¿Quieres compartir archivos secretos de forma segura? Hazte antes unas preguntas

0

No basta con poner el rótulo de Top Secret y olvidarse, hay que estar pendientes de la seguridad

Antiguamente, las cosas eran mucho más simples que ahora. Si alguien necesitaba un archivo nuestro, se lo enviábamos vía emal como archivo adjunto. Después de todo, no había tanto hacking como hoy en día.

Claro que no es el procedimiento más seguro del mundo (sobre todo si no utilizamos email cifrado) pero era un método rápido, que duda cabe, para compartir archivos, donde las posibilidades de que el archivo llegara a manos ajenas eran relativamente pequeñas.

Las cosas han ido cambiando

Sin embargo, si os paráis a pensar en la cantidad de espacio ocupado, hoy en día, en nuestros PCs, el tema se vuelve un poco más complicado. Los archivos que manejamos hoy en día, superan, en muchos casos, las capacidades de envío que los servidores están dispuestos a admitir.

Si enviamos un archivo grande a otra persona a través del email, no sólo existe el riesgo de que sea rechazado por el servidor debido a su tamaño, sino que también estamos comprometiendo al recipiente, que podría encontrarse con una descarga interminable para archivos de, por ejemplo, 75 MB en su cliente de correo habitual.

La filtración de Doctor Who

Una solución evidente ante el problema sería, obviamente, no enviar el archivo como adjunto, sino compartir una URL en su lugar, pero ello conlleva riesgos importantes.

Es lo que parece haber ocurrido recientemente en la BBC (British Broadcasting Corporation). Sus homólogos latinoamericanos, ubicados en Miami, tenían la misión de desarrollar subtítulos para la próxima serie de TV “Doctor Who“.

Por desgracia, el directorio de servidor web en el que ubicaron los scripts no era tan privado como ellos pensaban. Antes de que pudieran darse cuenta, fans ávidos del personaje ya habían aprendido todo sobre las novedades que incluirían los nuevos episodios.

Ruta de servidor compartida de forma inocente por trabajadores de la BBC

Sin importar si nuestra compañía está utilizando una URL secreta en su sitio web, o uno de los servicios online más populares para almacenar algunos Gygabytes de espacio en la nube de forma gratuita, tenemos claro que estos no ayudan a preservar la privacidad o seguridad mucho más allá de lo que supone el método anteriormente comentado.

Por eso, el experto en seguridad Graham Cluley nos recuerda la conveniencia de pensar bien las cosas antes de hacerlas:

Preguntas que cabe hacerse

1 ¿Contiene el archivo información privada, quizá de una empresa, que no queremos que salga a luz?
2 Quizá podemos confiar en que los receptores del mensaje no publicarán los datos pero ¿estamos seguros de que ellos están implementando las mejores prácticas de seguridad posibles para defender sus cuentas y perímetros?
3 ¿Podemos confiar en los receptores borrarán de forma segura y definitiva el archivo de sus equipos una vez hayan accedido a la información? o ¿Existe alguna forma para que nosotros podamos dejar de compartirlo cuando consideremos?
4 ¿Qué nivel de confianza tenemos en que nuestras comunicaciones (con la URL oculta al contenido siendo compartida) no sean interceptadas en ruta por alguien interesado en escuchar nuestros intercambios?
5 ¿Ha sido diseñado el sistema de intercambio en combinación con algún mecanismo de seguridad en mente? Equipo dedicado a proteger las comunicaciones ante hackers, implantación de procesos de inicio de sesión de usuario realmente confiables, etc.
6 ¿Utiliza encriptado el sistema? ¿Existe alguna forma de que el almacenamiento cloud “vea” nuestros archivos o comparta su contenido con las autoridades? O, por el contrario ¿Queda enteramente en manos del usuario el acordarse de nunca subir contenido sin haberlo encriptado antes?

Cuidado con vuestras prácticas o podríais dejar a vuestra empresa comprometidaEl problema, con algunos de estos sistemas de sincronización e intercambio de archivos, es que fueron diseñados con requisitos de usuario desfasados en mente. Los usuarios domésticos tienen conflictos inevitables con las organizaciones cuando se trata de un servicio, por lo que la seguridad y privacidad de los mismos se rebaja varios escalones. La realidad es que, millones de usuarios posiblemente no sepan que los datos que ellos almacenan en estos serivicios de intercambio de archivos vía web están filtrando los mismos a gente no autorizada.

Un estudio reciente comprobó que un alarmante 38 por ciento de trabajadores confiaban en apps como DropBox para compartir sus archivos marcados como “Confidenciales“. Esto ocurre a pesar de los antecedentes que ya hemos comentado en alguna ocasión, como la filtración de enlaces supuestamente privados, la exposición en la red de detalles económicos de empresas o incluso meros fallos en sistemas de terceros que dejaban los enlaces abiertos a la visualización de cualquier usuario, por no hablar de scams o malware.

Conclusión: en lo personal, evidentemente a nadie le gusta ceder datos o intimidades a terceros. Pero tened aún más cuidado con los peligros para vuestra empresa, un fallo vuestro podría poner a quien “os da de comer” en las portadas de las publicaciones debido a filtraciones y, en muchos casos, puede dar al traste con vuestro futuro en la organización.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR