Continuando, de alguna manera, con el tema del factor humano en la seguridad informática. Ayer he recibido mi ejemplar de la PC Magazine Argentina, edición Noviembre de 2006. Estoy suscripto (en el kiosco de Don Bulacio, en la esquina de mi casa). En esta edición hay una nota publicada por Robert Lemos, donde se hace referencia a los problemas de seguridad, esta ves asociados al uso de las unidades USB Flash.
Protégete de Flash (*): Los empleados y usuarios caseros constituyen el eslabón más débil en la seguridad de las computadoras. La gente navega hasta sitios inseguros y proporciona sus contraseñas a cambio de una pluma gratis. Acepta CD-ROM de extraños y los usa en los ordenadores de la compañía. En cada caso, el empleado cae ante el troyano, por medio del cual el enemigo espera violar las defensas de tu empresa o equipo casero.
Ahora, a la lista de troyanos podemos agregar unidades USB, esos populares dispositivos de almacenamiento flash portátiles que comparten el espacio de tus bolsillos con las llaves de tu auto y casa. Un grupo de asesores de seguridad descubrió que las unidades USB pueden ser la forma perfecta para aprovecharse de los usuarios inocentes.
En una prueba sobre la seguridad de una unión de crédito, la empresa de auditoría Secure Network Technologies distribuyó 20 unidades USB flash en el edificio del grupo financiero. Durante el día, los empleados tomaron 15 unidades y las conectaron a sus PC.
Cada una de éstas tenía un grupo de archivos de imágenes, uno de los cuales era un programa autoejecutable. Mientras los 15 usuarios observaban cada archivo, el sencillo programa, activado por la falsa imagen, estableció contacto con el sitio web de los asesores. Éstos no tuvieron ningún problema para usar los datos obtenidos por las unidades USB troyanas y podrían haber puesto en grave peligro el sistema de computadoras, si así lo hubieran querido.
Los riesgos que las unidades USB representan no son nuevos. Cualquier medio de almacenamiento, desde las cintas magnéticas, son potenciales vehículos para virus, troyanos u otros programas malignos.
Las compañías apenas empiezan a considerar una defensa contra la amenaza de los empleados a distancia que regresan a la oficina con laptops comprometidas o infectadas por haber navegado en casa durante el fin de semana o trabajado en hotspots públicos no seguros y luego conectado a la red alámbrica local. El hecho de agregar unidades USB, iPod y otros dispositivos pequeños complica la ecuación de seguridad.
Los dispositivos de almacenamiento pequeños están destinados a ganar cada vez más popularidad. La tecnología del escritorio en un disco, que te permite llevar contigo un sencillo dispositivo de almacenamiento, conectarlo a una computadora y utilizar información y aplicaciones propias, parece lista para estrenarse. Black Dog y U3 ofrecen dispositivos que se ejecutan de manera automática en cualquier sistema Microsoft Windows al conectarlos en un puerto USB.
Microsoft proporciona una solución al problema y permite a las compañías establecer políticas de grupo que imposibilitan el uso de dispositivos USB de almacenamiento. Sin embargo, muchas empresas quieren que sus empleados tengan la capacidad de utilizar éstos, pero no de descargar información. Otras te protegen de mayor variedad de dispositivos, tienen más características de auditoría y permiten políticas detalladas.
Asimismo, las compañías deben exigir que todos los escritorios tengan software de seguridad para evitar que programas malignos se ejecuten o conecten a web. Y como las unidades USB no funcionan sin que un usuario las enlace a una computadora, las empresas deben educar a sus empleados sobre los peligros de éstas.
Al final, los dispositivos de almacenamiento son sólo una forma de manejar la información, sea un código maligno o propiedad intelectual de una compañía para moverla de un lugar a otro. Debemos tomar en serio su seguridad.
(*) Por Robert Lemos para PC Magazine Argentina, Edición Noviembre de 2006, pág. Nº 44.
En