Genérico 4min de Leitura - 17 de septiembre de 2020

Problemas con zoom plantean dudas sobre la seguridad de los softwares en el teletrabajo

This post is also available in: Español Português

Organizaciones como Anviasa y la fabricante de cohetes SpaceX llegaron a prohibir su uso. Este recelo también se extiende a otras herramientas usadas en el teletrabajo.

Los efectos del COVID-19 en las jornadas de trabajo crearon un desafío sin precedentes a los equipos de TI y seguridad. Muchos de estos sectores están esforzando para habilitar aplicaciones para el trabajo, como videoconferencias y de gestión.

Sin embargo, sin la debida seguridad, puede ser un gran riesgo. A medida que la pandemia del coronavirus continua su paso, las plataformas de auxilio remota están siendo usadas como nunca.

Muchas de ellas se hicieron famosas de la noche a la mañana, lo que produjo contratiempos considerables. La aplicación de videoconferencia Zoom, por ejemplo, se ha convertido en noticia por haber presentado serios problemas.

Entre ellos, están la falta de programación, deficiencias en el encriptado que protege la comunicación entre los usuarios y el hecho de que el servicio compartía los datos con Facebook y LinkedIn sin dejar eso claro.

Zoom llegó a ser prohibido por organizaciones como la Agencia Nacional de Vigilancia Sanitaria (Anviasa), la fabricante de cohetes SpaceX y las Fuerzas Armadas Australianas.

Los desarrolladores prometieron mejorías, pero con el miedo de invasiones y filtraciones de datos, algunos comenzaron a ver la competencia.

No obstante, otras herramientas de trabajo como Slack, Trello, WebEx y Microsoft Teams también empezaron a ser vistas con cierta desconfianza.

Para las empresas que se apoyan en las plataformas, la seguridad y agilidad son prioridades. Basta con una falla para que haya violaciones de datos, daños a la marca e infección por malware. No es exageración decir que los cibercriminales pasan días buscando nuevas debilidades.

En marzo, por ejemplo, fue encontrada una vulnerabilidad grave en Slack, que podría permitir adquisiciones automáticas de cuentas (ATOs) y llevar a violaciones de datos. En determinadas situaciones, las cookies podrían ser recolectados y usadas posteriormente para asumir las cuentas, tanto en ataques manuales, como en automáticos. Además del Slack, el WebEx también tuvo fallas de seguridad. Su fabricante, Cisco, corrigió dos vulnerabilidades muy graves en la plataforma de videoconferencia. Que, de ser explotadas, podrían permitir que el invasor ejecute los códigos en los sistemas afectados.

A principio de año, fue encontrado un bug que permitía participar a extraños, de reuniones protegidas por contraseñas, lo cual era preocupante por la exposición de datos.

Manos llenas para los hackers

Además de explotar los bugs de seguridad, los cibercriminales cuentan con otras oportunidades de ataque. Slack, Microsoft Teams, entre otros, poseen elementos de mensajes que pueden ser usados para phishing y malware por medio de links y documentos adjuntos. Pueden llegar al punto de personificar un trabajador en las conversaciones y enviar adjuntos malintencionados, que se esparcen a otras cuentas de empleados.

Esas aplicaciones también pueden tener errores en su configuración. La popular plataforma de trabajo on-line Trello, usada en las empresas para organizar listas de tareas y coordinar funciones de equipos, tienen un problema porque es indexada a Google si sus cuadros se definen públicos. Esos contenidos pueden ser buscador a través de una búsqueda especial llamada Dork.

Esa configuración es sorprendentemente fácil de ser implementada por error, como sucedió en la empresa Regus.

En Regus, un cuadro de Trello expuso las clasificaciones de desempeño de centenas de trabajadores. El incidente, se debió a que los trabajadores definieron sus paneles como públicos sin darse cuenta lo fácil que era para algunos encontrarlos.

También, hay vulnerabilidades que son fruto de acciones oportunistas más versátiles. Un ejemplo es Slack, que ofrece una biblioteca de software con complementos que pueden ser instalados con apenas algunos clics.

Un hacker puede crear un complemento que anuncia óptimos recursos, pero al mismo tiempo lee datos privados de manera silenciosa. Si un usuario instala tal función por error, podría exponer informaciones valiosas.

El riesgo de la colaboración

Los cibercriminales están aprovechándose de todas esas oportunidades de ataques por que las aplicaciones de colaboración ofrecen un basto universo de informaciones, que vale oro en manos de hackers.

El propio término “colaboración” lo indica, es la comunicación de ideas, conceptos y proyectos entre varias partes. Por eso, los usuarios colocan todo, lo que le ofrece al hacker (si lo logra), acceso sin restricciones a los datos potencialmente valiosos.

La cuestión es que los datos internos de muchas empresas, archivos de clientes, informaciones de sistemas internos, credenciales e informaciones confidenciales pueden encontrarse en esas plataformas.

Si los hackers tuviesen acceso a la plataforma debido a un reúso de contraseña o un ataque de relleno de credenciales, estarán disponibles todas estas informaciones discutidas, archivos transferidos u otros datos privados de la empresa.

Si los usuarios discuten abiertamente informaciones confidenciales, o tópicos relacionados a la propiedad intelectual de la organización, los hackers pueden recolectar todas las informaciones y filtrar con simplemente copiar y pegar, o hacer descarga de los archivos. Una idea prometedora de negocio podría ser robada en ese proceso.

Prácticas recomendadas

Para reforzar la idea de la seguridad de aplicaciones de colaboración, lo ideal es pensar en la cero confianza, o sea, partir de la idea que los sistemas usados pueden traer fallas.

Por lo cual, los usuarios deben adoptar comportamientos que disminuyan las amenazas. Prácticas rutinarias de seguridad y educación deben ser aplicadas a las plataformas de colaboración de la misma manera que son usadas en otras actividades en la empresa.

Teniendo este método, cero confianza, en mente, los equipos de seguridad precisan conocer, entender y aplicar los permisos concedidos a los usuarios.

Por eso, los equipos de seguridad deben hacer preguntas como: ¿los usuarios tienen acceso a todo el site/sistema o a penas a una biblioteca de documentos específica? ¿Todos los usuarios tienen acceso y participación en los canales de su equipo, o tienen acceso a todos los canales de la organización?

Así las empresas deben garantizar que el principio del menor privilegio sea seguido, para que los trabajadores tengan acceso solamente a lo necesario para sus actividades rutinarias y legítimas.

Los equipos de TI solo deben permitir la instalación de complementos por administradores y seguir un proceso riguroso de revisión antes de instalar.

En resumen, con la pandemia, es necesario garantizar que las plataformas de colaboración se mantengan bajo el mismo patrón que otras actividades desempeñadas. Eso incluye exigir que las contraseñas siempre sean seguras y complejas, usar autenticación múltiple y aplicar los mismos controles en informaciones confidenciales que sean usadas en la plataforma de email dentro de la sede.

Al mismo tiempo, los usuarios deben ser entrenados para entender cómo funcionan las trampas de phishing a través de Slack, Zoom, Trello o en un chat de WhatsApp.

Además, es necesario crear conciencia sobre lo que se debe y no se debe compartir en una plataforma de trabajo, por más que el home office inspire un aire más relajado.

This post is also available in: Español Português