A medida que los ciberdelincuentes crecen en número y sofisticación, a las organizaciones se les recuerda constantemente la importancia de su estrategia de seguridad y cuentan con las defensas virtuales adecuadas para bloquear a los adversarios..

Pero, ¿con qué frecuencia consideramos las vulnerabilidades físicas de nuestras empresas cuando intentamos proteger datos cruciales? Es fácil olvidar que los elementos de la ciberdelincuencia pueden tener lugar en un ámbito físico y las operaciones descuidadas pueden atacarse observando a los delincuentes..

David Liberatore, Director Senior de Gestión Técnica de Productos en AppRiver, explica qué tipo de amenazas existen fuera de la red.

TechRadar Pro: ¿Cómo es vulnerable una organización por falta de seguridad física??

David Liberatore: Históricamente, si quería robar un banco, tenía que ir a la sucursal y "sostener" al personal. Pero con los avances en tecnología, el dinero se movió en línea y los criminales simplemente siguieron.

Como resultado, y con la constante evolución de las mejoras de seguridad de TI, muchas de las formas virtuales en estos establecimientos están siendo sistemáticamente selladas con criminales que buscan nuevas formas de diseñar sus ataques y liberar los fondos..

¿Qué mejor manera que recopilar información disponible gratuitamente mirando a través de las ventanas físicas de las empresas??

TRP: ¿Cuál es el riesgo de pantallas visibles desde la calle??

DL: La práctica de espiar a las personas a través de sus ventanas es probablemente tan antigua como las ventanas mismas. Es la combinación de una técnica antigua y una nueva tecnología lo que la hace peligrosa..

Tenga en cuenta que los ladrones de datos pueden dedicar todo el tiempo que sea necesario para recopilar información. Alguien con intenciones maliciosas, tiempo y una lente de zoom pueden juntar fácilmente la información que necesitan, combinada con la tecnología hace que sea mucho más fácil y menos riesgoso para ellos cometer el robo cibernético..

TRP: ¿Qué tipo de información pueden recopilar los delincuentes??

DL: Las credenciales de usuario de los cuadros de "inicio de sesión", correos electrónicos, pantallas de ingreso a la base de datos corporativa, incluso los "documentos" diarios, de hecho, todo lo visible se puede juntar para crear una imagen de la organización y utilizarlo para lanzar un ataque contra ella. Incluso algo tan simple como el nombre de una persona encima de una estación de trabajo es útil para un criminal.

TRP: Seguramente, si no acceden a datos confidenciales, existe un riesgo limitado?

DL: Las organizaciones que exponen información corporativa a través de una ventana abierta son quizás más vulnerables que si tuvieran un registrador de teclas instalado en la parte posterior del dispositivo.

Muchas organizaciones se han centrado tanto en su seguridad virtual, que se ignoran las prácticas físicas, y eso significa que la información que intentan proteger podría ser robada por los transeúntes..

TRP: ¿Cómo se puede usar la información para lanzar un ataque contra una organización??

DL: Un ejemplo de cómo un ataque puede manifestarse es similar a un "truco de confianza". Se observa a un empleado por un período de tiempo, lo que le permite al estafador obtener suficientes detalles sobre la vida del individuo para iniciar una conversación en una oportunidad no relacionada: un bar, una cafetería, etc. engañando al empleado con familiaridad.

Como mínimo, el delincuente sabrá el nombre de la persona y la compañía para la que trabaja, pero agregar detalles aprendidos de correos electrónicos observados, documentos de la compañía, etc. podría agregar peso a la conversación, engañar a la persona para que crea que hay una relación y, finalmente, engañarla. revelando información adicional que se utiliza en un ataque dirigido.

Otro método es similar al 'arte de la ilusión'. El voyeur monitorea, y luego replica, los correos electrónicos típicos recibidos y leídos por el empleado, desde el diseño hasta las compañías que están siendo tratadas, etc..

Luego, el estafador crea e implementa una campaña de phishing dirigida para engañar a la persona para que trate el mensaje malicioso como benigno y siga las instrucciones..

Si tiene éxito, los resultados podrían ser catastróficos para la organización involucrada. La infame violación de RSA es un testimonio del poder de este tipo de método de ataque.

TRP: ¿Es solo la organización la que está en riesgo??

DL: No, el empleado también está en riesgo. Habiendo monitoreado sus hábitos y utilizando cualquiera de las técnicas anteriores, se podría engañar a un empleado para que revele suficiente información que le permita al criminal robar su identidad y todos sabemos el impacto que esto puede tener en la vida de alguien..

TRP: ¿Qué pueden hacer las organizaciones para limitar el riesgo??

DL: La lección aquí es que necesita capas de seguridad física y digital. La capacitación de los empleados y las medidas de seguridad física, como instalar persianas y asegurarse de que se están utilizando.

Gire los escritorios para que los empleados se enfrenten, y las pantallas se enfrentan. Use tecnología, como el filtrado de spam y virus, protección web, cifrado y seguridad de puntos finales, para frustrar los ataques virtuales. En última instancia, es una combinación de ambos y las empresas no pueden permitirse el lujo de centrarse en uno a costa del otro.

TRP: ¿Qué pueden hacer los empleados, cuyas pantallas se ven desde la calle, para ayudar??

DL: La vigilancia es la clave. Si alguien que no conoce trata de "hacerse amigos", protéjase de su respuesta, ya sea en persona, por teléfono o incluso por comunicación electrónica. Tenga cuidado con cualquier correo electrónico inesperado, o cualquiera que no se vea "bien". En caso de duda, consultar con el equipo de seguridad..