(La entrada de hoy es la cuarta colaboración de Francisco Benet , un amigo de algunos de nosotros —y familia de algún otro— que tiene gran experiencia en la gestión e integración de sistemas, protección de datos de carácter personal y evaluación de soluciones de integración de software y hardware, entre otros aspectos. Esperamos que les guste.)
Continuamente con el rabillo del ojo miraba hacia ambos lados, pero ya no quedaba casi nadie en la oficina. Tampoco le interesaba quedarse solo; había que aparecer y desaparecer, como en un día normal, como en una situación normal. Al fin y al cabo era un día ‘normal’ para todos… excepto para Ramón.
Diciendo adiós con la mano, como siempre, salió nervioso de la oficina, un poco más tarde de lo normal, resoplando e intentando no mirar atrás. Hacía días había contactado con él un antiguo conocido del instituto, Miguel, y entre unas cosas y otras se habían acabado dando los teléfonos para quedar el jueves a tomar unas cañas. Ese día, y después de charlar de fútbol, política, y otras tantas cosas, la conversación acabó derivando hacia temas laborales, donde Miguel le confesó —en confianza y de manera confidencial— que estaba a punto de quedarse libre un puesto de contable en su empresa, bastante bien remunerado. Quizá podría enviar allí su curriculum; había otros candidatos, todos ellos amigos o conocidos del jefe, y él no tenia mano, pero por probar no perdía nada. Ahí quedo la cosa.
Bueno, realmente no quedó ahí; al día siguiente recibió una llamada de Miguel en la que le decía que tenían que hablar. Al parecer, había hablado con el jefe, y le dijo que el curriculum no estaba nada mal, pero que algo se podría hacer si podía traer algo de información de su empresa: todos lo hacen, yo mismo lo he hecho. Total, las empresas no desaparecen por estas cosas, todo el mundo lo hace, le decía Miguel, y Ramón no sabía si quien hablaba era el jefe o el mismo Miguel. Por supuesto, en su nuevo cargo cobraría algo más, tendría alguien a su cargo, buenas perspectivas laborales, y la posibilidad de un ascenso a corto plazo. Cobraría mucho más; mucho más. Le dijo la cifra. Le escribió la cifra, le acercó la servilleta y Miguel se le quedó mirando. Lo mejor —eso pensó Ramón— es que le habían elegido a él; le había pagado el restaurante y las copas por que le querían a él. No era de extrañar, Soy muy bueno en mi trabajo, aquí no me valoran; tiene razón , todo el mundo lo hace.
Ramón comenzó a trabajar pensando en lo que Miguel le había propuesto. Hoy empezaría a coger algunas cosas que le hacían falta, y accedió —como hacia diariamente— a los archivos de contratos con diferentes proveedores, para verificar los pedidos, pero esta vez lo hizo para capturar la pantalla e ir grabando archivos con el Paint, luego comprimía la imagen con contraseña; podría alegar que tenía datos de proveedores si alguien le preguntaba (aunque nadie le preguntaría). Tenia que ser cuidadoso y rápido, para lo que eligió la hora de la comida y salió quince minutos mas tarde que el resto. Pasó esos quince minutos guardando poco a poco la información en archivos con nombre muy similar a los que usaba diariamente, pero con una letra más en el nombre, y los dejó en su equipo.
Un par de semanas después, Ramón llegó a su puesto de trabajo como siempre, más bien nervioso. En la hora del café empezó a hablar de su ultimo viaje, del que había traído multitud de fotos. Cuando subieron del almuerzo se dispuso a enseñárselas a los compañeros, conectó el USB pero no funcionaba.
—¿Por qué?— pensó pasa sus adentros, y se sintió contrariado, —¿Por qué no funciona?— preguntó a sus compañeros, apiñados frente a su puesto.
—Ah! Es por las restricciones con los USB. Espera y hablo con Daniel para que nos copie las fotos ¿hay muchas?— le preguntó Vicente. Vicente era un administrador de sistemas que había almorzado con ellos. Era joven, agradable y amable, y no llevaba mucho tiempo en la empresa, pero intentaba que la gente estuviera tranquila y contenta.
—Ehhh, sí, claro, son unos 2GB, es que son de calidas— contestó Miguel.
—¿De calidad? ¡Pero si sales tú! Venga, entre copiarlas y hostias, se nos va a hacer eterno. Espera, me conecto como Administrador, y las vemos directamente en el USB.
—Gracias tío, te debo un café; para una vez que traigo las fotos.
Allí estuvieron quince minutos mirando fotos, y para entonces Vicente ya se había ido; total, seguro que se las querría enseñar a toda la oficina. Al fin y al cabo eran fotos.
Abrió su cartera y desplegó un papel, donde estaba escrito lo siguiente :
copy /b .jpg + .zip .jpg
Oyó algo y se puso muy nervioso. Miró hacia atrás, y respiró.
C:\>cd contratos
Y ejecutó lentamente para cada archivo la instrucción…comprimir archivo de datos, añadir al fichero de la imagen y siguiente, siempre guardándolo en el USB. En cada foto, un archivo de datos nuevo. Al final se podría ir de vacaciones, al final podría comprarse el coche. Y realmente, todo el mundo hace estas cosas, no hay nada de malo en ello.
Sin entrar en detalles técnicos, la mayoría de visores de jpeg, por no decir todos, se paran al encontrar el marcador final FFD9 en hexadecimal. Sólo hace falta un visor, como puede ser TextPad, para darnos cuenta de que la ‘imagen’ no es únicamente una imagen, sino que después hay ‘algo’ más anexado.
Puede parecer un truco sencillo y sin más importancia, pero cuanta documentación puede intercambiarse de forma desapercibida totalmente sin que sea detectada por parte del señor-de-seguridad-que-todo-lo-ve. Naturalmente, en un análisis forense esto es fácil y sencillo de detectar, pero ¿quién se pasa el día haciendo análisis forenses? ¿Se les ocurre alguna medida, más allá de la concienciación, contra este tipo de acciones? ¿está la seguridad vendida en este tipo de situaciones?
Total, todo el mundo lo hace.
(+10 rating, 10 votes)
Loading ...
Twitter! 
Loading ...