Su información confidencial podría estar en peligro: el problema de la seguridad al compartir y sincronizar archivos


6/05/2014

Your Sensitive Information Could Be at Risk: File Sync and Share Security Issue

Intralinks ha descubierto un problema de seguridad especialmente alarmante que afecta la manera en que las personas utilizan las aplicaciones para compartir y sincronizar archivos que podría poner en un serio problema su información personal más confidencial, y potencialmente la información de sus empleados. Al igual que la cantidad de personas que expone públicamente sus detalles personales, los de sus familias y sus actividades en las redes sociales, también exponen su información privada más confidencial en las aplicaciones para compartir y sincronizar archivos.

Mortgage application

Durante un análisis rutinario de los datos de Google AdWords y Google Analytics que mencionan los nombres de los competidores (Dropbox y Box), descubrimos accidentalmente las URL seleccionables necesarias para acceder a estos documentos que a la vez nos dirigieron a contenidos de carpetas, algunas de ellas con datos confidenciales. A través de estos enlaces, accedimos a archivos confidenciales que incluían declaraciones de rentas, registros bancarios, solicitudes de hipotecas, diseños y planes de negocios, información sumamente confidencial, tal vez lo suficiente para un robo de identidad y otros delitos.

Antecedentes

La encuesta sobre usurpación de la identidad más reciente de la Comisión Federal de Comercio de los EE. UU. descubrió que más del 10 % de los adultos estadounidenses aún son víctimas de fraude cada año. Otra encuesta realizada por la agencia de seguridad interior Friedland descubrió que el 78 % de los delincuentes usan actualizaciones de estado de las redes sociales disponibles públicamente para obtener información sobre sus víctimas. Una tercera encuesta realizada por la agencia de investigación Coleman Parks descubrió que al 67 % de los consumidores de entre 18-35 años y al 59 % de entre 35 y 44 años no les importa la seguridad en línea.

Y se pone peor. Un artículo reciente de London Evening Standard afirma que el 70 % de los fraudes son en la actualidad delitos cibernéticos. Y de acuerdo con una encuesta de Fiberlink, más del 50 % de las personas informó haber cargado información confidencial en servicios de la nube como Dropbox e iCloud.

La evidencia es clara: a pesar de todos los casos de robo de identidad, delincuencia y fraude, los consumidores continúan haciendo caso omiso de la seguridad a cambio de su conveniencia o beneficio personal. Para las empresas, esto es una muy mala noticia, ya que esos mismos consumidores son empleados, y muchos llevan sus prácticas de seguridad y uso compartido de datos a la empresa.

Tax return

Por qué es importante

Nos encontramos con este problema accidentalmente al realizar una campaña competitiva de Google AdWords. Los usuarios de soluciones de uso compartido de archivos comparten los enlaces a sus archivos y los ingresan en los cuadros de “búsqueda” en lugar de hacerlo en la casilla para URL del navegador, de manera que nuestra campaña pudo recopilar esos datos. Esto no es tan inusual como parece, y nos encontramos con una gran cantidad de archivos durante la campaña bastante corta de Google AdWords. Creemos que sería relativamente fácil para otros repetir nuestros resultados. Mientras intentábamos confirma cómo había sucedido esto, descubrimos otros problemas con algunas aplicaciones gratuitas de uso compartido de archivos en las que eran no era difícil la pérdida de datos. En consecuencia, recomendamos evitar algunas versiones gratuitas de las aplicaciones para uso compartido de archivos más populares de uso personal, y definitivamente no usarlas tampoco en las empresas con información confidencial.

Para ser claros, pudimos obtener acceso a los archivos porque los usuarios de las aplicaciones de uso compartido de archivos no suelen tomar precauciones simples de seguridad para proteger sus datos. Cuando se utilizan de este modo, todas las aplicaciones de uso compartido de archivos son potencialmente vulnerables. Al usar este tipo de aplicaciones, muchas personas no utilizan las funciones básicas de seguridad y toman pocas precauciones incluso con los datos financieros más confidenciales. Además, muchos mezclan información personal con datos confidenciales de la empresa, sin implementar medidas de seguridad. En pocas palabras, depende de los empleados preparar, supervisar y poner en práctica las políticas adecuadas en el lugar de trabajo para evitar que los datos de la empresa lleguen a esos productos donde el uso compartido no es seguro.

Cómo proteger sus datos del problema de uso compartido y sincronización

Las aplicaciones para uso compartido y sincronización de archivos de los usuarios son usadas por millones de personas para intercambiar rápidamente información entre amigos, familiares y compañeros de trabajo. La mayoría de los usuarios supone erróneamente que es imposible que otras personas descubran los enlaces que comparten, incluso cuando no configuran los controles de acceso correctamente. Además, muchos no saben que algunos productos gratuitos no proporcionan la capacidad de asegurar los archivos correctamente. Algunos sistemas gratuitos, entre ellos Dropbox, no poseen configuración de seguridad. Hemos informado a Dropbox acerca de este problema cuando descubrimos archivos por primera vez, en noviembre de 2013, de manera que tuvieran tiempo de responder al problema y lidiar con él. Nos enviaron una corta respuesta que decía: “no creemos que esto sea una vulnerabilidad”.

Estos son algunos simples pasos que puede seguir para proteger mejor sus datos:

  • Compruebe a ver si su servicio de uso compartido y sincronización permite configuraciones de privacidad. En lo que respecta a las aplicaciones de uso compartido y sincronización de archivos, asegúrese de que el producto que use admita la configuración de “privacidad”, lo cual asegura que solamente las personas que invite específicamente podrán acceder al archivo. El sistema también debería admitir la autenticación, con el requisito de que los usuarios se identifiquen y posean una contraseña.
  • Configure su cuenta como “privada” con la configuración básica de seguridad. La opción predeterminada en mayoría de las aplicaciones de uso compartido y sincronización de archivos es configurar la cuenta como “pública”, lo que significa que cualquier persona con el enlace a sus archivos puede acceder fácilmente a ellos. Esto puede ser útil si debe compartir un archivo no confidencial con una gran cantidad de personas, pero le recomendamos que configure su cuenta como “privada” de forma predeterminada, y luego invite específicamente a las personas con quienes quiere compartirlo.
  • Si ya ha compartido archivos confidenciales en una carpeta pública, elimínelos. Si ya ha compartido elementos que no son privados, no cambie el estado: elimine los archivos y cárguelos nuevamente en una nueva carpeta privada. Cambiar el estado de la carpeta de público a privado no es una manera infalible de proteger los archivos que ya ha compartido.
  • Elimine los archivos antiguos que ya no son necesarios. Incorpore el hábito de eliminar los archivos de su aplicación para intercambiar y sincronizar archivos cuando no le resulten necesarios. Hemos hallado una gran cantidad de archivos confidenciales que fueron cargados hace mucho tiempo, los que probablemente han sido olvidados.
  •  Nunca mezcle el trabajo con el placer: mantenga los archivos de negocios y los archivos personales en cuentas separadas. Hemos hallado una gran cantidad de datos de negocios en carpetas de cuentas personales. Ésta es una mala idea. Si utiliza un sistema para consumidores, mueva sus datos de negocios confidenciales a una aplicación configurada para uso comercial. Su empleador puede tener reglas acerca del almacenamiento de información confidencial en los sistemas para consumidores, por lo que podría violar una regla o un contrato si coloca información confidencial en esos sistemas. Si algo sale mal y los datos se filtran, las consecuencias pueden ser graves: pérdida de reputación, problemas legales y regulatorios y pérdida financiera. Si los datos pertenecen a un cliente o socio, también surgen preocupaciones con respecto a la privacidad.

Actualización: Dropbox publicó un blog que anunciaba una “vulnerabilidad web que impactó los enlaces compartidos a los archivos que contenían hipervínculos”, donde afirmaba que habían solucionado la vulnerabilidad de la divulgación de los hipervínculos.



John Landy

John Landy

John Landy es director ejecutivo de seguridad en Intralinks. Se ha desempeñado como director de tecnología en Intralinks durante los últimos 5 años, utiliza sus antecedentes técnicos para trabajar con sus clientes y comprender sus necesidades de seguridad en cuanto a compartir y almacenar información confidencial. John ha estado trabajando en los controles internos de Intralinks para seguridad empresarial y riesgo corporativo; supervisa además una función que comprende el compromiso con los clientes, la arquitectura de seguridad y un centro de operaciones de seguridad.

Manténgase INformado

Suscríbase a nuestro boletín de noticias para recibir análisis imprescindible del mercado y liderazgo de opinión, directamente en su bandeja de entrada. Este boletín se enviará en inglés.