Los complementos del navegador que pueden filtrar los secretos de tu compañía

9 Sep 2019

En julio del 2019, el investigador Sam Jadali descubrió varias extensiones para los navegadores Chrome y Firefox que recopilaban el historial de navegación y lo transferían a un tercero. Además, también descubrió una plataforma en la que se compraban y vendían estos datos.

Las alarmas no se han disparado, ya que, si un atacante descubre que uno de tus empleados ha visitado el sitio web de un contratista o ha iniciado sesión en una red social, este solo obtendrá la dirección, es decir, no podrá acceder a toda la información. Pero el problema es que estas extensiones filtran de forma periódica datos internos de la empresa. Te contamos cómo.

Enlaces que revelan todo sobre ti

Seguramente las redes sociales y los sitios web oficiales de tus contratistas y socios no divulguen información secreta. Pero sí deberías preocuparte por las páginas “cerradas”, a las que se puede acceder exclusivamente mediante enlaces únicos y que se pueden utilizar para filtrar información. Lo cierto es que lo único que protege estas páginas es su discreción: los intrusos no conocen sus direcciones. Estos son algunos ejemplos de este tipo de páginas.

Conferencias online

Imagínate que tu empresa utiliza mucho las conferencias web en las que los empleados de distintos departamentos discuten sus planes, organizan sesiones para aportar ideas o, simplemente, reciben información de los directivos. Existen muchas plataformas para conducir este tipo de conferencias. En algunas necesitas una clave para participar, pero las pequeñas empresas suelen utilizar soluciones gratuitas o económicas que requieren tan solo un enlace con un identificador único, después, el organizador lo envía a todas las partes interesadas. Esto es todo lo que necesita un participante para unirse al evento.

Ahora imagínate que uno de los empleados que recibieron este enlace cuenta con una extensión instalada en su navegador que desvía información a los intrusos. Conforme el empleado se una a la conferencia, el complemento enviará su URL a un mercado en el que un atacante que intenta recopilar información sobre tu empresa o que busca una oportunidad compra su historial del navegador, desde el que puede comprobar que se está celebrando en estos momentos una reunión a la que puede acceder.

Nada evita que el comprador de este enlace se una a la reunión. Evidentemente, los otros participantes recibirán una notificación alertando de que alguien se ha unido al evento, pero si hay una docena de personas y no todas se conocen entre sí, nadie se preguntará quién es el participante desconocido. Como consecuencia, todo lo que se dice durante la conferencia llegará a oídos del intruso.

Facturas online de los proveedores

Es probable que los proveedores de tu compañía utilicen servicios de facturación online. En algunos servicios, se puede acceder a las facturas de pago utilizando un enlace único que, sin embargo, es de acceso público. Si un atacante tiene acceso a esa factura, puede dar con el nombre y la dirección de tu empresa y la del proveedor, la cantidad de pago y mucho más.

Es cierto que en la mayoría de los casos no ocurrirá nada malo si esa información cae en las manos equivocadas. Pero para quien utilice la ingeniería social, estas facturas contienen información muy valiosa.

Documentación laboral

Muchas empresas utilizan servicios online como Google Drive con fines colaborativos. En teoría, este tipo de servicios permiten restringir el acceso a archivos para evitar que los intrusos los abran. No obstante, no todo el mundo establece esta restricción en los archivos compartidos. A menudo, cualquiera que cuente con el enlace a un archivo puede ver, e incluso editar, el documento.

Y este documento puede contener cualquier tipo de información, desde cotizaciones hasta datos personales de los empleados.

Cómo protegerte de las filtraciones de datos a gran escala

Para minimizar el riesgo de filtración, recuerda a los empleados que deben prestar máxima atención antes de instalar cualquier extensión de navegador y que, si el servicio online que utilizan lo permiten, necesitan restringir el acceso del documento antes de compartirlo. Una buena práctica sería aprobar una lista con las extensiones de navegador verificadas y prohibir todo aquello que se considere peligroso.

Además, realiza un análisis de los servicios online que utiliza la compañía e identifica aquellos que permiten el acceso mediante enlace sin necesidad de autentificación. Si un servicio permite el acceso a cualquiera que posea el enlace, busca una alternativa más segura.

Por último, es primordial instalar una solución de seguridad de confianza en todos los ordenadores de la empresa para bloquear cualquier intento de instalación de una extensión maliciosa, además de otras ciberamenazas.