En la actualidad existe numerosa información pública accesible a través de internet; dicha información puede ser voluntaria como en el caso de una web donde se promocionen productos o involuntaria como por ejemplo documentos internos de la compañía.
A continuación, se describen algunos ejemplos reales de información pública de empresas:
1.- Dispositivos conectados a internet sin la configuración adecuada (servidores, ordenadores, cámaras de vigilancia, dispositivos iOT….). Cuando se introduce un nuevo dispositivo en cualquier organización es necesario configurarlo de forma adecuada puesto que una mala configuración puede otorgar acceso a la red interna o a información privada.
Por poner un ejemplo, en la siguiente imagen se muestra una impresora corporativa que carece de usuario y contraseña y que es accesible desde internet.
2.- Documentos ofimáticos que contienen metadatos (pdf, doc, xlsx…) Un documento ofimático puede llegar a contener información relevante para un atacante como puede ser versiones de software o nombres de usuario entre otros.
Estas versiones de software han sido obtenidas analizando los documentos ofimáticos que se encuentran en una web corporativa de una empresa cualesquiera:
3.- Documentos con información sensible (contraseñas, balance de cuentas, escrituras de constitución de la empresa…). Existen diversas circunstancias por las que una compañía puede tener documentos con información sensible accesible desde internet, desde el desconocimiento hasta una falta de control de los permisos de la web que ocasione la accesibilidad a partes privadas de la misma, en cualquiera de los casos el resultado es que un atacante obtenga documentos con información privada.
Podemos observar a continuación una hoja Excel se encuentra accesible desde una web institucional que contiene usuarios y contraseñas en claro.
4.- Emails corporativos. En la mayoría de las políticas de seguridad de la información que un empleado firma a la entrada en una empresa se indica que el email corporativo solo debe de ser usado para tal fin; sin embargo, los empleados suelen utilizar ese email para registrarse en en otro tipo de servicios como pueden ser Linkedin o Facebook.
Un atacante puede utilizar herramientas para localizar emails corporativos en foros, webs, filtraciones de contraseñas, y un largo etcétera para realizar un ataque contra la compañía. En el caso que se muestra a continuación es posible saber que una persona concreta de una compañía se ha dado de alta en servicios como linkedin o myfitnesspal con el email corporativo y que además se encuentra comprometido.
5.- Comentarios negativos en foros, twitter… Dependiendo del tipo de negocio es posible que un comentario negativo en internet por parte de un cliente o un proveedor ocasione perdidas económicas o reputacionales incalculables y es por ello que es recomendable comprobar qué se dice en la red, para así anticiparse a los posibles problemas que puedan producirse.
Estos son algunos ejemplos que se han descrito en el presente artículo que demuestran que la información pública proporciona numerosa información a un atacante o incluso a la competencia directa y por ello es recomendable realizar de forma periódica revisiones de la marca corporativa para tal fin.
Cybersecurity Department
Áudea Seguridad de la información