La historia que se describe en este artículo, está basada en hechos reales, y veremos que hacer y no hacer ante este tipo de situaciones.
Comenzaremos con una situación que nos puede pasar a cualquiera de nosotros, y es que prácticamente en los 5 continentes de la tierra, se cuenta con conexión a Internet, o por lo menos, se puede acceder con mayor o menor velocidad que nos proporcione el operador de comunicaciones de turno.
Partiendo de esta premisa, seguramente, cualquiera de nosotros tiene en la otra punta del mundo, una persona que tiene en común el mismo nombre y al menos un apellido idéntico al nuestro. Conociendo el contexto de la historia, a lo largo del mundo existen diferentes personas con un nombre parecido o al menos muy similar al de cualquiera de nosotros.
Mi experiencia particular ha sido que, en diversas ocasiones, he recibido por error en mi buzón de correo personal, ciertos emails que supuestamente estaban dirigidos hacia otra persona que tiene cierto parecido con mi nombre. Este tipo de emails han sido de todo tipo, incluyendo facturas, información de registro en servicios online o pedidos de comida a domicilio.
El ultimo email que recibí en mi buzón de correo personal, me llamo especialmente la atención. Como en anteriores ocasiones, no iba dirigido hacia mi persona, pero contenía ciertos detalles que se mencionaran a continuación.
El email en cuestión tenía como origen una importante federación deportiva, indicando las credenciales de acceso para el seguimiento del protocolo Covid-19.
Al ver este correo, pensé que sería algún tipo de phishing (técnica que consiste en engañar al usuario para robarle información confidencial), pero tras revisar el dominio y el enlace y comprobar que eran reales, se procedió con el envío de un email, indicando que el correo había llegado por error a mi cuenta de correo PERSONAL y que contenía carencias bastante graves en el contenido mensaje:
- Credenciales de usuario en claro.
- Usuarios y contraseñas predecibles
- Datos confidenciales referentes a la persona.
Además, se informaba que este tipo de procedimientos deberían ser revisados por los encargados del departamento de sistemas y ciberseguridad para cumplir unas políticas de seguridad acordes a la información que se proporciona en el correo y evitar posibles accesos no autorizados o filtración de información (ambas acciones incluidas como delito en el código penal).
Tras esperar un par de días, no se obtuvo respuesta alguna por parte de la organización. El siguiente paso fue buscar una dirección de correo alternativa mediante técnicas de OSINT (búsqueda de información en fuentes abiertas), donde se localizó un buzón de correo correspondiente a asuntos legales, en el que se envió nuevamente un email donde se indicó lo sucedido con las carencias de seguridad. La respuesta fue la misma que en el primer aviso, ninguna.
Llegados a este punto, podemos sacar diferentes conclusiones de este suceso.
La parte positiva es que actuó de una manera correcta, avisando a la organización del envío de un correo con información sensible y ciertas carencias a nivel de seguridad.
La parte negativa fue que en ningún momento se obtuvo una respuesta por parte de la organización, habiendo sido avisada en un par de ocasiones.
Una vez más, se demuestra que las organizaciones no están lo suficientemente concienciadas con la ciberseguridad y cometen fallos de seguridad que son muy sencillos de subsanar.
Si no se hubiera actuado de una manera correcta, y nos ponemos en el papel de un ciber criminal, se hubiera accedido a la información personal y confidencial del usuario ( exposición de datos sensibles), se intentaría acceder a la información del resto de usuarios que pueda estar disponible en los sistemas (enumeración de usuarios mediante ataques de fuerza bruta o referencia indirecta a objetos) lo que tendría un mayor impacto, comprometer parte de la infraestructura de la organización (movimientos laterales o escalada de privilegios).
La cultura de ciberseguridad debe de estar presentes en todos los ámbitos y niveles independientemente de si son empresas, organizaciones o personas.
Alejandro Quesada
Departamento Ciberseguridad