Shopping Cart

No hay productos en el carrito.

Experimento – Por qué no deberías haber conectado esta memoria USB

En esta época de ransomware y ATP, ¿describiría su empresa como segura y no vulnerable?

Como saben la mayoría de los lectores habituales de este blog, el 80% de nuestra actividad diaria se centra en la seguridad. Con Avanet, hemos confiado en las soluciones de seguridad de Sophos desde el principio y nunca nos hemos arrepentido de esta decisión. Disfrutamos ayudando a clientes interesados en la seguridad de su negocio y a los que también convencen los productos de Sophos.

Para una campaña de marketing en noviembre de 2016, una vez elegimos como objetivo todo lo contrario a nuestros clientes. Intentamos convencer de la seguridad a directores generales que nunca habían pensado en ello o estaban convencidos de que la solución existente proporcionaría suficiente seguridad. También nos hemos despedido por una vez de nuestro anterior método de marketing, el marketing online. ¿Qué salió de ello? Por desgracia, nada agradable, por lo que hemos decidido compartir nuestra experiencia con ustedes. Nuestra campaña de marketing nos ha demostrado de manera aterradora que simplemente hace falta mucha más educación en el ámbito de la «seguridad en la empresa» y que se puede penetrar fácilmente en la red de una empresa incluso con los medios más sencillos. Puede leer la historia completa aquí.

Prehistoria

Cuando hablamos con clientes potenciales por interés y les preguntamos discretamente por la seguridad informática, siempre oímos la misma respuesta:

«Estamos suficientemente protegidos y algo así no nos puede pasar de todos modos. Nuestra empresa es demasiado pequeña e insignificante para un hacker».

El hecho es que ya no se trata del pequeño hacker en el sótano que sólo elige como objetivo a las grandes empresas. La historia de los troyanos de cifrado, en particular, muestra claramente que cualquier persona con un ordenador, Internet y correo electrónico es un objetivo. Entonces, cuando señalamos los peligros de los archivos adjuntos al correo electrónico, los directores generales están seguros de que sus empleados son cuidadosos y, desde luego, no cometerían ninguna imprudencia. Qué más se puede decir, salvo: «¿Podemos probar esto una vez?». Es obvio que nadie quiere dar su consentimiento, por lo que nos planteamos la siguiente pregunta en relación con nuestra nueva campaña de marketing:

«¿Cómo convencer de la seguridad informática a un cliente potencial que nunca ha pensado en ello o cree estar suficientemente protegido?».

Nuestra idea de marketing y cómo la aplicamos

Al planificar nuestra campaña, una cosa era muy importante para nosotros. Queríamos ser «los buenos» y nuestra acción consistía en ayudar a concienciar sobre los peligros actuales. Para ser lo más eficaz posible, también necesitaba una parte de sudor de miedo, para poder exorcizar el pensamiento «estoy a salvo y no me puede pasar nada».

Así que nos entregaron 100 memorias USB, en cada una de las cuales copiamos un archivo HTML con el siguiente contenido.

En este punto, me gustaría subrayar una vez más que en realidad sólo había un inofensivo archivo HTML en el stick. Como ya he dicho, nunca ha sido nuestra intención perjudicar a ninguna empresa. Luego metemos la memoria USB en un sobre con una nota adhesiva que diga:

«Como se ha comentado, los datos del proyecto. Saludos + Gracias»

La carta sólo llevaba la dirección del destinatario. Hemos omitido deliberadamente el remitente para aumentar la curiosidad de la gente y aumentar la probabilidad de que se introduzca la memoria USB.

Ahora tengo tres preguntas para usted:

  1. ¿Qué habría hecho usted si una carta así hubiera llegado a su buzón?
  2. ¿Cómo se habrían comportado sus empleados?
  3. ¿Cuántas veces crees que se ha insertado la memoria USB?

Gente enfadada, amenazas y policía

Éramos muy conscientes de que esta acción era bastante descarada. ¿Comprendería la gente nuestras «buenas intenciones» y agradecería que esta vez salieran indemnes?

La respuesta fue claramente «NO». Así resultó tres días después, cuando les llamamos y preguntamos por la memoria USB. Diría que de 80 personas alcanzadas, unas 5 habían entendido la acción e incluso la habían elogiado por ser una acción de marketing original.

El resto de la gente se enfadó, nos vio como el enemigo y amenazó con emprender acciones legales. Dos de nuestras memorias USB acabaron en manos de la policía.

Tasa de inserción del 65

Dejemos a un lado las emociones y centrémonos en el impacto de nuestra campaña. Lo chocante fue que el 65% de todas las personas con las que se pudo contactar por teléfono ¡habían enchufado la memoria USB en la empresa! Suponiendo que no todos admitieran haber introducido el bastón después de todo, la media sería aún mayor.

Esto significa que al menos 52 personas han puesto en peligro la seguridad de su empresa al introducir un pendrive sin saber de quién es y qué archivos contiene.

Conclusión

Aunque, por supuesto, podemos entender las airadas reacciones de estas personas, creemos que en este punto el propio ego no tiene cabida. La gente debería darse cuenta de que, en esta situación, eran vulnerables a un ataque a través de una simple y estúpida memoria USB y que fueron sorprendidos utilizando un método de 1990. En el caso de un ataque de este tipo, ni siquiera el mejor cortafuegos del mundo habría podido hacer nada, porque el lápiz prácticamente pasó de contrabando el control de seguridad. Al final, la persona era probablemente el mayor peligro, porque sin ella, la memoria USB nunca habría entrado en la red. Una parte importante de la seguridad informática consiste en formar suficientemente al personal y advertirle de estos peligros.

Nuestra campaña de marketing ha demostrado que la protección de puntos finales debe instalarse en todos los clientes de una empresa. Sólo una buena protección de puntos finales que actúe según el comportamiento y no se base en firmas es la medida de todas las cosas en estos tiempos. Cualquiera que busque un producto de este tipo de Sophos acabará tarde o temprano con Sophos Central . Siempre recomendamos el dream team Sophos Central Endpoint + Intercept X como equipamiento básico. Si desea seguir nuestra recomendación, puede adquirir inmediatamente Sophos Central Intercept X Avanzado donde se incluyen ambos productos.

Aunque no hayamos conseguido nuevos contratos con esta campaña, desde nuestro punto de vista no ha sido en vano. Estamos convencidos de que esta acción hará que algunas personas actúen con más cautela la próxima vez y duden antes de insertar una memoria USB en su ordenador.

David
David

Suscribirse al boletín

Enviamos un boletín mensual con todas las entradas del blog de ese mes.