¿Qué tan expuestos estamos a los ciberataques con la información que compartimos en nuestras redes sociales?, ¿comentar una fotografía podría, dar una opinión en un foro o realizar compras online podría ponernos en riesgo?.
Existen aplicativos que para ser utilizados solicitan accesos a fotografías, contactos, publicaciones y gustos.
Andrés Roldán, partner y offensive team leader de Fluid Attacks, señaló a gestion.pe que la red social con la que nuestra información está más expuesta es Facebook, “es la red social que más datos captura, por lo tanto hay que ser muy cuidadosos en las configuraciones de privacidad porque puede mostrar nuestra lista de amigos, los lugares que se visita, los grupos a los que se pertenece y localizaciones”.
“Ante la abundancia de información que se encuentra esparcida en Internet, resulta fundamental ser precavidos y evitar convertirse en el objetivo de un atacante”, agrega.
LEA TAMBIÉN: Contraseñas y suplantación de marcas, ¿qué deben tener en cuenta los usuarios?
¿Qué tipo de información debería evitar compartir?
Mas allá de evitar, comenta, se tiene que ser consciente de qué es lo importante cuidar. “No solo para evitar no solo el robo de información, sino el acceso y conocimiento a terceros de la información del usuario, como lugar de residencia, estilo de vida, trabajo y correo electrónico”.
“Basado en la información que está pública de una persona o compañía se puede usar para perfilarla no necesariamente para robar la información, sino que hay compañías que se dedican a obtener información de personas para comercializarla, de acuerdo a la localización, preferencias; para que las empresas puedan hacer mercadeo con esa información”, detalló.
Cabe recordar que cuando nos referimos a datos personales se considera a toda información que identifica a una persona: nombres apellidos, dirección, fotografías, huella digital, entre otros.
Su importancia, en el entorno digital, se debe a que permite acceder a internet a través de redes sociales; por ello, es importante leer las políticas de privacidad antes de entregar acceso a nuestra información.
LEA TAMBIÉN: El valor del secreto empresarial, en Perú el 70% está vinculado a tecnológica
Protección de datos
La compañía de ciberseguridad para empresas, destacó cómo la Inteligencia de Fuentes Abiertas (Open Source Intelligence, Osint) se ha transformado en una modalidad efectiva para conocer detalles significativos sobre una persona y sobre la empresa para la cual trabaja.
Esta inteligencia es el resultado de recolectar, relacionar y analizar información. “Las Osint es una técnica para hacer inteligencia sobre una persona o una empresa utilizando fuentes abiertas, recursos en línea e información pública. La investigación comienza con identificadores, es decir, palabras clave únicas, como nombre, apellido, correo electrónico, compañía, teléfono, dominio, dirección IP y usuario en redes sociales”, detalla Roldán.
El siguiente paso es la correlación, es decir, buscar esos identificadores por toda Internet y enlazar la información similar para descubrir nuevos indicadores. Al correlacionar todos los indicadores con una sola persona o empresa, se logra realizar una investigación a profundidad”.
“Así, el Osint puede ser usado por actores maliciosos para el reconocimiento de una empresa”, agrega.
Estos pueden utilizar la inteligencia recogida para atacar blancos fáciles, aprovechándose del error humano. “Un hecho alarmante es que la detección de un ataque puede tardar hasta más de 200 días.
LEA TAMBIÉN: Siete consejos para proteger tu marca y evitar problemas legales
En esa líena, señala tres acciones de defensa para que las empresas y las personas eviten ser víctimas de robo de información:
● Eliminar información para limitar los identificadores: Es importante tener presente en qué redes sociales tiene actividad la organización. Se recomienda a las empresas minimizar la cantidad de información delicada en acceso público.
“Además, esta recomendación puede relacionarse con la educación a los empleados para que eliminen las cuentas en redes sociales que no utilizan, limiten quiénes pueden ver su información y conozcan que pueden ser víctimas de engaños basados en Osint”, indica.
Con respecto a esta última amenaza, se encuentra la posibilidad de que actores malintencionados se ganen la confianza de sus empleados, alegando intereses o actividades comunes, para influenciarlos a que actúen de formas que comprometan la seguridad de la empresa.
● Confundir por medio de información falsa para limitar la correlación: Si bien la mejor prevención es que los empleados limiten la cantidad de información personal que comparten en Internet, también pueden evitarse problemas de seguridad al alterar los metadatos (datos que describen a otros datos) de los archivos que comparten.
Información como fechas, nombres de aplicaciones y dispositivos, e incluso datos de geolocalización pueden en algunos casos modificarse, además de eliminarse.
● Aplicar en beneficio propio el método de inteligencia: Permitirá conocer qué identificadores de la compañía se encuentran en acceso público y si hay información delicada que puede ser utilizada por actores maliciosos. Ligado a esto se puede aplicar un método llamado Cacería de Amenazas (Threat Hunting), por medio del cual se comprende en qué entorno se encuentra, cómo fluye, y cómo se protege la información de la empresa.
“Entendiendo las técnicas que usan los ciberdelincuentes, los expertos en Osint ético pueden identificar movimientos anómalos dentro de los sistemas y seguir pistas para detectar posibles amenazas y riesgos a mitigar, para que luego se generen mejores controles y se optimice la seguridad de la empresa”, subraya Roldán.
¡Beneficios ilimitados con tu suscripción a Gestión! Disfruta de hasta 70% de dscto. en más de 300 promociones del Club de Suscriptores, que además podrás usar todas las veces que quieras. Conócelos aquí ¿Aún no eres suscriptor?, adquiere tu plan aquí.