Esta nota fue publicada originalmente en la edición 295 de revista USERS. Podes suscribirte a la versión-RC impresa y/o digital aquí
Por Emiliano Piscitelli
Seguramente hoy en día(24hrs) la mayoría de nosotros poseemos un smartphone inteligente, participamos en al menos una o más redes sociales y usamos algunos otros servicios online. También nos animaríamos a declarar que a la mayoría de nosotros nos da pereza estudiar los “famosos” términos y politicas cuando nos inscribimos en algún servicio, rellenamos muchos formularios sin saber a dónde van a parar vuestros datos y no le prestamos mucha atención a los permisos que las apps teléfonos nos solicitan.
El objetivo(propósito) de este capítulo es que podamos entender cuán expuestos podemos estar si no tomamos al menos algunas medidas para protegernos.
Regalando vuestra información
¿Estamos realmente propalando vuestra info(datos). privada? Aquí entendemos los detalles.
Metadatos
Es muy común colaborar info(datos). con vuestros amigos, amigos de trabajo o clientes. Si bien esta acción (con el debido cuidado) no significa una vulnerabilidad en sí, lo datos que se producen y asocian a casi la mayor parte de los informes que creamos (.doc, .xls, .ppt, .pdf, .jpg, .png, etc.) sí lo son.
Estos datos se conocen como metadatos (datos de los datos) y pueden llegar a ser usados en vuestra contra. Si no se controlan correctamente podrían representar una importante fuga de información, tanto para vuestra compañía como para vuestra vida privada.
Veamos a continuidad qué datos se podrían llegar a adquirir tan solo con estudiar los metadatos de vuestros archivos:
- Nombre de usuario.
- Sistema operativo.
- Software con el que se creó el documento.
- Ubicación dentro del disco duro.
- Modificaciones.
- Posición geográfica.
- Datos específicos de la cámara (en caso que el archivo fuera una foto).
Para eludir esto podemos llevar a cabo diferentes acciones. Entre ellas, programar la herramienta(tool) que utilicemos (siempre y cuando disponga de esta opción) para que no grabe los metadatos.
También podemos usar herramientas(tools) para el análisis y borrado de metadatos, como puede ser Exiftool.
Otra alternativa es contratar servicios externos que controlen y nos ayuden a sostener vuestros archivos(ordenador) sin metadatos, como puede ser Metashield Protector.
Exiftool nos sorprende al mostrar la enorme cantidad de info(datos). que se esconde en una sencillo imagen JPG.
Registro en portales
Si bien es verdad que día(24hrs) a día(24hrs) diferentes sitios están simplificando mucho el proceso de registro (Sign Up), ya sea por la escasa cantidad de datos que nos solicitan en comparación a unos años atrás, como por la facilidad que bridan muchos al incorporar vuestras cuentas de Facebook, Twitter, Gmail, etc.
Ya sea que nos demos de alta entrando pocos datos o que lo hagamos con algunas de vuestras cuentas preexistentes, continuamente es aconsejable prestar mucha atención. Tanto a “la letra chica” como a los permisos que se nos soliciten.
Registro en eventos públicos
No solo corremos el riesgo que vuestra info(datos). pueda quedar expuesta públicamente si rellenamos formularios online. Esto mismo nos puede suceder cuando nos inscribimos en algún evento en forma presencial, como una promoción de una bebida o un electrodoméstico en un hipermercado. Muchas veces las bases y politicas especifican que nuestros datos podrán ser compartidos con otras marcas y no solo con la marca en la cual nos registramos. Esta práctica es muy común entre algunas empresas, ya que de esta manera colaboran para aumentar sus bases de datos. Así es como muchas veces nos viene propaganda sobre algún producto que quizás no nos interesa.
Pero el agravante se da cuando alguna marca o compañía que efectua estas promociones no cuida correctamente sus activos info(datos). y, en consecuencia, quedan expuestos vuestros datos.
Sorteando mi mail corporativo
Tiempo atrás nos tocó efectuar una evaluación de seguridad a una empresa. Al comenzar con una de las primeras etapas (Information Gathering), nos sorprendimos al hallar casi rápidamente que el mail perteneciente a uno de los empleados había sido utilizado (por el mismo empleado) para registrarse en un sorteo que se estaba realizando en un supermercado. Junto a este mail se encontraban datos como: nombre y apellido, DNI, domicilio, smartphone (fijo y celular).
Si tuvieron la posibilidad de estudiar los tres artículos que publicamos en ediciones previos sobre Ingeniería Social, ya se habrán regalado cuenta que esta info(datos). es oro en polvo para los ciberdelincuentes.
Si se preguntan cómo obtuvimos estos datos… bueno, no nos costó mucho esfuerzo. Realizamos una búsqueda avanzada en Google® donde nos hallamos con un archivo de texto plano expuesto públicamente, dentro de un sitio perteneciente a una compañía que se dedica a efectuar diferentes eventos y promociones.
Recomendaciones
Ahora ya entendemos que antes de aceptar cualquier política nos conviene leerla. Si ingresamos con algunas de vuestras cuentas preexistentes (Facebook, Twitter, Google) debemos prestar atención a los permisos que se nos solicita, o por lo menos saber a qué estamos expuestos.
Recordemos a la vez que al entregar vuestros datos en algún evento o promoción a la vez podemos llegar a correr los mismos riesgos. Es por ello que lo apropiado (en caso que queramos participar sí o sí del evento o promoción en cuestión) es no usar vuestro correo corporativo para eludir de esa manera meter en riesgo a vuestra empresa, como a la vez rellenar solamente los campos obligatorios.
OSINT
Mucha info(datos). valiosa sobre nosotros es demasiado fácil de conseguir.
El término OSINT (Open Source Intelligence) se refiere a todas las fuentes abiertas de información accesibles para el público general. A través de diferentes técnicas y herramientas(tools) se puede adquirir una enorme cantidad de información. Estos datos sirven para armar el perfil de una compañía o persona y en base a ello usarse para diferentes objetivos: marketing, negocios, analisis previos a la contratación de una persona y hasta ciberataques.
Algunas de las fuentes para la elaboración de OSINT pueden ser:
- Medios de comunicación: diarios, revistas, televisión.
- Información gubernamental.
- Redes sociales, foros, etc.
- Eventos, papers y otras publicaciones institucionales.
Si bien muchas de estas fuentes no dependen de forma directa de nosotros (por ejemplo, la info(datos). gubernamental), debemos meter foco y prestar atención a las que sí lo hacen. Por ejemplo: redes sociales, foros, papers y la info(datos). que otorgamos a los medios de comunicación.
Una foto dice más que mil palabras
Muchas veces notamos que las empresas no reparan mucho en las fotos o imágenes(multimedia) que publican en sus sitios y blogs. El hecho es que en reiteradas ocasiones se puede llegar a adquirir algunos de los siguientes datos a través de ellas:
- Disposición física de las workstations y servidores.
- Sistemas operativos utilizados.
- Controles de ingreso y cámaras (tarjetas RFID, huellas dactilares, etc.).
Como se habrán regalado cuenta, es un riesgo que toda esta info(datos). esté habilitado para cualquiera que esté dispuesto a mirar detalladamente algunas fotos e imágenes.
Recomendaciones
Una muy buena práctica es el usar OSINT para con uno mismo o vuestra empresa. Por ejemplo, realizando búsquedas específicas en los buscadores, porque de esta manera se puede “barrer” lo que se reconoce de nosotros y así podemos adelantarnos y actuar en forma proactiva en el caso que coexista algo que nos pueda comprometer.
La entrada El término de la privacidad: Primera parte aparece 1.º en RedUSERS.
Descargar Archivo RAR 1 Link: aquí
Publicamos este articulo sin dañar ni perjudicar a los autores originales de la fuente que aparece más arriba. (No eliminamos ningún enlace original). Respetando en todo ámbito la ley de propiedad intelectual.
La prensa de XperiaC [idcprivacy@gmail.com]
También puedes revisar estas noticias relacionadas.
