Originalmente planeé enfocar este artículo del blog en la internet oscura. Muchos de los que lean este blog sabrán que la internet oscura es una parte muy conocida de Internet donde muchos sitios no están indexados por los motores de búsqueda y sólo se puede acceder a ellos si se conoce la dirección del sitio, lo que los hace ocultos de forma eficaz. Acceder a la internet oscura requiere un software especial, como los navegadores configurados con Tor. Una vez dentro de la internet oscura, existen mercados de "red oscura" que venden datos sensibles robados, conseguidos mediante brechas de seguridad (además de productos ilegales como drogas y armas de fuego). La moneda elegida para la internet oscura es la cripto-moneda Bitcoin.
Pensé que sería interesante investigar y dar una vuelta por la internet oscura, proporcionando mi perspectiva sobre qué actividades tienen lugar y lo fácil que es comprar y vender datos sensibles. La internet oscura presenta una experiencia de déjà vu para mí personalmente. Veréis, cuando era un joven adolescente, fui uno de los muchos pioneros en los comienzos de la era de las BBS en los 80.
Alojé en mi habitación un sitio “warez” (con software pirata) y tuve cientos de visitantes de todo el mundo, aunque sólo uno a la vez podía visitarlo en esos primeros días. Mi sistema era un ordenador Commodore 64, una unidad de disco 1541 y un módem de 300 baudios, que más tarde cambié por un módem de 1200 baudios. Utilicé técnicas de "phreaking" (hackeo del sistema telefónico) para cubrir los gastos de teléfono de larga distancia. Se podría argumentar que lo que hacía en los 80 era una forma de internet oscura de hoy en día, aunque en lugar de drogas, armas de fuego, etc., simplemente compartía software.
Avanzando rápidamente hasta el día de hoy, estaba ansioso por probar la internet oscura. Para empezar, instalé una VPN, configuré mi navegador con Tor, y procedí a pasar varias horas revisando un montón de sitios .onion. Como parte del proceso, fui de un lado a otro entre la internet oscura y el mundo real, buscando en Google en el mundo real para encontrar algunos de los sitios web oscuros más populares. Ahí fue cuando me di cuenta. Mientras que la internet oscura puede dar miedo con diversos lugares donde puedes acceder a datos confidenciales si buscas con suficiente atención, hay un lugar que podría decirse que es más peligroso y mucho más significativo en escala. Miles de sitios públicos en los que se pueden subir y compartir fácilmente datos sensibles, ya sea con intención maliciosa o accidentalmente por parte de personas desprevenidas. Este lugar es lo opuesto a la internet oscura porque no está oculto, sino que está justo delante de nosotros a plena vista. Bienvenido a la "internet brillante".
Investigando la internet brillante – conozca a nuestra víctima Frank Altos
Para ayudar a articular lo que es la internet brillante, recluté al equipo de Netskope Threat Research Labs y desvié la investigación de la internet oscura y en su lugar me centré en lugares de la internet pública donde se pueden subir y compartir fácilmente datos sensibles, en muchos casos de forma anónima sin necesidad de crear una cuenta vinculada a una tarjeta de crédito. Para algunos de ustedes, estos hallazgos pueden ser impactantes. Muchos de ustedes ya saben que algunos de estos sitios existían, pero tal vez no se hayan dado cuenta de lo extendido y ridículamente fácil que es hacer algún daño significativo.
Como parte de la investigación, queríamos pintar un escenario del mundo real que implicara compartir datos sensibles. Para apoyar esto, creamos un conjunto de datos que representa el tipo de datos que se robaron durante la reciente violación de datos de Equifax. Creamos un registro de cliente ficticio con información personal que incluye nombre, dirección, número de teléfono, correo electrónico y número de seguridad social. También añadimos un par de números de tarjetas de crédito, que pensamos que serían apropiados dada la frecuencia con la que se venden en la internet oscura. Por último, pero no menos importante, incluimos el apellido de soltera de la madre ligado a este usuario, que es otra información que puede ser valiosa para los hackers. Empaquetamos estos datos sensibles en tres formatos diferentes; un PDF, un JPEG y un .pptx, lo que nos permitirá expandir nuestro alcance mientras usamos la internet brillante para subir y compartir estos datos.
Lugares para subir y compartir la información personal de Frank
Ahora que teníamos nuestros datos sensibles, comenzamos el proceso de buscar lugares en Internet que faciliten el compartir esta información. Como base, tenemos el beneficio de tener más de 34.000 servicios en la nube que son investigados por el equipo de Netskope Threat Research Labs. El equipo de investigación de Netskope también organiza estos servicios de nube en categorías. Para esta investigación en particular, nos centramos en las categorías en las que es común facilitar el intercambio. Esto incluye aplicaciones en la nube para el almacenamiento, la colaboración y las aplicaciones personales. Tomamos los servicios en la nube más populares dentro de estas categorías, medidos por el número de sesiones de usuario a través de los tenants de Netskope.
A continuación, quisimos centrarnos en los servicios en la nube a los que se puede acceder fácilmente y compartir datos sin que el servicio requiera una tarjeta de crédito. Si se necesita una tarjeta de crédito, esto presenta suficiente fricción como para que compartir de forma anónima sea más difícil. Para aquellos servicios en la nube que no requieren una tarjeta de crédito, queríamos identificar aquellos en los que se pueden subir y compartir datos públicamente y que los datos puedan ser indexados por los motores de búsqueda. Este es el escenario más arriesgado dado el hecho de que los datos sensibles pueden ser fácilmente subidos y compartidos públicamente. Un ejemplo reciente de esto fue cuando Microsoft Docs.com se cerró temporalmente tras las quejas de que los datos se compartían públicamente de forma predeterminada.
También queríamos identificar los servicios en la nube que simplemente facilitan la carga y el intercambio de datos sensibles a través de un enlace compartido.
En este caso, el enlace compartido no está indexado por los motores de búsqueda, por lo que habría que compartir el enlace con personas o grupos específicos o colocar el enlace compartido en un sitio web para que los motores de búsqueda lo indexen. No obstante, el hecho de que pueda cargar y compartir datos fácilmente sin necesidad de registrarse con una tarjeta de crédito hace que sea muy fácil filtrar datos confidenciales.
Los resultados de la investigación
Investigamos un tamaño de muestra que incluía 1.000 de los principales servicios en nube en las categorías de almacenamiento y colaboración, además de un puñado de servicios en la nube para compartir presentaciones en la categoría de aplicaciones personales en la nube. Luego extrapolamos los números basados en el número t