AFECTANDO A LA DEEP WEB DE LA EMPRESA

AFECTANDO A LA DEEP WEB DE LA EMPRESA

Siguiendo con las publicaciones anteriores hoy hablaremos como puede afectar la navegación por internet en la deepweb de la empresa.

La primera pregunta que nos surge es como podemos navegar por la deep web de una empresa, será está una empresa ilegal, la verdad es que no, simplemente se trata de una navegación no indexada en buscadores tradicionales, aunque parte de esa navegación este indexada en la Surfece Web.

Para IMF Business School Deep Web se define como "Es todo aquel contenido alojado en Internet que es accesible mediante permisos específicos, como pueden ser: una URL dedicada, una invitación, un pago o incluso un acceso mediante usuario y contraseña. Este tipo de contenido se encuentra dentro de Internet y, normalmente, parte de él suele estar indexado por los motores de búsqueda habituales."

No hay texto alternativo para esta imagen

En el entendido de la definición anterior, podemos decir que por ejemplo que la navegación por la intranet de la empresa es navegar por la deepweb, no obstante a ello no existe unidad de criterios respecto de este tema donde podemos encontrar diversas opiniones a favor y otras que lo dejan a la duda, pero de lo que si no tengo duda es que la motivación de un atacante es lograr controlar la intranet ya que este ha sido uno de los objetivos más recurrentes de los ataques actuales y que causa un mayor daño a los pilares de la ciberseguridad (integridad, confidencialidad, disponibilidad).

Sabiendo esto debemos aclarar la importancia de cómo la navegación por la Surface Web puede afectar a la Deep Web, aunque esté protegida, o sea un atacante podría utilizar a la Surface como vector de ataque.

Por definición para IMF Business School en su master de ciberseguridad las campañas de phishing son “la suplantación de un sitio web con el fin de obtener las credenciales o datos sensibles del mayor número de usuarios posible, para lo que se realizan campañas de distribución masiva, sin discriminación de grupo de usuario”, y podemos también agregar a eso que esta suplantación puede ser total o parcial, total cuando la suplantación ha logrado dejar comprometida la totalidad de la página, o en su defecto parte de ella cuando se ha logrado insertar un parámetro dentro de la página que permita al atacante llevar a la víctima a ejecutar un programa, o realizar alguna acción que comprometa la entrega de datos, ejemplos de lo anterior son el ataque XXS, SQL Injection, entre otros que buscan finalmente que la persona que visita una página ya sea a través de una publicidad, o al ingresar a alguno de los links de esta, sea desviada a visitar una página falsa o entregar involuntariamente datos que son enviados directamente al atacante.

No obstante a ello, otra de las formas utilizadas por el atacante para realizar las campañas de phishing en la web es ingresar a un buscador una página que parezca legítima lo que para OWASP Fundation se llama Spoofing, y si la víctima no se encuentra atenta simplemente cae en la trampa. Si a eso le sumamos que una persona tiene la tendencia a visitar sitios pornográficos, sitios de deportes on-line gratis, ver las ofertas que salen en la web en su horario de trabajo, ver redes sociales ingresando a cada link con luces o chat que observa, el riesgo va aumentando.

Así las cosas, es importante que debemos comenzar a realizar un monitoreo de la navegación por la web de nuestros trabajadores, para ello en las grandes empresas se puede contratar tecnología SIEM, o contratar un SOC, realizar monitoreos en línea las 24 horas de la deepweb de la empresa, pero también monitorear la navegación de los puestos de trabajo, siempre con la premisa de que algo extraño se puede encontrar, corregir, y enseñar para minimizar los riesgos.

En el caso de las tecnologías SIEM, va a depender el tipo de empresa que se tenga al contrato que se puede obtener, ya sean as a service o on permise, de esto va a depender los costos, pudiendo encontrar empresas que venden el servicio por cantidad de datos procesados, por tiempo, etc., debiendo por tanto encontrar el servicio que más acomode a la empresa.

Pero como se señalara latamente en el artículo anterior, los problemas no sólo radican en la fiscalización para minimizar los riesgos, sino también en vulnerar la legítima expectativa a la privacidad de la cual toda persona goza en razón a su navegación por la red. 

Es más, muchas de las personas no ven en la navegación por la red un problema o una vulnerabilidad, menos una consecuencia negativa en sus acciones, porque muchas veces nunca han sido capacitados.

Es en ese punto donde nuevamente volvemos a decir lo que incansablemente hemos relatado en temas anteriores, esto solamente puede darse en el caso de que la persona esté notificada de estos controles, evitando en todo momento invadir la vida privada de una persona, ya que está se encuentra protegida por las normas actuales y las actuaciones privadas se pueden realizar en el lugar de trabajo y actuaciones del trabajo en la vida privada.

Ahora este tema es en el puesto de trabajo, en la oficina, pero si no nos hacemos hacemos cargo hoy, cuando nos hagamos cargo en futuro de estos temas y los riesgos sean mayores con el teletrabajo, donde el trabajador lo hará a distancia, y si no dejamos claro el tipo de contrato y la forma de conectarse a la deepweb de la empresa, este vacío solamente tendrá más riesgos y legislar sobre la base de los riesgos ya explotados, será más costoso que legislar el día de hoy para poder tener claridad de hasta donde la empresa puede observar al trabajador, dando respuestas a las interrogantes, ya que no hemos evaluado como el teletrabajo puede afectar la privacidad de la persona y como puede afectar la protección de los datos de una empresa, discusión que lógicamente tendremos pronto que tener.

No hay sitio inseguro, hay acciones inseguras que pueden terminar por abrir paso a que un sitio sea inseguro.

Mientras tanto se proponen los siguientes cursos de acción:

  1. Crear un plan de ciberseguridad que considere los controles de la navegación, de acuerdo a el giro de negocio de la empresa.
  2. Creación de usuarios con privilegios diferenciados.
  3. Mantener al día los backup, de la empresa.
  4. Estipular en los contratos de trabajo el uso de internet.
  5. Realizar capacitaciones a los empleados de manera constante sobre el uso de la web, uso de la deepweb y riesgos.
  6. Establecer un sistema de denuncia de eventuales fallos de páginas web que visita la empresa para hacer negocios.
  7. Realizar pruebas programadas y sin programar, sobre páginas web deliberadamente modificadas para verificar el cumplimiento de las metas.
  8. Usar métodos de gratificaciones a quienes cumplan con las metas ciberseguridad.

¿Cómo crees que le puede afectar a tu empresa?

Carlos Solís Salazar

Microsoft MVP (Azure) | MCT | DOJO Cloud | Cloud Solutions Architect Engineer

5 años

A veces por creer que algo está e la Deep web, se relajan los controles de seguridad, de allí que tantos Amazon S3 estén expuestas sin mayores controles de seguridad... Simplemente, piensan que están seguros porque no aparecen en indexado en los buscadores... Excelente artículo, gracias por compartirlo Oscar.

Inicia sesión para ver o añadir un comentario.

Otros usuarios han visto

Ver temas