En 2016 una startup que tenía con unos compañeros tuvo su sede en el Campus de Google, y por eso, aunque un servidor es más de trabajar desde casa, de vez en cuando me dejaba caer por las oficinas de Google.
Al no tener una plaza fija, me tocaba compartir espacio con otros «entrepeneurs», en esa distribución de salas tan de moda últimamente, y que en teoría fomentan el «networking».
El caso es que ya por aquel entonces analicé lo que para un servidor eran varios errores debidos a una «Política de Confianza» muy permisiva.
Recordemos que en aquellas oficinas del Campus de Google trabajaban, y trabajan, algunas de las startups más reputadas del país.
Sin embargo, entrar, al menos hasta la planta baja, lo puede hacer cualquiera. Tan solo hay que crearse una cuenta online, y acceder a la zona común.
Que dices tú, pues oye, ¿qué problema hay en esto?
Si la startup sabe hacer las cosas bien a nivel de seguridad, mantendrá todos los sistemas informáticos en las plantas superiores.
La cuestión es que:
- Por un lado, todos vamos a entrar por la planta baja: Lo que en la práctica supone que todos esos trabajadores en algún momento van a tener que pasar por las zonas comunes.
- Por otro lado, la cafetería está en la planta baja: Descontando alguna máquina de café y cuatro cosillas más que había en cada piso, incluso el «entrepeneur» más «entrepeneur» del mundo en algún momento tendrá la imperiosa necesidad de bajar y pedirse, aunque sea, una cookie de chocolate.
- Sin olvidarnos de que, además, las reuniones con clientes o posibles stakeholders se hacían, por comodidad, en espacios que no siempre eran privados, y muy probablemente aprovechando esos sillones del fondo de la planta baja, que quedaban genial para hacer negocios y sacarse fotos en Instagram.
Pues a todo esto súmale las facilidades de conexión (la contraseña de la WIFI pública la tenías puesta por todos los lados), con la posibilidad de emular dicha conexión para que terceros se conecten sin saber a tu red.
El impacto que puede tener el shoulder surfing (es decir, ver lo que está haciendo la víctima tan solo con sentarse detrás de ella) en un entorno tan abierto.
Y el potencial impacto que podría llegar a tener el meter un malware en un USB muy chulo, como el que de hecho mencionaba en el artículo, y que había regalado a mis queridos mecenas (un USB con la forma de Dark Vather).
Que ojo, no lo digo yo, sino un estudio (EN) que ese mismo año hacían un grupo de investigadores de la Universidad de Illinois Urbana-Champaign.
Dejaron 297 llaves de memorias USB repartidas por el campus, y esperaron a ver qué pasaba.
¿Que qué pasó? Pues que casi el 50% de esos caballos de troya fueron conectados a un ordenador.
Hablamos de 2016, y las cosas habrán cambiado, ¿verdad?
Pues parece que no.
Un nuevo estudio, esta vez de Expel, llegaba a la conclusión de que el 9% de los ataques que afectan a las organizaciones estudiadas venían dados por malware en dispositivos USBs (EN). Está al mismo nivel de amenaza que el robo de credenciales, que se dice pronto.
Por supuesto, el principal vector de ataque siguen siendo las campañas de phishing, con un terrible 49%, pero es que la segunda-tercera sigue siendo, casi una década más tarde, los dispositivos «removables».
Terrible, y real, como la vida misma…
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂
