Los peligros de los drives USB

Según un estudio publicado en Estados Unidos, los dispositivos de memoria removibles tienden a convertirse en un serio problema de seguridad en las empresas.

De acuerdo con el informe, los drives USB –también llamados pen drives o Flash drives- pueden almacenar una gran cantidad de información privada o crítica en muy poco espacio, lo que puede ocasionar serios inconvenientes si el dispositivo se pierde o es robado.

Según la empresa Vontu -auspiciante de la investigación- más de la mitad de los 484 profesionales IT que fueron encuestados afirman que sus drives USB contienen datos confidenciales sin proteger. Además, el 20% de los participantes afirmó que al menos un dispositivo removible se extravía en su oficina o ámbito de trabajo una vez por mes.

Aunque la pérdida o robo de laptops y handhelds representa un peligro mayor para las empresas, uno de los temas clave con respecto a los drives USB es que los empleados no reportan su pérdida debido a que se trata de dispositivos pequeños y de bajo costo. Según los expertos, los miembros de las empresas juzgan el extravío de una de estas unidades como si fuera la desaparición de una lapicera u otro elemento de escritorio sin considerar el valor de la información que guardan.

Según el informe, casi dos tercios de los profesionales IT que usan drives removibles no poseen pólizas de seguro que resguarden su información, aunque están concientes de los riesgos que se corren. Además, el 53% de los encuestados afirman que sus empresas serían incapaces de determinar cual es el grado de confidencialidad o de importancia de la información que habitualmente se guarda en drives USB.

Tal como publica el sitio Newsfactor, Bob Heard, CEO de la empresa de seguridad informática Credant Technologies afirma que “un empleado puede comprar un drive de 25 dólares y descargar en él información que vale 25 millones de dólares, y no hay nada que la mayoría de las compañías puedan hacer al respecto”.

Como solución, algunas empresas recurren a métodos extremos como poner pegamento en los puertos USB de las máquinas, para que éstos no se puedan utilizar. Otras compañías utilizan metodologías más discretas, como el encriptamiento de todos los datos que se vuelcan a dispositivos removibles.

Según los responsables del informe, el estudio pone al descubierto el alto riesgo al que se enfrentan las empresas al no tomar medidas para proteger su información confidencial o crítica. De todos modos, este tipo de encuestas puede servir para que las compañías y los consumidores puedan tener un parámetro para comenzar a buscar las soluciones adecuadas

Llega el phishing dirigido a celulares

Las compañías especializadas alertan sobre el SMiShing, una versión móvil de las estafas vía e-mail.
La modalidad de estafas vía e-mail conocida como phishing está comenzando a atacar a los usuarios de teléfonos celulares. Empresas especializadas como LogicaCMG han detectado una nueva modalidad conocida como SMishing, una variante del phishing dirigida a las plataformas móviles, que está proliferando a nivel global.

Según IDG España, el SMiShing es el equivalente a los ataques de phishing en las computadoras de escritorio, en los que los usuarios son engañados para que ofrezcan información privada valiosa o son persuadidos a dirigirse a sitios web que contienen spyware y otros programas maliciosos.

De acuerdo con los responsables de LogicaCMG, el SMiShing es una variante del spam con connotaciones de ingeniería social, que pretende aprovecharse de la falta de conocimiento del usuario. A diferencia de lo que sucedería en una PC de escritorio, esta variante de spam no ataca directamente a los terminales móviles.

Al igual que en las prácticas de phising tradicional, detrás de los ataques a usuarios móvies se encuentran claras motivaciones económicas. Dentro de los ejemplos recientes de ataques de SmiShing se encuentran falsas suscripciones online y ofertas de trabajo ficticias que llegan a través de SMS. En estos mensajes, se pide a los usuarios que visiten determinados sitios web maliciosos para darse de baja de los supuestos servicios.