La seguridad física también importa

Casa con sombrilla
FacebooktwitterinstagramFacebooktwitterinstagram

Casa con sombrillaLeer un interesante artículo en fawerwayer.com en el cual la empresa Netagard «colaba» un ratón con una memoria USB a la que le habían introducido un troyano, me ha rescatado de la memoria parte de una auditoría que realicé hace años, cuando trabajaba para mi anterior empresa.

En esta auditoría, «dejábamos olvidados» encima de la mesa de algunos usuarios, memorias USB de 16 megas, que contenían una versión modificada de VNC con la cual era posible obtener acceso al equipo en remoto y que era lanzada y copiada al equipo huesped, en cuanto el usuario introducía el dispositivo mientras era distraído por una presentación de BMW.

En esta misma auditoría, pudimos introducir varias cajas plegadas, que una vez montadas, se colocaron al lado de las fotocopiadoras e impresoras con el fin de simular las que dejan las empresas de reciclado de papel pero con la frase «Unicamente documentación confidencial. Empresa XXXX de destrucción de documentación certificada según Artículo 66.6 de la administración general de seguridad»

Ni siquiera un cartel tan «rimbombante» y cuyo enunciado era totalmente falso, indujo a la sospecha a nuestros confiados usuarios, que en menos de 3 horas, nos habían proporcionado información relativa a nóminas, listados de personal, etc.

Este par de apuntes, debería servirnos para tomar en consideración algunos aspectos de la seguridad física y lógica en nuestras empresas y también, porque no, en nuestros hogares. Imaginemos que hacemos varios CDs fingiendo ser la publicidad de una marca de móviles o que mediante la observación de nuestros buzones, alguien sepa que proveedor tenemos contratado y simule una «actualización del router wifi» que no hará otra cosa que troyanizar nuestro dispositivo o cualquier otra función que se le ocurra al pirata de turno.

Algunas de estas comprobaciones, junto con otras más, pueden encontrarse en estándares de auditoría como OSSTMM.

Ser precavidos e incluso un poco «paranoicos», con la seguridad es gratis. Lo que resulta realmente caro son las posibles consecuencias!!

Saludos,

FacebooktwitterredditlinkedinmailFacebooktwitterredditlinkedinmail
  • Y que decir de los emails que recibe el admin de un dominio que anteriormente se dejo caducar por otra empresa? O los emails que por escribir mal una direccion erronea le llegan al admin en lugar de al destinatario?

    • Pues si, la verdad es que hay muchos frentes abiertos cuando se intenta lograr un nivel aceptable de seguridad y pocas empresas tienen una política de seguridad acorde con los tiempos que corren. Habrá que estar atentos e intentar dejar el menor número posible de cabos sueltos 🙂

      Gracias por tu anotación 🙂

      Slds,

  • Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *