NOTICIAS

Hugo Teso, responsable del Grupo de Hacking Ético de Ecija: ‘Fugas de información’

Fugas de información

15/04/2008. Por Hugo Teso, responsable del Grupo de Hacking Ético de Ecija.

Introducción:

El término «Era de la Información» se acuñó por primera vez en 1980 y se refiere a una época donde la información era un recurso decisivo. Su búsqueda y captura generaban por sí mismas una ventaja competitiva. Si bien en el momento actual la información sigue siendo el recurso más importante de nuestros días, ésta parece decidida a reivindicarse como tal con cifras realmente impactantes. Valgan como ejemplo algunos datos:

– Tan sólo en 2007 1500.000.000 Gb de nueva información fueron creados, más que en los últimos 5000 años juntos.
– La información técnica dobla su volumen cada dos años aunque las predicciones hablan de un aumento del 100% cada 72 horas en 2010.
– Cada día se producen 2,7 billones de búsquedas en Google.
– El número de mensajes enviados y recibidos cada día es mayor que la población mundial.

Tan sólo en 2007 1500.000.000 Gb de nueva información fueron creados, más que en los últimos 5000 años juntos.
En una gran compañía la información necesita ser accesible por sus empleados y al tiempo estar disponible para el resto del mundo. Este hecho se muestra como un arma de doble filo pues ambos flujos de información han de ser estrechamente controlados. Es habitual el control del acceso a la información para los empleados, pero, ¿qué pasa con la información que la empresa da de si misma al resto del mundo?, ¿está realmente controlada?

El problema:
Para la empresa actual poder publicar información es algo vital, pero se encuentra con la dificultad de controlar todo el volumen de información que publica voluntaria o involuntariamente.
Las fugas de datos se producen cuando la información confidencial de una empresa sale de la misma o cuando empleados u otras personas tienen acceso a material restringido. Por otra parte, estas fugas pueden conllevar la infracción de la normativa externa porque la información no se puede registrar y recuperar conforme exige la ley.

Las herramientas:
Aún habiendo detectado la presencia del problema, su concreción y estudio resulta cuanto menos intimidatorio, debido principalmente a la enorme extensión donde buscar las fugas e implantar los filtros necesarios.
A la hora de encontrar toda esta información los más rápidos han sido, una vez más, los más interesados. Es por este motivo existen múltiples herramientas y técnicas que permiten a cualquier atacante recopilar de forma fácil y casi automática su preciado botín: la información.
Entre esas herramientas hemos elegido una como ejemplo para demostrar la facilidad con la que una aplicación nos permite, entre otras cosas, buscar toda la información existente sobre nuestra empresa y que está accesible de forma pública.
Para ello tan sólo es necesario comenzar por un nombre de dominio, una página web, una persona o teléfono. La sencillez de manejo y la gran profusión de resultados impresionan desde su primer uso.
Para poner a trabajar esta herramienta basta con descargar, de forma gratuita, la versión más adecuada a nuestras necesidades en función del Sistema Operativo que empleemos y arrancarla una vez descomprimida.

Pantalla principal

Ya estamos listos para comenzar, ahora simplemente hay que arrastrar el icono que representa el elemento inicial de la búsqueda a la pantalla principal y rellenar el texto con el nombre que se quiera buscar: nombre de dominio, de página web, de persona, etc.

Elementos de búsqueda

En la parte superior de la pantalla principal ajustamos el deslizador al número máximo de resultados que queremos obtener y aplicamos, mediante el botón derecho, aquellas búsquedas que nos interesan. Eso es todo, esperamos unos segundos y ya podemos estudiar los resultados.

Opciones de búsqueda


Primeros resultados

Como se puede observar, la cantidad de resultados así como la naturaleza de los mismos es sorprendente; ahora se trata de ampliar la búsqueda de aquellos resultados que nos interesen de la misma forma que hicimos al principio.


Búsquedas adicionales

Conclusión:
Como se ha podido observar, las fugas de información conforman un gran problema de base y requieren de una complicada solución. La metodología habitual de comprobar el estado del problema, solucionarlo y convertir este proceso en cíclico sigue siendo una buena aproximación aunque, en este caso, se precisa de una serie de herramientas específicas y, en la mayoría de los casos, desconocidas.
Al igual que el conflicto que ocasionan, estas herramientas son jóvenes y, a menudo, se encuentran en una fase muy inicial de su desarrollo. Tengamos en cuenta que de la misma forma que éstas se encuentran en continua mejora, las empresas que usan dichas herramientas han de revisar y mejorar de forma activa sus metodologías de seguridad para lograr anticiparse a los posibles problemas.

Global Gold Sponsor

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

• Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum Spain, incluyendo las dos Jornadas Internacionales de Seguridad de la Información anuales.
• Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum Spain, como cursos o seminarios.
• Accederás a descuentos exclusivos para socios de ISMS Forum en distintos eventos y cursos organizados por colaboradores de la Asociación.
• Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer una o varias certificaciones (CCSK, CDPP, CIMS, CISA, CISSP, L.A. ISO 27001, etc.).
• Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum Spain u otros de especial interés para el sector.
• Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
• Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), cursos de formación, etc.), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

• Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
• Tendrán la capacidad para nombrar a ocho trabajadores de la empresa como socios de pleno derecho.
• Si eres microempresa, de menos de 10 trabajadores, podrás nombrar hasta dos trabajadores como socios de pleno derecho.
Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.

Sobre ISMS Forum
Vídeo corporativo