¿Qué es la fuga de información?
La fuga de información se produce cuando existe una divulgación voluntaria o involuntaria de información, lo que puede ayudar a los atacantes a violar la seguridad de la organización, significar un grave perjuicio para la organización, debido a las repercusiones legales, comerciales, estratégicas o financieras, e incluso representar una afectación a la reputación. El criterio clave para la fuga de información es que el origen y el nivel de exposición que ha significado, por lo que será clave el tiempo transcurrido desde la fuga hasta la detección de esta.
¿Cómo se filtra la información?
Dado que la información se puede entregar de muchas formas, hay muchos medios por los cuales se puede exponer información para los atacantes o interesados. A continuación, algunos ejemplos:
Del tipo técnico
- Por errores en la configuración de sistemas IT: Errores en general de los sistemas IT que permiten a posibles atacantes obtener información confidencial de los sistemas.
- Mensajes de error técnicos: una manifestación común de esta vulnerabilidad es mensajes de error de la base de datos y otras respuestas con detalles técnicos que no son significativos para un usuario final.
- Banners: la exposición de versiones de software del sistema operativo, servidor web, base de datos u otros componentes de la aplicación.
- Enumeración de cuenta: proporciona un mecanismo mediante el cual se revelan los nombres de cuenta existentes.
- Cookies: la exposición de tokens de sesión, tokens de autenticación y otra información de estado contenida en las cookies.
- Almacenamiento en caché: fallo al proteger la información del almacenamiento en caché de los navegadores web, exponiendo potencialmente dicha información a los atacantes con acceso local a la máquina.
- Fuente de la página web: La inclusión de información sensible a la aplicación en los comentarios que se entregan a los usuarios finales.
- Archivos de soporte: información expuesta en la fuente, comentarios o datos de configuración encontrados en Javascript, CSS u otros archivos auxiliares.
- Mensajes de diagnóstico / depuración: la exposición de información a través de datos de depuración en las respuestas
Del tipo confidencial, estratégica o financiera.
- Por motivos humanos
- Errores humanos: ya sea en el envío de información confidencial a través de correos electrónicos, o la difusión de esta en páginas web o publicaciones.
- Empleados descontentos: que publican o filtran información confidencial o estratégica de forma intencionada.
- Por ataques externos
- Malware o virus informáticos: aplicaciones maliciosas que extraen información de la organización de forma no autorizada.
- Ciberdelincuentes: que tras infiltrarse en la organización roban información de interés.
Información «sensible a la aplicación»
La fuga de información es diferente a la incapacidad de proteger la información confidencial en reposo y en tránsito. Esta es una preocupación legítima e implica la exposición de cualquier información confidencial almacenada y procesada por la aplicación.
Los ejemplos de información «sensible a la aplicación» que pueden estar expuestos involuntariamente incluyen:
- Direcciones de correo electrónico: la exposición de direcciones de correo electrónico internas se puede utilizar en ataques de ingeniería social, como el phishing, así como en ataques de control de acceso.
- Estructura de la base de datos: los conocimientos sobre el esquema utilizado por la aplicación pueden ayudar a crear cadenas de inyección SQL.
- Tokens de sesión y autenticación: la exposición de estos valores se puede usar para organizar ataques de secuestro de sesión.
- Estructura del sistema de archivos: la exposición de la estructura interna del sistema a través de referencias de ruta expuestas puede facilitar ataques como el recorrido de ruta.
- Identificadores de cuenta: se proporciona un medio para discernir las cuentas existentes, facilitando los ataques de fuerza bruta en los controles de acceso.
- Configuración de la aplicación: la exposición de la información de configuración puede informar a un atacante sobre la configuración incorrecta y ayudar a enfocar la estrategia de ataque.
La fuga de información es una vulnerabilidad
A veces hay un enfoque tan grande en la protección de los datos confidenciales que se procesan que pasamos por alto la información sobre el diseño o la implementación de la aplicación que debería considerarse «sensible a la aplicación» y protegida.
Si no se protege la información confidencial de la aplicación, puede proporcionar información valiosa a los atacantes y, por lo tanto, facilitar otros ataques.
spidernext es un Sistema Inteligente de Defensa (SID) que ofrece a los usuarios la posibilidad de disponer de una monitorización continua. Actualmente, es la única herramienta capaz de identificar posibles ciberataques antes de que ocurran, recuperar información de inteligencia y detectar ataques a la reputación de una organización.
¿Cómo podemos ayudarte?
Contáctenos para proteger mejor su empresa o solicitar más información.