Redes corporativas, empleados gastan 30% del tiempo en asuntos personales

Bogotá  julio de 2013– Según encuestas realizadas en Europa y Estados Unidos los empleados de compañías gastan alrededor del 30% de sus horas de trabajo en asuntos privados. Analistas estiman que esto causa pérdidas de millones de dólares anuales a las compañías. Y si los empleados, queriendo o sin querer, ayudan a realizar ataques de hacking o robo de identidad, causan daños a la reputación de la compañía o infringen sus derechos de autor, los costes pueden ser aún más.

El hecho es que los empleados a menudo utilizan los equipos de la oficina para comunicarse en sitios de redes sociales, compartir enlaces o descargar archivos de sitios sospechosos. Además, los cibercriminales a menudo usan los sitios de redes sociales para estafar a los usuarios con ataques phishing y distribuir malware. Muchos blogs personales, sitios de entretenimiento, servicios para compartir archivos, rastreadores de Torrent y archivos descargados por este medio están infectados.

Las amenazas que los usuarios enfrentan cada día suelen ser ataques que se distribuyen de forma masiva, por lo que una solución antivirus basta para prevenir la mayoría de los accidentes. Los ataques dirigidos son diferentes: se realizan en secreto, a menudo utilizando técnicas extraordinarias; son muy sofisticados y organizados. Para lograr sus metas, los usuarios fraudulentos utilizan la herramienta más efectiva para explotar cualquier programa o vulnerabilidad social. Kaspersky Lab describe algunos problemas que pueden surgir del uso indebido de equipos de oficina y demuestra cómo se pueden evitar incidentes similares en una red corporativa.

La ingeniería social

En 2009, más de 20 importantes compañías de informática, como Google, Adobe, Juniper y Yahoo!, fueron víctimas del ataque dirigido conocido como Operación Aurora. En una versión de este ataque, se convenció a los empleados de una compañía para que ingresaran a sitios maliciosos mediante redes sociales y clientes de mensajería instantánea. Usando técnicas de ingeniería social, los estafadores se pusieron en contacto con sus víctimas potenciales, ganaron su confianza e hicieron todo lo necesario para lograr que abran un enlace.

Cuando una cuenta se prepara de forma tan minuciosa, es muy probable que la víctima potencial caiga en la trampa y pulse en un enlace sospechoso. Si esto falla, el estafador puede tratar de usar un truco más sofisticado: irrumpir en la cuenta de un usuario en quien la víctima confíe y enviarle los enlaces desde allí. Esto no suele ser difícil de lograr, en especial si entre los contactos de confianza de la víctima hay usuarios vulnerables como niños, ancianos o adolescentes. Está claro que, al comunicarse por redes sociales desde el equipo de la oficina, los empleados pueden, sin darse cuenta, ayudar a los hackers a penetrar en la red corporativa.

Ataques “watering hole”

Además de los ataques dirigidos mediante redes sociales, los ataques llamados “watering hole” (pozo de agua) no son menos peligrosos. La idea básica de este tipo de ataques es encontrar e infectar los sitios que frecuentan los empleados de la compañía por cuestiones de trabajo con regularidad. Los estafadores tratan de infectar sitios web legítimos y de confianza. En estos casos se requiere que los usuarios den pasos adicionales para ejecutar el exploit – enciendan JavaScript, permitan la ejecución del applet Java para confirmar la excepción de seguridad, etc.- pero aun así pueden llegar a pulsar en los botones “Aceptar” y “Confirmar” sin darse cuenta de la gravedad de sus acciones.

Protección

Es obvio que los usuarios juegan un rol importante en los ataques dirigidos: sin darse cuenta, permiten que los estafadores ataquen el sistema. Por desgracia, en la actualidad no existe ninguna tecnología que pueda eliminar el error humano de la seguridad de las redes corporativas. Pero es posible utilizar algunas tecnologías relevantes para reforzar las políticas de seguridad y proteger contra ataques dirigidos al combatirlos en cada una de sus etapas: desde el primer intento de explotar una vulnerabilidad hasta los intentos de comprometer la red.

 

  Share: