De acuerdo a unos estudios realizados y a un experimento llevado a cabo en la pasada Def Con, con el propósito de obtener información corporativa de empleados de las principales compañías estadounidenses como son: Google, Wal-Mart, Symantec, Cisco, Microsoft, Pepsi, Ford y Coca-Cola, se tuvo la idea de hacer llamadas telefónicas y realizar un cuestionario, aparentemente inocente, las preguntas eran sobre el sistema operativo que se utiliza en la compañía, el antivirus, el navegador, etc.
Y luego se invitaba a los encuestados a visitar una página web que se preparó con ese fin, lo que llamó la atención y fue de preocupación es que muchos de los encuestados visitaron el sitio web indicado.
Esta encuesta pasaría desapercibida, si los datos del sistema operativo, el antivirus y el navegador usados no fuesen datos relevantes y útiles a la hora de diseñar y preparar un ataque, aparentemente estos datos son inocentes, pero si se conjugan con las vulnerabilidades de cada uno se puede suscitar el desembarco de código malicioso en nuestra compañía y lo más preocupante a demás de revelar los datos, algunas personas ingresaron a la página que se les invitó.
Aquí está lo interesante que de 135 personas encuestadas, sólo 5 y todas mujeres se negaron a revelar cualquier tipo de información relacionada con los sistemas de su empresa y colgaron la llamada, sospechando que el fin no era nada lícito. ¿Qué podemos decir del resto?, por esas revelaciones pudimos saber que la mitad de las compañías participantes en este experimento, continúan utilizando Internet Explorer 6, sabiendo que para este navegador ya no se ofrece soporte y que es conocido por todas sus vulnerabilidades.
De mayor preocupación fue saber el número de personas que accedieron a la invitación de visitar la página donde obtendrían un premio, porque al conocer dato del navegador mayoritariamente utilizado, puede suponer un gran problema de seguridad, ya que conociendo los datos de sistema operativo, navegador y antivirus, se puede preparar una “trampa mortal” en la web que explote las vulnerabilidades del “kit de navegación” de nuestra víctima.
Sabemos que existen empresas que se dedican a realizar ese tipo de encuestas y que no son filtradas y que llegan a ser auténticos interrogatorios sobre los sistemas de la empresa, para este tipo de de situaciones, el instinto de cada uno es la mejor arma para detectar si dicha encuesta tiene algunos fines ocultos y qué tipo de información podemos revelar. Una buena cultura de seguridad nos podrá ahorrar grandes disgustos.
Luego de los resultados que obtuvimos se pudo deducir que las mujeres participantes tenían un buen instinto para detectar que la llamada era sospechosa, ¿será instinto natural o mejor formación? A pesar de que las compañías invierten dinero en firewalls, antivirus, medidas de continuidad del negocio, consultorías, auditorías de sistemas, etc, sin embargo, muchas veces, el mayor riesgo se encuentra entre los mismos empleados. La concienciación es vital, de hecho, puede ser una de nuestras primeras líneas de defensa. Si nuestros empleados revelan información sensible sin pensarlo, de poco servirán las medidas de seguridad implantadas.