Las malas prácticas y sus consecuencias

Incontables veces hemos hablado de las buenas prácticas, detallando en ocasiones listas de consejos generales  al igual que recomendaciones específicas para determinados entornos. Pero, ¿qué hay de las malas prácticas? Aunque no lo crean, grandes empresas han cometido errores clave, generando así la fuga de información valiosa.

Ya todos ustedes están al tanto de los recientes ataques que recibieron varias entidades en lo que va del año, pero muchas veces la publicación de información privada de una empresa un Internet es responsabilidad solo de esta y de sus malas prácticas.

El 2 de Junio del corriente año Acer Europa sufrió un acceso ilícito a su servidor FTP, filtrándose así más de 40.000 datos de usuarios,  código fuente y comprometiéndose la integridad del mismo. A primera vista pareciera tratarse de un “acceso forzado”, pero hilando más fino descubrimos que el grupo de había publicado una imagen, la cual es dejo a continuación:

Acer

Parece mentira, pero esta imagen es real. Se puede observar la dirección, usuario y contraseña en texto plano para acceder a dicho servidor FTP, y lo más irrisorio es que esto fue publicado por el equipo de soporte ASP de Acer en un foro público.

Este “ingenuo” descuido probablemente le haya costado millones a la empresa, por lo que el color humorístico de la noticia ahora desaparece por completo.

Otro es el caso de Certigna, una autoridad de certificación francesa a la cual, el día de hoy, se le descubrió un gran descuido operativo. Antes de explicarles el caso les dejo una imagen:

Certigna

Por un simple error en la configuración de su servidor web, se podía listar una carpeta en la cual se observaban archivos que parecían ser de carácter privado. Entre ellos uno llamado “www.certigna.fr.key“, el cual contenía ni más ni menos que la llave privada utilizada para cifrar los certificados SSL. Cabe destacar que los certificados emitidos por esta empresa son considerados confiables por los navegadores web más populares (IE, Firefox, Safari, Opera, etc). Un usuario malicioso podría crear, gracias a este archivo, sus propios certificados SSL válidos firmados por Certigna, autentificando así un sitio malicioso como válido y utilizarlo en ataques de phishing o cualquier otro que este se imagine.

Ahora la empresa se verá forzada  a revocar dicha llave, crear una nueva, volver a emitir todos los certificados y luego firmarlos con la nueva llave.

Queda más que claro que por más pequeño que sea el error las consecuencias y perdidas pueden ser gigantescas, sin considerar los problemas de imagen que sufre la entidad.

Todo esto podría haber sido evitado si los empleados de ambas empresas hubieran sido consientes de los peligros de la publicación de esa información, algo perfectamente solucionable mediante distintas capacitaciones de seguridad y la correcta concientización.

Joaquín Rodríguez Varela
Malware Lab Engineer

Autor , ESET

Síguenos