En este sentido, Global Crossing entregó algunas pautas de seguridad informática que deben ser tenidos en cuenta cuando se emplean estos sistemas que cada vez resultan más frecuentes.
“Si todavía sigue pensando que “esto no debe ser para tanto”, entonces va una prueba más: por favor, ingrese en Google, escriba en el cuadro de búsqueda 'cómo robar datos de redes sociales', y fíjese en los resultados… si con una búsqueda tan poco sutil es posible encontrar tanta información, ¿se imagina lo que es capaz de hacer alguien entrenado que se dedica a ganar dinero de esa forma?”, explica en el informe Gabriel Marcos, de la compañía de telecomunicaciones sustentadas a través de una red global integrada basada en el protocolo IP.
El especialista destaca cómo a pesar de los mecanismos de protección cada vez más complejos, los hackers evolucionan sus métodos, lo que hace que se incremente el mapa de riesgo en la materia.
“Hagamos un ejercicio simple: de cada diez personas que utilizan PDA -también conocidos como teléfonos inteligentes-, ¿cuál es la probabilidad de que tengan un cargo gerencial en una empresa? Bastante alta. Y si consideramos que en ese teléfono puede haber mails, archivos, nombres, teléfonos y otro tipo de información, el botín se vuelven interesante. En el caso de las notebooks, sus dueños disfrutan de la posibilidad de conectarse a Internet en una variedad muy amplia de sitios, e incluso a través de conexiones 3G. El problema es que muchos de los access points públicos son en realidad puestas a disposición por hackers como si fueran trampas de caza”.
El documento señala que a través de este tipo de conexión resulta posible interceptar todas las comunicaciones del equipo y, mediante algunas técnicas, acceder a toda la información del equipo, incluidos los datos bancarios que pudiera haber.
“En el caso de las conexiones Bluetooth, es muy común encontrar que una vez que alguien la habilita para transferir un ringtone, una foto o una canción, luego queda lista para seguir recibiendo conexiones, desde las cuales es posible, por ejemplo, interceptar todas las llamadas que son realizadas y recibidas desde el teléfono, sin que el usuario se dé cuenta”.
Marcos precisó que antes de apagar estos dispositivos, es importante tomar conciencia del problema, asegurándose de cumplir con un simple protocolo.
Entre las pautas que sugiere se encuentran la deshabilitación de las conexiones Bluetooth y Wi-Fi cuando se termine de utilizarlas, para evitar así que la configuración por defecto de los equipos no las deje abiertas.
Preferiblemente no descargar desde la PDA los correos corporativos, y en lugar de eso emplear el servidor de la compañía.
Utilizar el mecanismo de autenticación más seguro al configurar un access point, que aunque puede resultar más difícil ofrece un mayor nivel de protección.
Por último, sugiere para acceder a las aplicaciones de la empresa, elegir mecanismos fuertes de autenticación como los certificados digitales.
El riesgo de las contraseñas
Marcos alerta también por las contraseñas de correos electrónicos y redes sociales, las cuales presentan cierto riesgo pese a alternar entre mayúsculas y minúsculas, utilizar números y no compartir la misma contraseña con otros sitios.
“Lamentablemente, la cosa no es tan sencilla: con una variación de una técnica de ataque conocida, es posible acceder a todos los datos de la cuenta de Facebook de cualquier usuario, sin conocer la contraseña”.
Este es el resultado de una técnica conocida como Cross-Site Identification o Csid, que consiste en lograr que el usuario ingrese a un sitio elegido por el atacante mientras que está logueado en Facebook, momento que el atacante aprovecha el login ingresado para engañar a la red social y solicitar el envío de información como si el usuario lo estuviera haciendo. En este proceso no es posible detectar esta actividad y no deja rastros.
“En cuanto al sitio necesario para el engaño, es necesario que genere una motivación para que el usuario acceda a hacer clic en algún link o una imagen, por lo que generalmente se utilizan foros de discusión o blogs, aunque lo más peligroso de esta técnica es que el sitio no necesita ser creado por el hacker, sino que se puede utilizar un sitio legítimo para realizar el ataque”.
Aunque la gran responsabilidad recae en los administradores de las redes sociales, las firma entrega cinco recomendaciones que se deben tener para protegerse de estos ataques:
En las redes sociales, aceptar invitaciones solamente de gente conocida.
Configurar siempre las preferencias de seguridad y privacidad del perfil.
Utilizar las aplicaciones en las redes sociales solamente cuando se conozca el origen, es decir, el autor o la empresa que la distribuye, y qué hace exactamente.
Al otorgar acceso a los datos personales, tanto a una aplicación como a la red social en sí, evaluar las consecuencias potenciales de la decisión. La recomendación es probar primero denegar accesos, y habilitarlos si comprueba que son necesarios.
No habilitar las opciones que permiten mantenerse logueado durante mucho tiempo en un sitio; es preferible ingresar la contraseña varias veces. Generalmente, esta opción se presenta como 'no cerrar mi sesión', 'mantenerme logueado', 'keep my session alive' o algo por el estilo.
Cuando se deje de utilizar una página que requiere de una contraseña, siempre asegurarse de desconectarse por medio de la opción llamada 'sign out', 'log out', 'salir' o similares.
Por: Andrés Felipe Mejía Álvarez