En 2016 una startup que tenía con unos compañeros tuvo su sede en el Campus de Google, y por eso, aunque un servidor es más de trabajar desde casa, de vez en cuando me dejaba caer por las oficinas de Google.
Al no tener una plaza fija, me tocaba compartir espacio con otros «entrepeneurs», en esa distribución de salas tan de moda últimamente, y que en teoría fomentan el «networking».
El caso es que ya por aquel entonces analicé lo que para un servidor eran varios errores debidos a una «Política de Confianza» muy permisiva.
Recordemos que en aquellas oficinas del Campus de Google trabajaban, y trabajan, algunas de las startups más reputadas del país.
Sin embargo, entrar, al menos hasta la planta baja, lo puede hacer cualquiera. Tan solo hay que crearse una cuenta online, y acceder a la zona común.
Que dices tú, pues oye, ¿qué problema hay en esto?
Si la startup sabe hacer las cosas bien a nivel de seguridad, mantendrá todos los sistemas informáticos en las plantas superiores.
La cuestión es que:
- Por un lado, todos vamos a entrar por la planta baja: Lo que en la práctica supone que todos esos trabajadores en algún momento van a tener que pasar por las zonas comunes.
- Por otro lado, la cafetería está en la planta baja: Descontando alguna máquina de café y cuatro cosillas más que había en cada piso, incluso el «entrepeneur» más «entrepeneur» del mundo en algún momento tendrá la imperiosa necesidad de bajar y pedirse, aunque sea, una cookie de chocolate.
- Sin olvidarnos de que, además, las reuniones con clientes o posibles stakeholders se hacían, por comodidad, en espacios que no siempre eran privados, y muy probablemente aprovechando esos sillones del fondo de la planta baja, que quedaban genial para hacer negocios y sacarse fotos en Instagram.
Pues a todo esto súmale las facilidades de conexión (la contraseña de la WIFI pública la tenías puesta por todos los lados), con la posibilidad de emular dicha conexión para que terceros se conecten sin saber a tu red.
El impacto que puede tener el shoulder surfing (es decir, ver lo que está haciendo la víctima tan solo con sentarse detrás de ella) en un entorno tan abierto.
Y el potencial impacto que podría llegar a tener el meter un malware en un USB muy chulo, como el que de hecho mencionaba en el artículo, y que había regalado a mis queridos mecenas (un USB con la forma de Dark Vather).
Que ojo, no lo digo yo, sino un estudio (EN) que ese mismo año hacían un grupo de investigadores de la Universidad de Illinois Urbana-Champaign.
Dejaron 297 llaves de memorias USB repartidas por el campus, y esperaron a ver qué pasaba.
¿Que qué pasó? Pues que casi el 50% de esos caballos de troya fueron conectados a un ordenador.
Hablamos de 2016, y las cosas habrán cambiado, ¿verdad?
Pues parece que no.
Un nuevo estudio, esta vez de Expel, llegaba a la conclusión de que el 9% de los ataques que afectan a las organizaciones estudiadas venían dados por malware en dispositivos USBs (EN). Está al mismo nivel de amenaza que el robo de credenciales, que se dice pronto.
Por supuesto, el principal vector de ataque siguen siendo las campañas de phishing, con un terrible 49%, pero es que la segunda-tercera sigue siendo, casi una década más tarde, los dispositivos «removables».
Terrible, y real, como la vida misma…
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.