El Peer to Peer (P2P) y La Amenaza que Presentan a Su Negocio
Desde los inicios del Internet los usuarios han buscado una forma conveniente y efectiva para compartir información – en particular los archivos grandes que no se transmiten fácilmente por email.
La tecnología FTP (file transfer protocol), la cual fue creada en 1971, ha emergido como un estándar a mediados de los 80’s y sigue siendo utilizada actualmente, en particular cuando se comparten grandes volúmenes de archivos entre empresas de negocios.
Ahora, en lugar de dirigirse a un sitio FTP designado y descargar datos de un servidor seguro, los usuarios pueden transferir datos instantáneamente peer-to-peer (P2P) – de una computadora a otra, y ultimadamente a todo el mundo, debido a que cualquiera que cuente con el servicio puede tener acceso a la información.
El FTP es seguro porque el usuario sube y mantiene el archivo en un servidor FTP, antes de ser descargado por el recipiente. Debido a que los archivos son localizados centralmente, es más fácil asegurarlos en contra de virus, malware y otras amenazas.
Con la introducción de Napster en 1999, la transferencia de datos a través del Internet tomó un giro dramático.
Mientras que Napster fue ganado popularidad, otros servicios siguieron el ejemplo y actualmente resultaron protocolos para compartir archivos tal como KaZaA, LimeWire y Morpheus, por mencionar solo algunos.
Aún más importante, los sitios de redes sociales tal como MySpace y Facebook han ayudado al crecimiento exponencial de compartir archivos entre sus usuarios, mientras que las amenazas que pueden acompañarlos van con camuflaje.
Muchos usuarios en estos sitios tratan de ser concienzudos, pero no vacilan en descargar archivos de un amigo, que es donde la explotación a menudo comienza.
En la mayoría de los casos, los usuarios se encuentran totalmente desapercibidos que sus acciones pueden estar exponiendo sus datos personales, sin mencionar los archivos corporativos, a hackers criminales.
Las consecuencias de compartir archivos P2P pueden ser peligrosas y costosas, tal y como el siguiente ejemplo lo ilustra:
Fue revelado recientemente por Tiversa, una compañía de seguridad en EUA, que el verano pasado una brecha en la seguridad expuso información militar a una dirección IP en Teherán, Irán.
Esta información incluye los upgrades de ingeniería, planos con diseño de aviación y demás datos financieros del Marine One, el helicóptero oficial del Presidente.
Tiversa siguió el rastro de la brecha en la seguridad hasta un contratista de la defensa en Maryland y considera que los archivos fueron expuestos vía P2P.
Además de la fuga de información clasificada, las comunicaciones de correo electrónico del contratista, el calendario y datos de contactos también fueros expuestos.
Más de 5,000 clientes con créditos hipotecarios de Citigroup fueron expuestos vía P2P cuando un empleado de Citigroup se unió a una red P2P en línea para compartir archivos y expuso los archivos corporativos almacenados en su computadora personal.
Los clientes que fueron expuestos a ser dañados con el acceso a sus números de seguridad social y demás información personal a través de una brecha de seguridad involuntaria.
Otro incidente involucró empleados actuales y anteriores de Pfizer, 17,000 de los cuales tuvieron sus números de seguridad social expuestos por la esposa de un empleado de Pfizer.
El incidente ocurrió cuando un empleado se llevó al hogar una laptop perteneciente a Pfizer que tenía la información personal en ella.
Cuando la esposa descargo el programa P2P, los datos se volvieron vulnerables.
Desafortunadamente, estos incidentes no son inusuales y cada uno de estos casos citados aquí fueron muy probables accidentes, y no acciones criminales intencionales.
Sin embargo, el punto aquí es la facilidad con la que una explotación intencional puede ser ejecutada vía P2P.
A medida que la economía continúa en debate, podemos esperar que los ataques maliciosos directos irán en aumento.
La oportunidad para los empleados descontentos para hacer daño no puede ser ignorada y aún más, ya sea deliberado o inadvertido, el riesgo para las compañías sigue siendo el mismo.
Tal como los ejemplos mostrados, los riesgos no se encuentran restringidos a exponer la información personal.
Las corporaciones invierten en exceso en tecnologías proprietarias y otros datos, buscando una distancia más grande en el aseguramiento de sus propiedades intelectuales.
Aun así, como en el caso del Marine One, estos activos pueden ser fácilmente expuestos vía negligencia o criminal por compartir archivos P2P.
¿Cuál es la Respuesta?
Afortunadamente, existen medidas que las organizaciones pueden tomar para reducir las probabilidades de ataques a la red por la actividad vía P2P.
Los expertos parecen estar de acuerdo que un acercamiento en multi-capas es crítico.
No es suficiente con un firewall, software de antivirus y una política de uso aceptable hermética.
Con el fin de mitigar las miles de amenazas P2P existentes y emergentes, las compañías deben de utilizar defensas concertadas, incluyendo la prevención de intrusos, prevención a la perdida de información y seguridad Web de gran amplitud.
La protección de información corporativa sensible, incluyendo la propiedad intelectual, información financiera e información personal de empleados, solo puede ser satisfactoria si todos los portales se encuentran asegurados, en particular los protocolos P2P del Internet.
Para revisar el artículo original en inglés, haga clic aquí