos expuestos.

Van de Wiele asegura que lo ha visto de primera mano.

“Los delincuentes extrajeron las contraseñas y las usaron para iniciar sesión en la red de la organización con el fin de robar PII”, dice.  

Aconseja cifrar los datos en reposo y en uso/tránsito y asegurarse de que exista un proceso de autenticación para proteger la clave de descifrado en los dispositivos finales.  

“Asegúrese de que los medios extraíbles estén bajo control, que los datos estén siempre encriptados y que la recuperación sea posible a través de un proceso formal con los controles necesarios implementados”.

8.- Emails enviados a cuentas personales filtran información corporativa de clientes

Avishai Avivi, CISO de SafeBreach, relata un incidente en el que un correo electrónico no malicioso enviado por un empleado con el fin de capacitar casi provocó que la empresa resultará con sus datos expuestos, incluidos los números de seguridad social de los clientes.  

“Como parte de la capacitación de los nuevos asociados, este equipo tomó una hoja de cálculo real que contenía los SSN de los clientes y, simplemente, ocultó las columnas que contenían todos los SSN.  Luego proporcionaron esta hoja de cálculo modificada a los participantes. El empleado buscaba continuar entrenando en casa así que envió por correo electrónico la hoja de cálculo a su cuenta de correo electrónico personal”, relata el CSO.

Afortunadamente, la empresa tenía un control reactivo de protección contra fugas de datos (DLP) que monitoreaba todos los correos electrónicos de los empleados. 

Esta herramienta detectó la existencia de varios SSN en el archivo adjunto, bloqueó el correo electrónico y alertó al SOC.  

Sin embargo, el caso sirve como un recordatorio de cómo la información confidencial puede quedar expuesta incluso por las acciones más genuinas y benévolas.

“En lugar de depender de controles reactivos, deberíamos haber tenido mejores controles preventivos de clasificación de datos que indicaran el movimiento de datos de SSN reales del entorno de producción a un archivo en el departamento de capacitación. Un control así habría impedido que el empleado incluso intentara enviar por correo electrónico el archivo adjunto a una cuenta de correo electrónico personal”, señala convencido Avivi.