4 formas de filtración de los datos de tu empresa

Te contamos unas cuantas historias sobre lo fácil que puede resultar filtrar accidentalmente información confidencial al dominio público.

Si subes fotos de las entradas de un concierto en Instagram sin ocultar el código de barras, alguien podría ver a tu banda favorita en tu lugar. Además, aunque escondas el código de barras, esto mismo podría suceder si utilizas la herramienta equivocada.

Dicho esto, no es tan difícil recordar que hay que ocultar bien el código de barras antes de presumir de entradas. Otro tema totalmente diferente es cuando subes una foto y no te das cuenta de que aparece la entrada o, por ejemplo, una nota adhesiva con tus contraseñas en el encuadre. A continuación, te dejamos con una serie de situaciones en los que alguien ha publicado datos confidenciales online sin darse cuenta.

1. Publicar fotos con una contraseña de fondo

Las fotos y los vídeos realizados en oficinas y otras instalaciones revelan contraseñas y secretos mucho más a menudo de lo que se piensa. Cuando retratamos a nuestros colegas, pocas personas prestan atención al fondo, por lo que el resultado puede ser embarazoso o incluso peligroso.

La (falta de) inteligencia militar

En el 2012, la Real Fuerza Aérea Británica metió la pata a lo grande. Junto con un reportaje fotográfico sobre el príncipe Guillermo, que entonces servía en una unidad de la RAF, se hicieron públicos los datos de acceso a MilFLIP (publicaciones con información sobre vuelos militares). Un nombre de usuario y una contraseña en un trozo de papel adornaban la pared detrás del Duque de Cambridge.

Poco después de su publicación en el sitio web oficial de la familia real, las imágenes fueron reemplazadas por versiones retocadas y las credenciales filtradas se modificaron. Se desconoce si volvieron a clavarlas en la pared.

Las cedenciales de inicio de sesión del MilFLIP a modo de decoración. Fuente

El incidente del Príncipe Guillermo no es un caso aislado. Personal militar menos conocido también ha compartido secretos online, con y sin la ayuda de la prensa. Por ejemplo, un oficial publicó un selfie en una red social en la que aparecían de fondo pantallas de trabajo que mostraban información secreta. Al militar tan solo le costó una amonestación moderada: “reeducación y formación”.

Fuga al aire

En el 2015, la empresa de televisión francesa TV5Monde fue víctima de un ciberataque. Una serie de individuos no identificados atacaron y desfiguraron el sitio web y la página de Facebook de la organización, e interrumpieron la emisión durante varias horas.

Los acontecimientos posteriores convirtieron la historia en una farsa. Un empleado de TV5Monde concedió a los periodistas una entrevista sobre el ataque, con un fondo decorado con las contraseñas de los perfiles de las redes sociales de la empresa. En las imágenes, el texto resultaba casi ilegible, pero los entusiastas pudieron obtener la contraseña de la cuenta de TV5Monde en YouTube.

Casualmente, también fue una lección sobre cómo no crear una contraseña: la frase secreta en cuestión resultó ser “lemotdepassedeyoutube”, que, traducido del francés, es literalmente “lacontraseñadeyoutube”. Afortunadamente, la cuenta de YouTube de la empresa y otras cuentas salieron ilesas. Sin embargo, esta historia de las contraseñas nos hace reflexionar sobre el origen del ciberataque inicial.

Un empleado de TV5Monde da una entrevista sobre un fondo con las contraseñas. Fuente

Un incidente similar ocurrió justo antes de la Super Bowl XLVIII, en el 2014, cuando las credenciales de acceso al wifi interno del estadio se colaron en la lente de un camarógrafo de televisión. Para más ironía, las imágenes procedían del centro de mando responsable de la seguridad del evento.

Las credenciales de acceso al wifi que mostró una pantalla en el centro de control del estadio. Fuente

2. Uso de rastreadores de actividad

Los dispositivos que usas para monitorizar tu salud también podrían permitirle a alguien más vigilarte e incluso extraer datos confidenciales como el código de una tarjeta de crédito siguiendo los movimientos de tu mano. Aunque, para ser sinceros, esta última situación es un poco irreal.

Pero, por desgracia, las filtraciones de datos sobre la ubicación de instalaciones secretas son perfectamente reales. Por ejemplo, la aplicación de monitorización de actividad Strava, con una base de usuarios de más de 10 millones, marca las rutas de jogging de los usuarios en un mapa de actividad global. También ha señalado bases militares.

Aunque la aplicación puede configurarse para ocultar las rutas de las miradas indiscretas, no todos los usuarios que usan uniforme parecen conocer dichos tecnicismos.

Los movimientos de los soldados en una base militar de los EE. UU. en Afganistán se muestran en un mapa de actividades de Strava. Fuente

Ante la amenaza de nuevas filtraciones, en el 2018 el Pentágono prohibió a los soldados estadounidenses el uso de rastreadores de actividad. Evidentemente, para aquellos que no pasan sus días en las bases militares de EE. UU., esta solución puede resultar exagerada. Pero, de todas formas, recomendamos que se configuren los parámetros de privacidad de la aplicación.

3. Difusión de metadatos

Es muy fácil olvidar (o no saber en primer lugar) que los secretos a veces pueden estar ocultos en la información de los archivos o metadatos. En particular, las fotografías a menudo contienen las coordenadas del lugar donde fueron tomadas.

En 2007, unos soldados de EE. UU. (parece que nos encontramos ante un patrón) publicaron online fotos de helicópteros que llegaban a una base en Irak. Los metadatos de las imágenes contenían las coordenadas exactas del lugar. De acuerdo con una versión de los hechos, la información fue utilizada posteriormente en un ataque enemigo que le costó a los Estados Unidos cuatro helicópteros.

4. Compartir en exceso en las redes sociales

Puedes dar con algunos secretos simplemente cotilleando los amigos de una persona. Por ejemplo, si los vendedores de una región determinada empiezan a aparecer de repente en la lista de amigos del gerente de una empresa, los competidores pueden llegar a la conclusión de que la organización está buscando nuevos mercados, e intentar adelantarse a su jugada.

En el 2011,  la periodista de Computerworld Sharon Machlis llevó a cabo un experimento para obtener información de LinkedIn. En solo 20 minutos de búsqueda en el sitio, descubrió el número de moderadores de los foros online de Apple, la configuración de la infraestructura de RR. HH. de la compañía, etc.

Como la propia autora admite, no encontró nada tan importante como un secreto comercial, pero dado que Apple se enorgullece de tomarse tan en serio la privacidad, no podemos restar méritos a sus descubrimientos. Por otro lado, de acuerdo con las responsabilidades de un vicepresidente de HP, que de nuevo aparecen en LinkedIn, cualquiera podía averiguar con qué servicios en la nube estaba trabajando la empresa.

Cómo evitar las filtraciones los datos involuntarias

Los empleados pueden, sin darse cuenta, compartir mucho sobre tu empresa. Para evitar que sus secretos se hagan públicos, establece reglas estrictas para publicar información online e informa a todos tus colegas de lo siguiente:

  • Cuando realices fotos y vídeos para publicar en redes sociales, asegúrate de no encuadrar nada que no debería estar ahí. Al igual que cuando alguien te grabe o tome una foto tuya o de tu oficina. A los periodistas no les importa, pero puedes pagarlo muy caro si tus contraseñas circulan por Internet. Realiza las fotos en lugares especialmente designados para ello. Si no existe tal lugar, al menos revisa las paredes y las mesas de antemano.
  • También ten en cuenta lo que los demás pueden ver lo que está detrás de ti durante las videollamadas y teleconferencias, ten cuidado, aunque estés hablando con colegas o socios.
  • Esconde los contactos confidenciales personales y de negocios en redes sociales. Recuerda que los competidores, los estafadores y los malhechores en general pueden usarlos en tu contra.
  • Antes de publicar un archivo, elimina sus metadatos. En un ordenador con Windows, puedes hacerlo en las propiedades del archivo; para los teléfonos inteligentes, existen aplicaciones especiales. Tus lectores no necesitan saber dónde se realizó una foto, o en qué ordenador se creó un documento.
  • Reflexiona antes de presumir de tus éxitos laborales; podrían tratarse de secretos comerciales. Como mínimo, probablemente no sea prudente exponer tus triunfos con todo lujo de detalle.

Los empleados deben entender claramente qué información es confidencial y saber cómo manejarla. Nuestra plataforma de sensibilización en seguridad automatizada cuenta con un curso dedicado a ese tema.

Consejos