6
Riesgos al tener empleados conectados
Por
Daniel Flores
Internet ha crecido hasta convertirse
en el mayor centro de referencia de información de todo tipo. Al mismo tiempo,
se ha vuelto un paraíso de las conductas inadecuadas y los ataques a los
sistemas; además representa una desventaja para cualquier compañía que no
controle el uso de la red por parte de sus empleados.
Debido a la naturaleza peligrosa de
muchas amenazas, el uso de internet hasta de un único empleado no monitoreado
en un solo sistema sin control es capaz de devastar la red interna de una
compañía, borrar datos críticos y finalmente arruinar la habilidad de la
empresa de llevar a cabo sus operaciones.
Es claro que los empleados actualmente
confían en internet para realizar el flujo de trabajo cotidiano y que quitar
ese acceso provocaría una fácil y grave afectación de la productividad. Debido
a ello, las empresas precisan buscar la disminución de las amenazas asociadas
con el abuso de internet por parte de los empleados.
=
Navegación inapropiada =
Resulta muy difícil y subjetivo
definir que es la navegación inapropiada. Lo que un empleado considera
apropiado, quizá sea considerado ofensivo o incluso hostil por parte de otro.
Un ex Juez de la Suprema Corte de Justicia de USA sustentó en un juicio que la
pornografía era difícil de entender pero “la identifico cuando la veo”. Luego
se retractó de esa afirmación en un caso posterior, cuando se dio cuenta de que
este punto de vista era “simplemente insostenible”. Debido a la subjetividad
inherente en determinar que es el contenido ofensivo, muchas empresas
restringen el uso de la web sólo a los propósitos de la empresa. Una solución
técnica típica involucra la instalación de un dispositivo que permita o bloquee
el tráfico a ciertos sitios web según su contenido. Podría decirse que
implementar un aparato el cual determine lo apropiado del contenido como parte
del control de acceso a internet pasa la carga responsable de la empresa a la
firma proveedora de la solución.
En cualquier caso, la navegación
inapropiada tal vez perjudique la moral del empleado, así como la
productividad. Son necesarias las soluciones técnicas para monitorear y
controlar los hábitos de navegación de los empleados para establecer una
referencia consistente de lo que se considera “apropiado”.
=Spyware=
El spyware viene en distintas
variedades, y es posible usar combinaciones de diferentes tipos de estos
intrusos maliciosos en busca de crear lo denominado “amenaza combinada”, se
usan diversos tipos de spyware, muchas veces llamados keyloggers, para poner en
riesgo la información de y robarse información personal o propiedad de una
empresa.
Los keyloggers, monitorean cada
teclazo de los usuarios de las computadoras con la esperanza de hallar una
serie que resulte ser una contraseña o el número de una tarjeta de crédito.
Cuando se identifica una serie de teclazos así, se carga a través de un
discreto proceso de fondo a una ubicación central donde es factible recuperarla
y utilizarla.
Una vez instalados los keyloggers
suelen copiar todos los datos ingresados en la computadora infectada y son
parte importante del robo de identidad.
Otros tipos de spyware, también
conocido como adware, se utilizan para monitorear los hábitos de navegación en
la web de los usuarios a fin de ofrecerles sitios alternativos.
Estas aplicaciones se ejecutan en el
fondo y muchas veces se ocupan para mostrar anuncios en ventanas emergentes.
Si alguna vez te ha salido una ventana
emergente publicitaria sin que hayas hecho nada en la computadora, es probable
que tengas el resultado de una aplicación furtiva de spyware, estos tipos de
spyware no necesariamente ponen en riesgo los datos, pero a veces hacen lento
un sistema y reducen la productividad del empleado.
=
Chat y Messenger =
La mensajería instantánea es una
herramienta útil para las comunicaciones entre los empleados, pero también una
distracción importante si éstos tienen conversaciones no relacionadas con el
trabajo con otros individuos ya sea dentro o fuera de la organización. Es
posible imaginarse que los empleados sin acceso supervisado podrían pasar
muchísimo tiempo comunicándose con amigos y familiares durante las horas de
labor o chateando con otros empleados, lo cual limita su habilidad de ser
productivos. También evitarían los controles corporativos internos para la
protección de datos, al transferir fuera de la red con facilidad la información
delicada. El uso de éstas aplicaciones expone la infección por troyanos
incluidos en los archivos que éstas mismas aplicaciones permiten transferir
entre usuarios.
Los protocolos que sirven para los
mensajeros por la web también son la vía de un tipo de embate conocido como
zombie attack. En éste, un agresor utiliza los protocolos para infectar
múltiples máquinas con una aplicación bajo el control de una consola central. Mediante
esta aplicación, el perpetrador ordena a todos los zombies infectados que
efectúen procesos como eliminar información o enviar información confidencial
(como cuentas de correo electrónico, cuentas bancarias, contraseñas, etc.) a un
sitio determinado. Este tipo de agresión se llama denegación distribuida de
servicio (DDoS). En los ataques DDoS cientos de miles de zombies buscan enviar
cantidades masivas de datos al sitio infectado a modo de impedir su
funcionamiento.
=Phising=
Es una herramienta relativamente nueva
de los criminales para guiar a los desprevenidos usuarios del correo electrónico
a sitios fraudulentos con el propósito de recuperar información personal. El Phising
emplea correos electrónicos diseñados para imitar sitios legítimos como los de
los bancos bien conocidos o paginas populares como eBay, Amazon y demás. Estos
mensajes electrónicos de apariencia oficial le piden al usuario iniciar su
sesión en un sitio web para que ingrese o confirme una solicitud de información.
Cuando el usuario le da clic a la liga
del correo, llegan a un sitio que apenas es distinguible del legítimo. Debido a
esto el usuario desprevenido no siente peligroso ingresar información personal
como las contraseñas de inicio de sesión y la información de las cuentas
bancarias.
=Malware=
Es la abreviatura en ingles de
Software Malicioso y es un subtipo de Spyware. El termino malware describe todo
tipo de software diseñado para dañar un sistema de computo, borrar información
o interrumpir el procesamiento normal de la computadora infectada, el Malware
tiene muchas clasificaciones, incluida la de virus, gusanos y caballos de Troya,
todo esto es software que se baja sin desearlo a la computadora de un empleado
al darle clic a la liga de un sitio web.
Los virus y los gusanos son en
especial dañinos porque ambos son tipos de software que poseen conductas
programadas, cuando un gusano entra en una red, es capaz de hacer dos cosas:
primero empieza a duplicarse en otras maquinas desprotegidas de la red interna,
por lo general también empieza a procesar su carga, es decir el código que debe
ejecutarse en cada máquina infectada, esta carga a veces conlleva la revelación
de información de una entidad externa, el borrado de información o el daño ocasionado
al sistema operativo.
=Las
aplicaciones Peer-to-Peer (P2P)=
Las aplicaciones P2P, se han hecho más
populares en los últimos años por que ofrecen a los usuarios una manera fácil y
conveniente de compartir archivos, aplicaciones y datos entre muchas otras
cosas dentro de sus redes P2P, por desgracia este tipo de aplicaciones se usan
muchas veces para compartir contenido con derechos de autor como música o
videos, debido a la facilidad de distribución del material una vez que se ha
compartido, P2P transfiere con rapidez los datos de un lugar a otro a través de
una serie de redes en mallas.
Muchas aplicaciones P2P también se
configuran para compartir el disco duro de una persona en Internet, esta
característica abre la posibilidad de que los archivos importantes almacenados
en la ubicación donde se comparte se pongan al alcance de otros para que los
vean y los descarguen.
Esto también hace posible transmitir a
grupos externos la información delicada del cliente o de la empresa, lo cual
genera problemas legales y financieros capaces de perjudicar gravemente a una
organización.
