Un investigador de seguridad norteamericano que reside en Austria, Christian Haschek, escanea todas las direcciones IP del país centroeuropeo y se encuentra una infinidad de cosas que bajo ningún concepto deberían estar accesibles online, desde ordenadores y servidores completamente anticuados y vulnerables, otros que pueden ser fácilmente utilizados para ataques DDoS, impresoras a las que cualquiera puede enviar cualquier archivo para ser impreso, cámaras a las que cualquiera puede acceder libremente, dispositivos de todo tipo en hogares, y hasta controles industriales que podrían ser accionados por cualquiera suficientemente irresponsable como para hacerlo.
Haschek describe en su página el procedimiento para obtener el listado completo de direcciones IP de todo un país y los diversos métodos con los que obtuvo su información, y deja una conclusión clara: la red está llena de irresponsables carentes de las más mínimas nociones de ciberseguridad, y no pasan muchas más cosas porque algunos tienen mucha suerte o porque otros no tienen interés en ello. En realidad, la entrada de Haschek no deja de ser una manera de ofrecer los servicios de administración de tecnología de su compañía, pero la forma en que lo ha hecho no es en absoluto alarmista, sino perfectamente ajustada a la realidad.
¿Qué ocurriría si alguien llevase a cabo una auditoría similar en tu país o en tu compañía? Nada invita a pensar que Austria sea una excepción, de manera que es muy posible que los resultados fuesen similares o incluso peores. ¿Qué riesgos corremos por no llevar a cabo una administración de IT en condiciones o por despreciar incluso las prácticas de seguridad más evidentes?
La transformación digital no consiste en comprar tecnología e instalarla sin más. Es una actitud, una forma de hacer las cosas, una cultura y una lógica. Si digitalizas sin una estrategia razonable y sin la formación o las personas adecuadas, correrás riesgos que van desde simplemente hacer las cosas mal más rápidamente, hasta responsabilidades y problemas de seguridad potencialmente muy graves.
¿En manos de quién está la ciberseguridad en tu compañía? ¿Tienen los conocimientos mínimos para gestionar los dispositivos y la información que hay en ella? Prácticamente nadie puede evitar un ataque específicamente dirigido a un objetivo determinado y llevado a cabo por especialistas, pero eso no quiere decir que la ciberseguridad pueda ser ignorada completamente y que debamos dejar las puertas abiertas a merced de cualquiera que pase por ahí. Si llamas a gritos a los problemas, seguramente acabarán apareciendo…
Me sorprende que no comentes la ley de protección de datos.
Creo que es el hombre del saco de las empresas con la tecnologia. Si no se menciona no hay peligro.
¿En manos de quién está la ciberseguridad en tu compañía?
¿Y en tu casa?- Que yo sepa la mayoría de los dispositivos que tenemos tienen una cámara y un micrófono, eso sin contar con que además puedas tener cámaras de seguridad y micrófonos inteligentes
¿Seguro que se ponen en funcionamiento sólo cuando tu lo mandas? ¿Sería posible telemanejar tu/s cámara/s y tu/s micrófonos sin tu conocimiento? – Yo creo que no debe ser muy complicada
Claro, todos decimos, ¿Quién va a tener el interés de espiarnos?.
Y nuestra sorpresa aparece cuando descubres que sí que hay gente que si tiene interés en espiarnos, por un motivo por otro, celos, negocios, o simple fisgonería. y es tan sencillo hacerlo…
Yo he conocido quien tenia enchufado el telefonillo de el portal a la tele del salón.
¿Estás seguro, que cuando alguien despide en el portal a tu hija, o se ajusta la falda y estiras las medias, nadie lo está grabando?
¿Que servicio ofrece una auditoría de seguridad en tu casa de forma periódica?.
Totalmente de acuerdo. No entré en el tema doméstico porque me pareció, por deformación profesional, que tenía más interés el ámbito corporativo, pero tienes toda la razón: en casa la situación, en cuanto tienes cuatro bombillas, un termostato, una cámara y un altavoz inteligente, pasa a tener su cierto peligro. Y no hay servicios que te hagan una administración de sistemas razonablemente responsable a domicilio.
Para mas risas al respecto ver esto:
https://www.abc.es/tecnologia/20140127/rc-frigorifico-tiene-spam-201401270021.html
Pero entiendo que la investigación se refiere a direcciones públicas a las que se puede llegar directamente, no a dispositivos con direccionamiento privado tras un router por ejemplo. Ahí ya se necesitan otro tipo de métodos para llegar hasta ellos.
Me hace mucha gracia la psicosis que se crea ante aparatos tecnológicos y la aptitud típica de mucha gente, que se confía del primer pico de oro que se le presenta delante. Por lo menos el ADN no está aún preparado para alertarnos de lo que hay «afuera de la cueva». Pero el ADN si tiene previstas ciertas pautas de seguridad en el proceso de adpatación al ecosistema terrestre que pocos humanos están dispuestos a seguir.
Y ya no digo en el terreno político. Por favor, no me hablen de Google ni de Facebook, cuando enfrente hai tipos como Casado, Rivera o Abascal, que no paran de destilar mentiras y la gente se las cree como si fueran a misa. Me parece mucho más seguros cualquier Echo o Alexa.
Lógicamente la falta de preparación para sobrevivir «fuera de la cueva», se refiere a los avances tecnológicos. Esperemos que un humano realmenet evolucionado, ya contenga en su ADN aspectos que neutralicen a los futros algoritmos (por ejemplo).
Ese tipo de escaneo se hace en conferencias éticas de seguridad todos los días como ejemplo de los pequeño que es el espacio de direcciones ipv4 pero curiosamente es el menos usado por los «hackers malvados» porque desconoces que estas buscando. Esto es porque los ataques hacking dirigidos siempre son spam masivo Usted ha ganado un premio en FreeLotto, descargue esta factura NO-ES_VURIS.pdf.EXE que es el método que menciona otro comentarista para llegar a objetivos específicos.