En la actualidad las empresas e instituciones en nuestro país están empezando a invertir cantidades importantes en asegurar su información, sin embargo, los miles de pesos invertidos, muchas veces no son suficientes para detener a los atacantes, ¿la razón?, el eslabón mas débil en un esquema de seguridad somos nosotros, los usuarios.
Mientras que para cualquier sistema operativo o base de datos, o equipo de seguridad existen firmas y actualizaciones que garantizan que los equipos son confiables, para los seres humanos esto no es posible. De esta forma, tenemos usuarios cuyas vulnerabilidades al ser descubiertas no pueden ser del todo "parchadas" como decimos en este ambiente de la seguridad, y aunque para los que estamos dedicados a la seguridad no nos es difícil identificar cuando un usuario no ha recibido sus actualizaciones, para los administradores de red, resulta algo complicado.
Su trabajo se basa entonces en tratar de "parchar" (Léase en el sentido de aplicar una actualización de seguridad) al usuario que ya ha cometido un error. Así, es común que un usuario (algunos les decimos de cariño uzooarios) permita pasar un malware en su maquina, a pesar de las advertencias de seguridad que nuestro programa antivirus centralizado con análisis ehurístico de datos activado, firmas descargadas en tiempo y forma, si el usuario acepta la instalación del programa nada se puede hacer.
Hace poco, revisando una de las tantas cuentas de correo que manejo, resulta que recibo una de las famosas cadenas en las que Bill Gates va a regalar una parte de su fortuna por cada correo que sea reenviado desde cierta dirección. Además de que este tipo de correos no pueden ser rastreados al nivel de que Bill Gates les vaya de la noche a la mañana a notificar por ese medio que ya llevan acumulados $1000 USD, (Si se puede hacer un rastreo de un correo, sabiendo por que servidores paso con las cabeceras del mensaje) son solo cuentas de correo que hablan de una identidad en la red, no de la identidad de la persona en realidad, lo que nos lleva a otros puntos a analizar en otra ocasión.
El caso es que en este correo que me hicieron favor de reenviar, venían anexadas direcciones de gente de Gobierno del estado, incluso a nivel de secretarios de estado (Si quizá solo eran las direcciones oficiales, pero no dejan de estar en riesgo de sufrir denegación de servicio o suplantación de identidad, por que se puede generar un correo diciendo que viene del secretario de Gobierno del estado y la dirección será la correcta!)
Por esto, es importante que los administradores sepan (Bueno ok, se que ya lo deben saber, pero ahora es importante que los usuarios se enteren) que el eslabón mas débil en la cadena de seguridad de una empresa, es sin duda, el ser humano.
Mientras que para cualquier sistema operativo o base de datos, o equipo de seguridad existen firmas y actualizaciones que garantizan que los equipos son confiables, para los seres humanos esto no es posible. De esta forma, tenemos usuarios cuyas vulnerabilidades al ser descubiertas no pueden ser del todo "parchadas" como decimos en este ambiente de la seguridad, y aunque para los que estamos dedicados a la seguridad no nos es difícil identificar cuando un usuario no ha recibido sus actualizaciones, para los administradores de red, resulta algo complicado.
Su trabajo se basa entonces en tratar de "parchar" (Léase en el sentido de aplicar una actualización de seguridad) al usuario que ya ha cometido un error. Así, es común que un usuario (algunos les decimos de cariño uzooarios) permita pasar un malware en su maquina, a pesar de las advertencias de seguridad que nuestro programa antivirus centralizado con análisis ehurístico de datos activado, firmas descargadas en tiempo y forma, si el usuario acepta la instalación del programa nada se puede hacer.
Hace poco, revisando una de las tantas cuentas de correo que manejo, resulta que recibo una de las famosas cadenas en las que Bill Gates va a regalar una parte de su fortuna por cada correo que sea reenviado desde cierta dirección. Además de que este tipo de correos no pueden ser rastreados al nivel de que Bill Gates les vaya de la noche a la mañana a notificar por ese medio que ya llevan acumulados $1000 USD, (Si se puede hacer un rastreo de un correo, sabiendo por que servidores paso con las cabeceras del mensaje) son solo cuentas de correo que hablan de una identidad en la red, no de la identidad de la persona en realidad, lo que nos lleva a otros puntos a analizar en otra ocasión.
El caso es que en este correo que me hicieron favor de reenviar, venían anexadas direcciones de gente de Gobierno del estado, incluso a nivel de secretarios de estado (Si quizá solo eran las direcciones oficiales, pero no dejan de estar en riesgo de sufrir denegación de servicio o suplantación de identidad, por que se puede generar un correo diciendo que viene del secretario de Gobierno del estado y la dirección será la correcta!)
Por esto, es importante que los administradores sepan (Bueno ok, se que ya lo deben saber, pero ahora es importante que los usuarios se enteren) que el eslabón mas débil en la cadena de seguridad de una empresa, es sin duda, el ser humano.
No hay comentarios.:
Publicar un comentario