Intersat Argentina: siglo 21, cuando no hay ADN de seguridad

InterSat Argentina cuando no se ve vocación por la seguridad

InterSat Argentina cuando no se ve vocación por la seguridad

Pasaron 20 años del siglo XXI e Intersat Argentina sigue trabajando como en el siglo pasado, sin la menor preocupación por las buenas prácticas de Seguridad mínimas para presentarse.

Intersat Argentina es un empresa que brinda servicios esenciales a la Policía Federal de Argentina, pero al revisar su página web, es llamativa la inocencia supina sobre buenas prácticas de seguridad o tal vez su falta de afecto por el tema.

Arranquemos por la dirección de la página, aparece sin certificado digital, una empresa de telecomunicaciones que a esta altura no comprenda lo importante que es tener un certificado digital en la web, resulta agraviante.

La página web de Intersat no es segura

Si el desinterés para que exista una capa de seguridad entre mi dispositivo en el cual hago una consulta y el servidor en el que la gente de Intersat ha colocado su página web es tan manifiesto, no encuentro forma de entender que el resto de los servicios que brinda son sustentables.

Ya no es solo un tema de posicionamiento, ya que Google penaliza a todas las páginas que no tienen un certificado digital instalado, es una cuestión de imagen corporativa y fundamentalmente de filosofía de trabajo.

La cultura de la compañía, que no observa estos detalles, demuestra que la atención al cliente no es vocacional, es solo una cuestión de precios.

Certificado Digital Gratuito

En el cuadro que figura arriba de este párrafo, se puede acceder a un lugar en dónde los certificados digitales para páginas web son gratuitos, por lo cual no es una cuestión de capacidad económica de la compañía, imagino que es solo desidia y desinterés.

Ataques de Ingeniería Social

Otro dato interesante, e igual o tal vez mucho más grave, es el segmento en el cual figuran todos los empleados de la empresa, con sus fotos y sus cargos, desde el presidente, hasta la telefonista, todo lo necesario para armar un “buen engaño”.

La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.

Es una técnica que pueden usar ciertas personas para obtener información, acceso o permisos en sistemas de información que les permitan realizar daños a la persona u organismo comprometidos. El principio que sustenta la ingeniería social es el de que, en cualquier sistema, los usuarios son el «eslabón débil».

Imaginemos que somos cibercriminales y queremos infectar a la Policía Federal, o a la empresa Barrik, vecina del San Juan natal de la compañía.

Clonamos un e-mail de un técnico y enviamos un archivo malicioso con información real, que sacamos de las redes sociales y un adjunto con fines de vulnerar el perímetro.

“Querido Pedro: te mando una foto del asado que nos comimos en el fin de semana y adjunto el archivo con los nuevos parámetros de configuración, cuando vengas por acá lo repetimos”.

Solo hacen falta dos líneas, para que Pedro de Policía Federal vea que es el empleado de Intersat que figura en la foto robada de una red social, que el e-mail clonado dice Intersat y aunque su antivirus diga, que no abra el archivo, lo va a abrir igual ante el peligro de que la fuerza se quede sin servicio.

La configuración de una infraestructura crítica, es algo serio, imaginemos que un abogado hábil toma estas faltas a las buenas prácticas de la seguridad informática de la empresa proveedora de servicios de telecomunicaciones de una fuerza, pudo haberse roto la cadena de custodia de datos digitales, y en ese caso vulnerado la verdad. Aquí y en la China, ante la duda hay que fallar a favor de la inocencia.

Imaginemos que un cibercriminal entra en la página y dice, qué bien, trabajan con la Barrik, y vulnera el perímetro de la minera en San Juan, y mediante un desplazamiento lateral dentro de los sistemas de la minera activa los controles para el volcado de contaminantes en el medio ambiente.

O tal vez imaginemos que la minera los vuelca por error y un supuesto iluminado diluye la responsabilidad argumentando un ataque informático.

La seguridad cibernética, es un tema serio, que en 2020 todas las empresas, desde un proveedor de servicios de telecomunicaciones, un portal de noticias o una pequeña pyme debe tomar en cuenta, o puede ocasionar un desastre.

Policía Federal Argentina

La imprudencia de Intersat en ciberseguridad, debe ser atendida de inmediato, tengamos en cuenta que el sistema de sueldos de la Policía Federal corre por su red, la vulneración del perímetro podría dar como resultado que todos los legajos de todos los policías puedan ser robados, o lo que es aún peor, que sus identidades y la de sus familias llegue a manos de los carteles del narcotráfico.

Es solo una página, es solo un error por parte de Intersat, pero estos ejemplos imaginarios demuestran que el potencial de explotación es inmenso y puede ser un escenario concreto.

Advertir a Intersat como periodista y como técnico es una obligación, la seguridad de todos está en juego.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Seguí leyendo

8 Amenazas cibernéticas a tu empresa

Ataques a industrias en el primer semestre 2020

Mirai 2020: cuando un vector se convierte en ruido blanco

VMWorld 2020: reportaje magistral a Octavio Duré de VMware

Oracle ERP Nro1 en la nube líder del mercado

90 / 100