Al navegar por la web, cargar documentos, tomar fotos, publicar en las redes sociales o simplemente utilizar un buscador como Google, nuestros dispositivos guardan y comparten metadatos, como el modelo del ordenador, la ubicación geográfica, el usuario que generó el archivo, la dirección IP o incluso las contraseñas. Desde el Instituto Nacional de Ciberseguridad (INCIBE) advierten que muchos de estos datos que dejamos circular sin intención, y creemos que son inofensivos, pueden exponernos y traer serias consecuencias para las empresas.
Por eso, el INCIBE ha realizado una guía de recomendaciones para reducir los riesgos que implica moverse por la web y prevenir la exposición a los cibermalos que se encuentran a la pesca de nuestra información sensible para vulnerar sistemas y realizar posteriores ataques.
Footprinting y fingerprinting
El footprinting consiste en la búsqueda de toda la información pública existente en Internet sobre un objetivo, sea una empresa o persona, e implica tanto las publicaciones realizadas voluntariamente como la información que aparece en medios de comunicación o los metadatos que dejamos de forma no intencional como rastros de las actividades cotidianas en línea. Esta recopilación de información puede realizarse sin infringir ninguna ley.
El fingerprinting también es una técnica de recolección de datos, pero, en este caso, requiere de la interacción con el sistema analizado, y busca obtener información para crear un perfil completo del objetivo. Se la llama también huella digital y permite rastrear el comportamiento en Internet de un usuario sin su consentimiento explícito. Su peligro radica en que puede utilizarse para encontrar brechas que permitan el acceso a un sistema o realizar acciones de phishing, entre otras vulneraciones.
No podemos evitar dejar huellas, pero sí reducirlas
El rastro que dejamos al navegar es ineludible, porque muchos de los datos que se comparten tienen que ver con mejorar nuestra experiencia en la red, como por ejemplo las cookies. Pero sí podemos tomar algunas medidas e incorporar hábitos que minimicen la exposición de manera consciente.
Las imágenes que se suben a la red representan un punto importante. Si bien hay aplicaciones de mensajería y redes sociales que eliminan los metadatos al cargar fotos en la red, desde el INCIBE aconsejan no subir imágenes de lugares identificables o de localizaciones de la empresa, como salas de servidores, accesos de seguridad o accesos de emergencia. Del mismo modo, recomiendan alertar a los trabajadores de que no publiquen imágenes de su puesto de trabajo ni de su pantalla encendida, ya que podría exponer datos sensibles de la compañía.
El uso de herramientas que eliminen los datos de los documentos también es una práctica que si se vuelve habitual entre los empleados evitará muchas fugas al subir archivos a la web.
A su vez, la utilización de una VPN es una alternativa recomendable para minimizar el rastro digital y mejorar la privacidad en línea, así como incorporar navegadores que permitan configurar la información que se comparte y limitar el fingerprinting. Al conectarnos a través de una VPN, es decir una red privada virtual, ocultamos nuestra dirección IP y para los delincuentes será más difícil saber quién se conecta y desde qué dispositivo porque la información que se transmite está protegida.
La formación y concienciación de los empleados en cuestiones de seguridad es otra acción clave para minimizar los riesgos, ya que muchos de los incidentes de seguridad se producen por sus comportamientos que, involuntariamente, filtran datos relevantes y sensibles para la empresa. Al igual que con la carga de imágenes, deben saber que es conveniente compartir en Internet solo la información esencial, tanto en redes sociales, como al subir archivos o mantener conversaciones, siempre desactivando la ubicación y cuidando los datos sensibles.
En el mismo sentido, desde INCIBE recomiendan tener un protocolo interno que establezca pautas sobre cómo subir archivos a la web de forma correcta, para que todos los trabajadores involucrados estén al tanto de las medidas de seguridad necesarias.