Las memorias USB introducen nuevos riesgos de seguridad para las empresas

06/07/06 12:20:42

LAS MEMORIAS USB INTRODUCEN NUEVOS RIESGOS DE SEGURIDAD PARA LAS EMPRESAS

Mercè Molist
Está demostrado que los dispositivos portátiles de almacenamiento de datos, como los CDs o las memorias USB, pueden servir para el robo de información por parte de empleados desleales. Menos conocida es su utilidad para introducir programas maliciosos en los ordenadores de una empresa. Con un sencillo experimento, una consultora norteamericana consiguió que diversos trabajadores enchufasen en sus equipos una memoria USB que activó un peligroso espía.

Se había hecho pruebas parecidas con CDs: se regalan a directivos y, cuando éstos los introducen en sus ordenadores, instalan un código malicioso que roba información sensible. Pero no todos caían en la trampa. Las memorias USB tienen un atractivo añadido: además de los documentos que puedan contener, que provocan la curiosidad de la víctima, son objetos más codiciados porque se pueden reutilizar.

Así lo entendió la empresa Secure Network Technologies, a la hora de diseñar una auditoría de seguridad para una entidad financiera norteamericana: diseminaron 20 memorias USB por las instalaciones, como el aparcamiento o la zona de fumadores. Cada memoria contenía un programa troyano, escondido dentro de una imagen, que se autoinstalaba en el ordenador, robaba las contraseñas y la información personal del empleado, como los sitios a los que se había conectado, y enviaba los datos a los expertos en seguridad.

El éxito fue rotundo: 15 memorias USB acabaron conectadas a los ordenadores de la empresa. Steve Stasiukonis, vicepresidente de la consultora, explica: "Observábamos a los empleados por el sistema de videovigilancia y era realmente divertido ver sus reacciones cuando encontraban la memoria USB y cómo la conectaban a sus ordenadores nada más volver a sus mesas. Los datos que recolectamos nos ayudaron a entrar en otros sistemas de la compañía".

Stasiukonis, un experto en el arte de engañar a la gente para asaltar sus ordenadores, asegura: "En todas las auditorías de ingeniería social que hemos realizado en los últimos años, siempre hemos corrido el riesgo de ser atrapados, detenidos por la policía o no conseguir nada de valor. El método USB ha sido francamente el más fácil". Un estudio de la consultora Yankee Group lo confirma: el año pasado, un 37% de empresas norteamericanas sufrieron robos de información mediante memorias USB.

Este nuevo problema de seguridad se enmarca en un cambio de comportamiento de la criminalidad informática. En los últimos años, se realizaban ataques indiscriminados, mediante envíos masivos de correo electrónico con virus, que afectaban por igual a compañías y particulares. Esta tendencia empezó a cambiar en 2005, cuando bajaron los virus a gran escala y crecieron los ataques dirigidos a empresas concretas, como reseña el "2005 Global Business Security Index Report" de IBM.

Social Engineering, the USB Way
http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1

USB drives pose insider threat
http://www.securityfocus.com/news/11397/1

IBM 2005 Global Business Security Index Report
http://www-03.ibm.com/press/us/en/pressrelease/19141.wss

Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.

<<