Hoy en día el Internet nos ayuda a comunicarnos uno con otros, visitar tiendas en línea, realizar consultas médicas, transferencias bancarias, etc. Para realizar estas actividades cierta información debe publicarse, como un dominio, el cual podemos llamar la URL del sitio web que visitamos e incluso puede ser el nombre de la misma empresa. Usualmente utilizamos un motor de búsqueda como Google para buscar estas páginas web que nos pueden reducir el tiempo de búsqueda. Es aquí donde debemos entender cómo, que no solo funciona para buscar información acerca de estos sitios web. También es utilizado para buscar información sensible, para luego un ciberdelincuente realizar un ataque de ingeniería social como phishing (envíos de correos maliciosos), vishing (llamadas telefónicas para recolectar información) y otros vectores de ataques relacionados con esta técnica.
La información sensible es aquella información que contenga información privada de una persona, como fecha de nacimiento, número de cédula, cuentas bancarias, correos electrónicos, credenciales, etc. Al igual que una persona individual una empresa contiene información sensible como nómina de pagos, código de empleado, credenciales, registros de contabilidad y cualquier otro tipo de información que pueda ser clasificada como confidencial. Toda esta información es llamada data sensible, que el departamento de seguridad de la información debe proteger utilizando políticas, controles de seguridad y concientizando la cultura de la ciberseguridad. Proteger toda esta data sensible no es solo responsabilidad este departamento sino de todos.
Un ciberdelincuente cuando va a realizar un ataque a una empresa, en particular uno de sus primeros pasos es recolectar la mayor cantidad de información que esta empresa contiene publicado con el propósito de realizar una campaña de phishing dirigida. Dado a estos ataques entiendo que debemos de revaluar que debe categorizarse como información sensible para evitar que un atacante obtenga más información de la que debería de tener.
Al final, debemos de tener claro que estos ataques de ingeniería social son logrados mediante divulgación de información no sensible. Es decir, un atacante si quisiera conocer qué tipo de tecnología utilizan la empresa para sus aplicaciones web, conexiones privada (VPN) sin tener que acceder a ella puede ser mediante algún articulo donde esta empresa publique una oferta de contratar a un desarrollador o mejor dicho un ingeniero de tecnología. Esto puede ser posible ya que en los requerimientos que solicitan usualmente divulgan las tecnologías, lenguaje de programación u otros nombres de tecnología que utilicen. También, puede existir divulgación de información no sensible como una foto o selfie que revele el sistema operativo, el correo que utilizan, etc.
Ya que entendemos las diferentes maneras que un atacante puede recolectar información de una empresa, la solución no es clasificar todo como confidencial, sino concientizar la cultura de la ciberseguridad de manera constante. Esta es la mejor solución al momento que reciban un correo phishing, ya ayudara a identificarlos con facilidad. También, identificar estafas por teléfonos.