Ir al contenido
Avanet
Experimento: Por qué habría sido mejor no conectar esta memoria USB

Experimento: Por qué habría sido mejor no conectar esta memoria USB

31. MARZO 2017

¿Calificaríais hoy en día a vuestra empresa, en plena era de ransomware y APTs, como segura e inaccesible para los atacantes?

Como la mayoría de los lectores habituales de este blog ya saben, el foco de nuestro día a día está dedicado en un 80% a la seguridad. Con la Avanet apostamos desde el principio por las soluciones de seguridad de Sophos y nunca nos hemos arrepentido de esta decisión. Nos resulta especialmente motivador ayudar a clientes que se preocupan por la seguridad de su empresa y que, además, confían en los productos de Sophos.

Para una campaña de marketing en noviembre de 2016 elegimos, como objetivo, justo el polo opuesto de nuestros clientes habituales. Intentamos convencer de la importancia de la seguridad a CEOs que nunca se habían parado a pensar en ello o que estaban convencidos de que su solución actual proporcionaba suficiente protección. También dejamos de lado, por una vez, nuestro enfoque habitual de marketing online. ¿Qué salió de todo esto? Por desgracia, nada especialmente positivo, así que decidimos compartir nuestra experiencia con vosotros. Nuestra acción de marketing nos demostró de forma alarmante que aún hace mucha falta concienciación en el ámbito de la “seguridad en la empresa” y que, incluso con medios muy simples, es posible infiltrarse sin dificultad en la red de una compañía. Toda la historia la tenéis ahora aquí para leerla.

Antecedentes

Cuando, por interés, hablamos con potenciales clientes y les preguntamos con toda discreción cómo abordan el tema de la seguridad informática, prácticamente siempre escuchamos la misma respuesta:

“Estamos suficientemente protegidos y algo así no nos puede pasar. Nuestra empresa es demasiado pequeña y demasiado insignificante para un hacker.”

La realidad es que ya no se trata del típico hacker solitario en el sótano que solo se fija en grandes corporaciones. Precisamente todo el fenómeno de los troyanos de cifrado demuestra claramente que cualquier persona que tenga un ordenador, acceso a Internet y correo electrónico es un objetivo potencial. Cuando señalamos los riesgos que suponen los archivos adjuntos de correo, muchos CEOs están plenamente convencidos de que sus empleados son prudentes y que no harían nada irreflexivo. ¿Qué se puede decir ante eso, aparte de: “¿Nos dejáis probarlo una vez?” Es evidente que casi nadie quiere dar su consentimiento para algo así, así que, de cara a nuestra nueva campaña de marketing, nos planteamos la siguiente pregunta:

“¿Cómo se convence a un posible cliente de la importancia de la seguridad informática si nunca se lo ha planteado o está convencido de que ya está suficientemente protegido?”

Nuestra idea de marketing y cómo la pusimos en práctica

En la planificación de nuestra campaña había algo que considerábamos innegociable. Queríamos ser “los buenos” y que nuestra acción sirviera para llamar la atención sobre los riesgos actuales. Para ser realmente efectivos, también hacía falta una buena dosis de sudor frío que desterrara la idea de “yo estoy seguro y a mí no me puede pasar nada”.

Así que encargamos 100 memorias USB, en cada una de las cuales copiamos un único archivo HTML con el siguiente contenido:

Landing page de la memoria USB

En este punto quiero recalcar una vez más que en la memoria no había más que un archivo HTML inofensivo. Como ya he dicho, nunca fue nuestra intención perjudicar a ninguna empresa. A continuación, introdujimos la memoria USB en un sobre, acompañada únicamente por un post-it con el siguiente texto:

“Como comentado, los datos del proyecto. Saludos + gracias”

En el sobre solo figuraba la dirección del destinatario. Nos abstuvimos deliberadamente de indicar remitente para incrementar la curiosidad natural de las personas y aumentar la probabilidad de que la memoria USB fuera conectada.

Ahora tengo tres preguntas para vosotros:

  1. ¿Qué habríais hecho si una carta así hubiera aparecido en vuestro buzón?
  2. ¿Cómo se habrían comportado vuestros empleados?
  3. ¿Qué pensáis, cuántas veces se conectó realmente la memoria USB?

Gente enfadada, amenazas y policía

Éramos plenamente conscientes de que la acción era bastante atrevida. ¿Entendería la gente nuestras “buenas intenciones” y agradecería haber salido, en esta ocasión, con un simple susto?

La respuesta fue claramente “NO”. Lo descubrimos tres días después, cuando llamamos a las personas y les preguntamos por la memoria USB. Diría que, de unas 80 personas localizadas por teléfono, aproximadamente 5 comprendieron la acción e incluso nos felicitaron por una campaña de marketing original.

El resto estaba enfadado, nos veía como el enemigo y llegó a amenazarnos con emprender acciones legales. Dos de nuestras memorias USB acabaron incluso en manos de la policía.

65% de tasa de conexión

Dejando a un lado las reacciones y centrándonos en el impacto de nuestra campaña, lo realmente inquietante fue que el 65% de todas las personas con las que pudimos hablar por teléfono habían conectado la memoria USB en la empresa. Si partimos de la base de que no todo el mundo admitió haberlo hecho, la cifra real sería, de media, aún mayor.

Esto significa que al menos 52 personas pusieron en peligro la seguridad de su empresa al conectar una memoria USB sin saber de quién procedía ni qué archivos contenía.

Conclusión

Aunque podemos entender, por supuesto, las reacciones airadas de estas personas, consideramos que, en este punto, el ego propio no debería tener cabida. Hay que reconocer que, en esa situación, se ha sido vulnerable frente a una simple y absurda memoria USB, utilizando un método propio de 1990. Ante un ataque de este tipo, ni el mejor cortafuegos del mundo habría podido hacer nada, porque la memoria se “coló” literalmente, saltándose el control de seguridad. El factor humano fue, en última instancia, el mayor riesgo, ya que sin él la memoria USB nunca habría entrado en la red. Formar adecuadamente al personal y sensibilizarlo frente a este tipo de amenazas es una parte esencial de vuestra seguridad de la información.

Nuestra acción de marketing ha demostrado que en una empresa debe haber protección de endpoint instalada en cada equipo cliente. Solo una buena protección de endpoint, que actúe en función del comportamiento y no se base en firmas, es hoy en día el estándar de referencia. Quien busque un producto de este tipo en Sophos acabará, tarde o temprano, en Sophos Central. Como equipamiento básico, recomendamos siempre el equipo de ensueño Sophos Central Endpoint + Intercept X. Si queréis seguir nuestra recomendación, podéis adquirir directamente Sophos Central Intercept X Advanced, donde se incluyen ambos productos.

Aunque con esta campaña no hemos conseguido nuevos proyectos, desde nuestro punto de vista no ha sido en absoluto inútil. Estamos convencidos de que, gracias a esta acción, unas cuantas personas actuarán con más cautela la próxima vez y se lo pensarán dos veces antes de conectar una memoria USB a su ordenador.

David

David

David es responsable del contenido, la estructura y la implementacion digital en Avanet. Su enfoque consiste en presentar temas tecnicos complejos de forma clara, precisa y orientada a buscadores.