xade seguridad informatica, usuario eslabon mas debil en la cadena de seguridad

Usuarios y la seguridad IT

0 Flares Twitter 0 Facebook 0 Filament.io 0 Flares ×

Es muy común escuchar o decir que el usuario es el eslabón más débil en la cadena de seguridad informática. Pero realmente a que nos referimos cuando se menciona esta frase?. Además nos hemos puesto analizar, ¿si el usuario es tan susceptible a amenazas o ataques, se han aplicado las medidas adecuadas para minimizar el riesgo en las compañías?.

Este artículo es el primero de una serie que tiene como objetivo fundamental proporcionar al usuario el conocimiento y habilidades necesarias para minimizar el riesgo de ser víctima de un ataque digital, tomar las medidas adecuadas para poder hacer uso de las tecnologías e instruir a otros en el buen uso de estas.

Al hablar de seguridad no podemos dejar todo en manos de los sistemas, ya que por muy elaborados, probados y analizados que hayan sido, siempre presentan algún fallo, por ello constantemente las grandes compañías que los desarrollan  liberan actualizaciones para corregir dichos fallos o aplicar mejoras. Hay que tener muy en cuenta que la seguridad no solo se limita a medios digitales, también involucra la parte física, pensemos que tenemos un centro de datos el cual cumple con todos los estándares, pero la barrera o seguridad física que tiene solamente es una puerta sin cerradura.  Dejar una brecha sin seguridad o vulnerable, puede ser fatal para cualquier organización o persona.

Si para elaborar un sistema o montar un centro de datos hay muchas personas involucradas, con amplio conocimiento de la materia, aun siendo así el riesgo es latente,  que podemos pensar del usuario?. Hay muchos con bastante conocimiento como hay otros que no lo tienen, como controlar y asegurar la información, redes, comunicaciones, etc. con tantas personas haciendo uso de ellas y sin la suficiente capacidad para poder detectar un ataque o saber si se encuentran en riesgo. Muy complicado, verdad?.

Hace un tiempo fui contratado por una empresa cuyo alcance del trabajo era detectar y evaluar la seguridad. Tenía como tiempo límite un mes y los ejecutivos de la compañía se sentían tranquilos porque su departamento de informática les había asegurado que con la inversión realizada era casi imposible penetrar sus sistemas.

Estuve casi las cuatro semanas realizando reconocimiento, analizando la información recopilada, escaneando y monitoreando sus redes, pero no tuve éxito. Realmente,  si tenían un ambiente bastante seguro, pero hay que tomar en cuenta que un análisis requiere más tiempo. Sin embargo el último día antes que se cumpliera la fecha límite, llegue a la empresa a presentar unos documentos y en ese momento pensé, las cláusulas del contrato no especificaban nada que me limitara a hacer uso de los empleados de la empresa. Por ello, me acerque a uno de los empleados, le pedí que si me podía imprimir un documento y el muy amablemente lo hizo. Unos minutos después me marche, encendí mi computador y había logrado acceder a la red de la empresa a traves de  un troyano que me abrio una puerta trasera, logrando propagarse  en tres computadoras y desde cada equipo infectado envié un correo electrónico a la persona encargada como prueba de la penetración. ¿Cómo lo hice?, simplemente un troyano en la memoria USB, quien fue mi canal de acceso: el usuario.

La falla fue de ambos, tanto de la compañía por no tener políticas de seguridad, restricción en los accesos, como del usuario por dejarse persuadir. Falta de conocimiento, de cultura informática segura o simplemente por confianza evidenciaron que una inversión tan grande no minimiza los riesgos a cero.

Con este breve ejemplo, bastante común se logra presentar y argumentar el porqué de la frase el usuario el eslabón más débil en la cadena de seguridad. En los siguiente artículos analizaremos como dotar a los usuarios de buenas prácticas para no ser víctimas o conejillos de indias de un ataque.

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

0 Flares Twitter 0 Facebook 0 Filament.io 0 Flares ×