¡SOFT­WA­RE CO­LA­BO­RA­TI­VO DE TE­RROR!

Si en su com­pa­ñía usan Slack y Con­vo, no so­lo es­tá pi­dien­do que ro­ben su in­for­ma­ción, sino tam­bién es­tá po­nien­do en pe­li­gro a to­da la em­pre­sa.

IT Now Costa Rica - - SUMARIO - CSO

Si en su com­pa­ñía usan Slack y Con­vo, no so­lo es­tá pi­dien­do que ro­ben su in­for­ma­ción, sino tam­bién es­tá po­nien­do en pe­li­gro a to­da la em­pre­sa.

Aho­ra mis­mo hay un agu­je­ro enor­me en tu in­fra­es­truc­tu­ra de seguridad. La puer­ta prin­ci­pal es­tá abier­ta, la ven­ta­na la­te­ral es­tá en­tre­abier­ta y hay una ca­ja fuer­te con una se­ñal de neón que di­ce, con lu­ces in­ter­mi­ten­tes: “ro­ba mis da­tos”. Mien­tras blo­queas la red uti­li­za­da pa­ra es­te soft­wa­re es­ta­ble­ces es­tric­tas po­lí­ti­cas de uso e in­sis­tes en que los usua­rios se ape­guen a las con­tra­se­ñas com­ple­jas, tus da­tos se es­tán fil­tran­do.

Las apli­ca­cio­nes co­la­bo­ra­ti­vas, co­mo Slack y Con­vo, son in­dis­cre­tas, pe­ro na­die sa­be qué ha­cer al res­pec­to. Es­tas apli­ca­cio­nes per­mi­ten a los usua­rios com­par­tir do­cu­men­tos, pla­nes de ne­go­cios, fi­nan­zas y mu­chos otros ar­chi­vos, pe­ro una de las ra­zo­nes por las cua­les son un ries­go pa­ra la seguridad es que ten­de­mos a usar a es­tas glo­ri­fi­ca­das he­rra­mien­tas de chat to­do el día, to­dos los días.

Las ca­rac­te­rís­ti­cas del in­ter­cam­bio de ar­chi­vos han crea­do un agu­je­ro que po­cos han sa­bi­do lle­nar, ex­pli­ca­ron los ex­per­tos de seguridad a CSO.

“La con­ve­nien­cia de com­par­tir ar­chi­vos po­dría trans­for­mar­se fá­cil­men­te en una vio­la­ción de los da­tos si los em­plea­dos no tie­nen cui­da­do con la in­for­ma­ción que de­jan caer en los ca­na­les pri­va­dos o pú­bli­cos, es­pe­cial­men­te si no hay un soft­wa­re de seguridad que im­pi­da com­par­tir da­tos con­fi­den­cia­les”, di­jo Ro­man Foeckl, CEO y fun­da­dor de CoSoSys, un pro­vee­dor glo­bal de seguridad de pun­tos fi­na­les.

Foeckl ex­pu­so que Slack, con más de tres mi­llo­nes de usua­rios dia­rios y un do­mi­nio to­tal del mer­ca­do (el 77% de las com­pa­ñías For­tu­ne 500 lo uti­li­zan), es pro­pen­sa a fil­tra­cio­nes cuan­do los em­plea­dos no pien­san, a la ho­ra de to­mar ar­chi­vos y com­par­tir­los, una ma­ne­ra que no ge­ne­re gra­ves pro­ble­mas.

“La ame­na­za in­ter­na es muy se­ria con Slack, ya sea que un em­plea­do ha­ya com­par­ti­do ac­ci­den­tal­men­te la ba­se de da­tos de clien­tes, di­vul­ga­do in­ten­cio­nal­men­te pla­nes de ne­go­cios de la com­pa­ñía o que nú­me­ros de Seguridad So­cial fue­ran com­par­ti­dos en la nu­be pú­bli­ca”, ad­vir­tió.

Mi­ke McCa­mon, pre­si­den­te de Spi­der Oak, un cons­truc­tor de he­rra­mien­tas de pri­va­ci­dad en lí­nea, fue más allá y cues­tio­nó la seguridad del soft­wa­re co­la­bo­ra­ti­vo. Él com­pa­ra a es­tas apli­ca­cio­nes con una uni­dad USB que con­tie­ne da­tos fi­nan­cie­ros de la em­pre­sa y fue sa­ca­da del edi­fi­cio por un usua­rio. In­for­ma que ha oí­do ha­blar de al­gu­nas em­pre­sas que ya co­mien­zan a cues­tio­nar el uso de es­tas apli­ca­cio­nes.

El pro­ble­ma im­por­tan­te es que po­cas de las apli­ca­cio­nes de chat co­la­bo­ra­ti­vo usan una en­crip­ta­ción de ex­tre­mo a ex­tre­mo pa­ra la ac­ti­vi­dad del usua­rio. Los hac­kers pue­den de­tec­tar una trans­fe­ren­cia de ar­chi­vos des­de una de ellas, que es­tán apo­ya­das en los na­ve­ga­do­res co­mo prin­ci­pal pla­ta­for­ma de seguridad.

“Hay una lar­ga his­to­ria de vul­ne­ra­bi­li­dad en na­ve­ga­do­res, plu­gins y ex­ten­sio­nes. Las cor­po­ra­cio­nes de­pen­den com­ple­ta­men­te de un soft­wa­re en mo­sai­co pro­ve­nien­te de va­rios ven­de- do­res. Los malwa­re, co­mo los key­log­gers ins­ta­la­dos a tra­vés de los na­ve­ga­do­res, pro­por­cio­nan a los hac­kers el ac­ce­so a ‘apli­ca­cio­nes web se­gu­ras’ me­dian­te la gra­ba­ción y lue­go la su­plan­ta­ción de las ac­cio­nes de los usua­rios en si­tios web pú­bli­cos”, co­men­tó Mi­ke.

¿Qué se pue­de ha­cer?

Es un gra­ve pro­ble­ma, pe­ro hay cier­tos pa­sos que pue­des se­guir.

Ch­ris Ger­vais, vi­ce­pre­si­den­te de la com­pa­ñía de in­ge­nie­ría de seguridad en la nu­be Th­reat Stack, le ma­ni­fes­tó a CSO que las em­pre­sas de­ben to­mar cier­tas me­di­das in­me­dia­tas. Sor­pren­den­te­men­te, mien­tras Slack y Con­vo ofre­cen una au­ten­ti­ca­ción de dos pa­sos (los usua­rios de­ben ve­ri­fi­car su iden­ti­dad des­pués de re­ci­bir un có­di­go en su te­lé­fono, por ejem­plo), mu­chas em­pre­sas no lo uti­li­zan. Ha­bi­li­tar­lo crea un círcu­lo más es­tric­to de con­trol so­bre la in­for­ma­ción fil­tra­da en­tre los usua­rios re­gis­tra­dos.

Ger­vais su­gie­re que las em­pre­sas tam­bién pue­den es­ta­ble­cer un pe­río­do de re­ten­ción per­so­na­li­za­do de los ar­chi­vos, los que no es­ta­rán dis­po­ni­bles una vez que se com­par­tan en el en­torno co­la­bo­ra­ti­vo. Mu­chas he­rra­mien­tas de chat gru­pal, co­mo Hi­pChat, te per­mi­ten es­ta­ble­cer cuán­to tiem­po es­ta­rá dis­po­ni­ble un chat en el his­to­rial. Tam­bién es cru­cial su­per­vi­sar (o in­clu­so blo­quear di­rec­ta­men­te) cuá­les bots se pue­den agre­gar.

En Slack hay una ame­na­za po­ten­cial con Slack­bots de ter­ce­ros que com­par­ten in­for­ma­ción de una com­pa­ñía sin tu con­sen­ti­mien­to. Sos­tie­ne tam­bién que se de­be au­di­tar a los usua­rios re­gis­tra­dos, res­trin­gir el ac­ce­so (por ejem­plo, pue­des de­ci­dir no per­mi­tir que nin­gún con­tra­tis­ta ac­ce­da) y ac­tua­li­zar al plan de pre­cios es­tán­dar pa­ra que pue­das ha­bi­li­tar OAuth y con­tro­lar el apro­vi­sio­na­mien­to de los usua­rios.

“Al igual que con la seguridad em­pre­sa­rial en la nu­be, la vi­si­bi­li­dad es cla­ve pa­ra ayu­dar a pro­te­ger a Slack y otras he­rra­mien­tas co­la­bo­ra­ti­vas si­mi­la­res. Ase­gú­ra­te de sa­ber a quién le es­tás dan­do ac­ce­so y qué de­re­chos les es­tás dan­do a las per­so­nas que no for­man par­te de tu or­ga­ni­za­ción”, afir­mó Ger­vais.

Hay otro en­fo­que más ra­di­cal. Anu­rag Lal, CEO y pre­si­den­te de In­fi­ni­te Con­ver­gen­ce So­lu­tions, una he­rra­mien­ta de chat cor­po­ra­ti­vo, ase­ve­ró que las gran­des em­pre­sas real­men­te no de­be­rían usar es­tas apli­ca­cio­nes de chat gra­tui­tas, que es­tán orien­ta­das al con­su­mi­dor. Apun­ta que Slack, en par­ti­cu­lar, co­men­zó co­mo una he­rra­mien­ta de chat de jue­gos y no es­ca­ló bien en tér­mi­nos de in­fra­es­truc­tu­ra de seguridad, en­crip­ta­ción de ar­chi­vos e in­clu­so en las me­jo­res prác­ti­cas em­pre­sa­ria­les cuan­do es uti­li­za­do por mi­les de usua­rios.

Ese es un pa­so im­por­tan­te que po­dría cau­sar la re­be­lión de los usua­rios. Slack, Con­vo, Hi­pChat y mu­chos otros pro­por­cio­nan un va­lor ex­cep­cio­nal en tér­mi­nos de pro­duc­ti­vi­dad y pro­ce­sos de ne­go­cios. De­rrum­ban los re­tra­sos y las so­bre­car­gas cau­sa­das a tra­vés del co­rreo elec­tró­ni­co.

Newspapers in Spanish

Newspapers from Costa Rica

© PressReader. All rights reserved.