{"id":23416,"date":"2020-07-02T16:21:21","date_gmt":"2020-07-02T14:21:21","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=23416"},"modified":"2020-07-02T16:21:21","modified_gmt":"2020-07-02T14:21:21","slug":"unusual-ways-to-leak-info","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/unusual-ways-to-leak-info\/23416\/","title":{"rendered":"4 formas de filtraci\u00f3n de los datos de tu empresa"},"content":{"rendered":"

Si subes fotos de las entradas de un concierto en Instagram sin ocultar el c\u00f3digo de barras, alguien podr\u00eda ver a tu banda favorita en tu lugar<\/a>. Adem\u00e1s, aunque escondas el c\u00f3digo de barras, esto mismo podr\u00eda suceder si utilizas la herramienta equivocada<\/a>.<\/p>\n

Dicho esto, no es tan dif\u00edcil recordar que hay que ocultar bien el c\u00f3digo de barras antes de presumir de entradas. Otro tema totalmente diferente es cuando subes una foto y no te das cuenta de que aparece la entrada o, por ejemplo, una nota adhesiva con tus contrase\u00f1as en el encuadre. A continuaci\u00f3n, te dejamos con una serie de situaciones en los que alguien ha publicado datos confidenciales online <\/em>sin darse cuenta.<\/p>\n

1. Publicar fotos con una contrase\u00f1a de fondo<\/h2>\n

Las fotos y los v\u00eddeos realizados en oficinas y otras instalaciones revelan contrase\u00f1as y secretos mucho m\u00e1s a menudo de lo que se piensa. Cuando retratamos a nuestros colegas, pocas personas prestan atenci\u00f3n al fondo, por lo que el resultado puede ser embarazoso o incluso peligroso.<\/p>\n\n

La (falta de) inteligencia militar<\/h3>\n

En el 2012, la Real Fuerza A\u00e9rea Brit\u00e1nica meti\u00f3 la pata a lo grande<\/a>. Junto con un reportaje fotogr\u00e1fico sobre el pr\u00edncipe Guillermo, que entonces serv\u00eda en una unidad de la RAF, se hicieron p\u00fablicos los datos de acceso a MilFLIP (publicaciones con informaci\u00f3n sobre vuelos militares). Un nombre de usuario y una contrase\u00f1a en un trozo de papel adornaban la pared detr\u00e1s del Duque de Cambridge.<\/p>\n

Poco despu\u00e9s de su publicaci\u00f3n en el sitio web oficial de la familia real, las im\u00e1genes fueron reemplazadas por versiones retocadas y las credenciales filtradas se modificaron. Se desconoce si volvieron a clavarlas en la pared.<\/p>\n

\"\"

Las cedenciales de inicio de sesi\u00f3n del MilFLIP a modo de decoraci\u00f3n. Fuente<\/a><\/p><\/div>\n

El incidente del Pr\u00edncipe Guillermo no es un caso aislado. Personal militar menos conocido tambi\u00e9n ha compartido secretos online<\/em>, con y sin la ayuda de la prensa. Por ejemplo, un oficial public\u00f3 un selfie<\/em> en una red social<\/a> en la que aparec\u00edan de fondo pantallas de trabajo que mostraban informaci\u00f3n secreta. Al militar tan solo le cost\u00f3 una amonestaci\u00f3n moderada: \u201creeducaci\u00f3n y formaci\u00f3n\u201d.<\/p>\n

Fuga al aire<\/h3>\n

En el 2015, la empresa de televisi\u00f3n francesa TV5Monde fue v\u00edctima de un ciberataque. Una serie de individuos no identificados atacaron y desfiguraron el sitio web y la p\u00e1gina de Facebook de la organizaci\u00f3n<\/a>, e interrumpieron la emisi\u00f3n durante varias horas.<\/p>\n

Los acontecimientos posteriores convirtieron la historia en una farsa. Un empleado de TV5Monde concedi\u00f3 a los periodistas una entrevista sobre el ataque, con un fondo decorado con las contrase\u00f1as<\/a> de los perfiles de las redes sociales de la empresa. En las im\u00e1genes, el texto resultaba casi ilegible, pero los entusiastas pudieron obtener la contrase\u00f1a de la cuenta de TV5Monde en YouTube.<\/p>\n

Casualmente, tambi\u00e9n fue una lecci\u00f3n sobre c\u00f3mo no crear una contrase\u00f1a: la frase secreta en cuesti\u00f3n result\u00f3 ser \u201clemotdepassedeyoutube\u201d, que, traducido del franc\u00e9s, es literalmente \u201clacontrase\u00f1adeyoutube\u201d. Afortunadamente, la cuenta de YouTube de la empresa y otras cuentas salieron ilesas. Sin embargo, esta historia de las contrase\u00f1as nos hace reflexionar sobre el origen del ciberataque inicial.<\/p>\n

\"\"

Un empleado de TV5Monde da una entrevista sobre un fondo con las contrase\u00f1as. Fuente<\/a><\/p><\/div>\n

Un incidente similar ocurri\u00f3 justo antes de la Super Bowl XLVIII, en el 2014, cuando las credenciales de acceso al wifi interno del estadio<\/a> se colaron en la lente de un camar\u00f3grafo de televisi\u00f3n. Para m\u00e1s iron\u00eda, las im\u00e1genes proced\u00edan del centro de mando responsable de la seguridad del evento.<\/p>\n

\"\"

Las credenciales de acceso al wifi que mostr\u00f3 una pantalla en el centro de control del estadio. Fuente<\/a><\/p><\/div>\n

2. Uso de rastreadores de actividad<\/h2>\n

Los dispositivos que usas para monitorizar tu salud tambi\u00e9n podr\u00edan permitirle a alguien m\u00e1s vigilarte<\/a> e incluso extraer datos confidenciales<\/a> como el c\u00f3digo de una tarjeta de cr\u00e9dito siguiendo los movimientos de tu mano. Aunque, para ser sinceros, esta \u00faltima situaci\u00f3n es un poco irreal.<\/p>\n

Pero, por desgracia, las filtraciones de datos sobre la ubicaci\u00f3n de instalaciones secretas son perfectamente reales. Por ejemplo, la aplicaci\u00f3n de monitorizaci\u00f3n de actividad Strava, con una base de usuarios de m\u00e1s de 10 millones, marca las rutas de jogging<\/em> de los usuarios en un mapa de actividad global<\/a>. Tambi\u00e9n ha se\u00f1alado bases militares<\/a>.<\/p>\n

Aunque la aplicaci\u00f3n puede configurarse para ocultar las rutas de las miradas indiscretas, no todos los usuarios que usan uniforme parecen conocer dichos tecnicismos.<\/p>\n

\"\"

Los movimientos de los soldados en una base militar de los EE. UU. en Afganist\u00e1n se muestran en un mapa de actividades de Strava. Fuente<\/a><\/p><\/div>\n

Ante la amenaza de nuevas filtraciones, en el 2018 el Pent\u00e1gono prohibi\u00f3 a los soldados estadounidenses<\/a> el uso de rastreadores de actividad. Evidentemente, para aquellos que no pasan sus d\u00edas en las bases militares de EE. UU., esta soluci\u00f3n puede resultar exagerada. Pero, de todas formas, recomendamos que se configuren los par\u00e1metros de privacidad de la aplicaci\u00f3n.<\/p>\n

3. Difusi\u00f3n de metadatos<\/h2>\n

Es muy f\u00e1cil olvidar (o no saber en primer lugar) que los secretos a veces pueden estar ocultos en la informaci\u00f3n de los archivos o metadatos<\/a>. En particular, las fotograf\u00edas a menudo contienen las coordenadas<\/a> del lugar donde fueron tomadas.<\/p>\n

En 2007, unos soldados de EE. UU. (parece que nos encontramos ante un patr\u00f3n) publicaron online<\/em> fotos de helic\u00f3pteros<\/a> que llegaban a una base en Irak. Los metadatos de las im\u00e1genes conten\u00edan las coordenadas exactas del lugar. De acuerdo con una versi\u00f3n de los hechos, la informaci\u00f3n fue utilizada posteriormente en un ataque enemigo que le cost\u00f3 a los Estados Unidos cuatro helic\u00f3pteros.<\/p>\n

4. Compartir en exceso en las redes sociales<\/h2>\n

Puedes dar con algunos secretos simplemente cotilleando los amigos de una persona. Por ejemplo, si los vendedores de una regi\u00f3n determinada empiezan a aparecer de repente<\/a> en la lista de amigos del gerente de una empresa, los competidores pueden llegar a la conclusi\u00f3n de que la organizaci\u00f3n est\u00e1 buscando nuevos mercados, e intentar adelantarse a su jugada.<\/p>\n

En el 2011, \u00a0<\/em>la periodista de Computerworld<\/em> Sharon Machlis llev\u00f3 a cabo un experimento<\/a> para obtener informaci\u00f3n de LinkedIn. En solo 20 minutos de b\u00fasqueda en el sitio, descubri\u00f3 el n\u00famero de moderadores de los foros online<\/em> de Apple, la configuraci\u00f3n de la infraestructura de RR. HH. de la compa\u00f1\u00eda, etc.<\/p>\n

Como la propia autora admite, no encontr\u00f3 nada tan importante como un secreto comercial, pero dado que Apple se enorgullece de tomarse tan en serio la privacidad, no podemos restar m\u00e9ritos a sus descubrimientos. Por otro lado, de acuerdo con las responsabilidades de un vicepresidente de HP, que de nuevo aparecen en LinkedIn, cualquiera pod\u00eda averiguar<\/a> con qu\u00e9 servicios en la nube estaba trabajando la empresa.<\/p>\n

C\u00f3mo evitar las filtraciones los datos involuntarias<\/h2>\n

Los empleados pueden, sin darse cuenta, compartir mucho sobre tu empresa. Para evitar que sus secretos se hagan p\u00fablicos, establece reglas estrictas para publicar informaci\u00f3n online <\/em>e informa a todos tus colegas de lo siguiente:<\/p>\n