Errores comunes en las pymes: Ataque a la cadena de suministro

Estudio del caso: un análisis de prácticas de seguridad insuficientes en una pequeña agencia de publicidad.

A Juan no le gustan las llamadas por la mañana. No es que sea vago, lo que pasa es que cree que el trabajo debería comenzar una vez que se haya restablecido el equilibrio emocional tras sufrir el tráfico hasta llegar al trabajo y, desde luego, no hasta la segunda taza de café. Pero el teléfono no dejaba de sonar.

“¡Dame un respiro! ¿Es que no sabe la gente que es de mala educación colgar después del tercer tono? ¡No tienen respecto!”, gruñe Juan, mientras intenta desenterrar el teléfono entre el montón de su escritorio que vuelve a sonar.

“Juan, no me funciona la memoria USB”, se lamenta el diseñador gráfico desde el otro lado de la línea.

“Claro, porque desactivé hace siglos todos los puertos de tu dispositivo. Ya sabes que todos los archivos tienen que cargarse a través de un ordenador seguro, habla con Alberto. ¡Si por mí fuera, os impediría el acceso a Internet!” responde y añade para sí mismo, “y os arrancaría los brazos también”.

“¡Lo sé, lo sé! Pero no me pasa solo a mí, ¡no se cargará en ningún ordenador! Por favor, ayúdame, es muy importante. Tenemos que cambiar el diseño rápido o me matarán. Alberto no volverá hasta después de comer”.

“Marcos, acordamos que todas las tareas pasaran por Alberto, todos los documentos pasan por su ordenador. Es el único del departamento con antivirus. De todas formas, ¿Quién te ha entregado archivos en una memoria USB?”.

“Cristina. Me pidió que realizara unas correcciones urgentes al diseño del folleto. Tenemos que imprimirlos cuanto antes. Me matará si no lo hacemos de inmediato, no le importa que Alberto no esté. Ya sabes cómo es”.

“Esa memoria será mi fin. Bueno, ahora voy”.

Juan cuelga y reflexiona. Sí, su jefa es un ogro y no se preocupa por convenciones como el procedimiento para transferir archivos de fuentes externas. El administrador de sistemas se levanta, se estira, se pone el portátil bajo el brazo y de dirige al área de diseño.

Los propietarios de la agencia de publicidad Magenta Elk se consideran a sí mismos lo más ingeniosos. Desde sus comienzos como un estudio de diseño familiar, ME ha crecido hasta convertirse en una compañía con casi 100 empleados. Ahora cuenta con un departamento entero de diseñadores, un director creativo capaz de dar en el clavo con el cliente más exigente, un departamento de desarrollo web e incluso una pequeña imprenta propia (también un antiguo negocio, que adquirieron hace tres años). Entre sus clientes se encuentran varias empresas internacionales que confían a la agencia sus campañas publicitarias.

Pero los propietarios nunca han contado con los recursos de un departamento informático medio decente. Juan gestiona todo el equipo; reparaba ordenadores antes de que lo contrataran hace un par de años. Pero nunca consiguió convencer a los propietarios de que contrataran al menos a un miembro más para que le echara un mano.

“¡Dame tu USB”, gruñó Juan, abriendo su portátil mientras se acercaba! “¿Qué lees? Todo funciona en mi PC. Los driver se están instalando, … escaneando, seguro que ahora se abre, sí, aquí está la carpeta del proyecto”.

En ese momento, el antivirus muestra una ventana roja: “Se ha detectado un objeto malicioso Trojan.downloader.thirdeye.n”. Juan contempló la pantalla.

“Marcos, ¿qué es esto? ¿Has intentado abrirlo en otro sitio?”, Juan señalo el archivo correcciones_diseño.docx.exe.”¿Cómo si no iba a saber qué cambios hacer? Lo intenté, pero no se abría. Hice clic, pero nada…”.

“¿No te has percatado que ni siquiera es un documento? La extensión es Exe!”.

“¡No he visto ninguna extensión! Solo he visto el icono y el nombre. ¿Por qué me gritas? ¡Lo único que hice fue intentar abrir el archivo de Cristina!”.

“Bueno, tiene sentido… Las extensiones de archivos desconocidos no aparecen”, reflexionó Juan. “Bien, vamos a calmarnos: ¿en qué ordenadores has intentado abrirlo?”.

“En el de Ana, de contabilidad, en el portátil del fotógrafo y en el de Elena, de logística. Bueno, y en el de Tomás de desarrollo web y Miriam… ¿Qué pasa? ¿Es un virus? ¡No es mi culpa! ¡Puede que el del fotógrafo estaba infectado!”.

“No es un simple virus, ¡es un troyano personalizado específicamente para ti! No afecta a ordenadores al azar, ¡alguien lo ha puesto en la memoria USB!”. Bill se registró en la interfaz de la web del router para aislar los ordenadores mencionados. “Por cierto, ¿dónde conseguiste la contraseña de Cristina? Se fue ayer de viaje de negocios”.

“Está en una nota debajo de su teclado, todo el mundo lo sabe…”, murmura el diseñador a la defensiva. “No me la he llevado a casa ni nada, ¡la encontré ayer!”.

“¿Cómo que la encontraste?”, pregunta Bill sorprendido.

“A ver, me la dejó en la recepción con una nota que ponía que arreglara el diseño lo antes posible”.

“¿Estás loco? Cristina estuvo ayer casi todo el día por aquí. ¿Por qué te iba a dejar una memoria USB con instrucciones en una nota? ¿Te suele dejar muchas notas? Ya sabes que prefiere hablar en persona. ¡Y acaba de subir los archivos al servidor! ¡Madre mía, el servidor!”. Bill volvió al golpear el teclado. “Cualquiera puede dejar algo en la recepción. ¿A qué hora pasó, exactamente?”.

“No lo sé. Era tarde y estaba apunto de irme, cuando Sara me dijo que alguien me había dejado un sobre con una memoria USB. Estaba saliendo a comer algo, pero no vio quién era. Volví, lo probé en el portátil de Ana y en el de Cristina y bueno, ya sabes cómo sigue”.

“Marcos, ¿no entiendes que alguien…?”, una llamada telefónica lo interrumpió. El CEO. “Tengo un mal presentimiento…”.

“¿Qué pasa? ¿Por qué no estás en tu mesa?”, pregunta el CEO.

“Lo siento, los diseñadores tienen un problema. Alguien ha dejado una memoria USB…”.

“Olvídate de los diseñadores”, le interrumpió el CEO. “Acabo de recibir una llamada de Österberg & Jones. Su sitio web ha estado enviando virus desde anoche. Somos los únicos que tenemos acceso a la cuenta, aparte de ellos, para subir los banners. Necesito una prueba de que no hemos sido nosotros, porque doy por hecho que no hemos sido nosotros”.

“¿Quién tiene acceso?”, pregunta Bill.

“No lo sé exactamente. Un par de desarrolladores web; ellos crearon el sitio. Puede que Marcos. Bueno, y Cristina seguro, es su cliente y ya sabes que le encanta tener todo bajo control”.

“Bueno, esto…”. Victor se quedó sin voz. “Lo cierto es que creo que sí que hemos sido nosotros”.

“Genial, estamos perdidos. Están amenazando con demandas judiciales. Si hemos sido nosotros, tenemos mucho que explicar. Necesito un análisis detallado para última hora como mucho. Si necesitas expertos externos para la investigación, házmelo saber. Necesito un informe completo y honesto para cuando vaya a arrastrarme frente a Österberg & Jones. Bueno, hazme un resumen. ¿Qué ha pasado?”.

“Parece que alguien nos ha infectado deliberadamente con una memoria USB. Lo más probable es que Österberg & Jones fueran el auténtico objetivo. Ya sabes cómo es la seguridad. Yo hago lo que puedo, pero nos falta equipo, personal, materiales… Ni siquiera el antivirus…”.

“Vale, vale, lo pillo”, lo interrumpe el CEO. “Me estás diciendo con buenas palabras que soy un idiota. Tendrás tu personal y antivirus para todos, si logramos salvar esta situación, lo cual dudo mucho”.

Lecciones

  • El procedimiento de la compañía para trabajar con archivos de fuentes externas es bueno y correcto. Pero no se cumple, ya que algunos empleados creen que ciertas tareas son más importantes que la seguridad. Lo cierto es que la seguridad debería tener una prioridad más alta que una orden directa de la gerencia.
  • Muchos usuarios pueden acceder a los recursos de los socios, un problema que se complica por el hecho de que nadie sabe exactamente quién tiene acceso. Lo ideal sería que esta información la conociera un empleado, dos como máximo. Además, deberían solicitarse las credenciales de acceso a todo aquel que iniciara sesión. Guardarlas en el navegador no es buena idea, al igual que acceder al sitio desde un ordenador desprotegido.
  • Anotar una contraseña en un papel y guardarla debajo de un teclado puede sonar absurdo, pero es típico en muchas compañías. Esto es inaceptable, aunque nadie visite tu oficina, a veces los mismos miembros del equipo pueden causas estragos.
  • Se deberá instalar una solución de seguridad de confianza en todos los equipos, sin excepción.
Consejos