Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
Cómo poner una marca oculta Shaadow a la documentación que te piden las empresas para saber quién no la protegió bien
La globalización, la digitalización de las organizaciones y, por último, la pandemia han propiciado que la mayoría de gestiones que realizamos en nuestro día impliquen el envío de información y documentación personal por medio de medios telemáticos. A veces esto último implica que muchos datos y documentos personales nuestros pasan por esos canales y van a multitud de personas, sobre todo en ciertos trámites que implican de varios escalones el proceso.
Figura 1: Cómo poner una marca oculta Shaadow
a la documentación que te piden las empresas
para saber quién no la protegió bien
El otro día hubo por aquí un debate sobre este tema, propuesto por Gerard Fuguet, que hablaba de cómo preparar un DNI para que no sea utilizable o por los cibercriminales, y el sábado se publicó el artículo de Luis Eduardo Álvarez para utilizar direcciones de e-mail marcadas para saber qué sitio no la protegió. Pero nos piden muchos documentos, y cada uno de ellos necesita una media de protección. Hoy veremos cómo podemos utilizar herramientas como Shaadow, que pone marcas invisibles y ocultas en los documentos, que nos permita proteger y defender esa información de los ojos de terceras personas no implicadas en ese proceso, ya que en caso de que eso pasase sabríamos dónde ha fallado el sistema.
Fallos en la cadena de gestión documental y su detección con shaadow.io
Fallos en la cadena de gestión documental y su detección con shaadow.io
Publicó Chema Alonso hace un tiempo cómo utilizar Shaadow para detectar al miembro del equipo que filtra documentos confidenciales, pero hoy quería centrarme en un ejemplo de lo comentado previamente es cuando nos encontramos en un proceso de compra-venta de una vivienda. Hay muchos trámites y papeleo de por medio, teniendo que enviar continuamente y a varias personas gran cantidad de documentación con nuestros datos personales.
@chema_alonso Descubrir al traidor de tu equipo que filtra los documentos confidenciales al enemigo. https://shadow.io #leaks #ciberseguridad #hacking #privacidad ♬ Mistery (Mistery) - Yoko Tai
Figura 3: Planes de Shaadow.io
Antes de nada, para poder comenzar a utilizar la herramienta, lo recomendable es ir a la sección de planes y elegir de las diferentes opciones que nos dan la que se adapte mejor a nuestras necesidades. En la parte de planes encontramos una prueba gratuita que nos permitirá poner hasta cinco marcas y realizar cinco extracciones. También se podrán adquirir créditos individuales tanto de marcado como de extracción, además de tres tipos de membresías mensuales.
Figura 4: Prueba gratis y membresías de Shaadow.io
Una vez seleccionado el plan que más se adecue a lo que queremos, nos pedirá crearnos una cuenta si no tenemos ya una previa. Tendremos que facilitar los siguientes datos y nos llegará un código a nuestro correo electrónico con el que confirmar nuestro perfil.
Una vez creado nuestro perfil, accedemos a la plataforma de shaadow.io y procesamos el contrato en la misma, insertándole las siguientes marcas identificativas para que, en caso de que la cadena de custodia se rompa, poder averiguar dónde ha sido y exigir explicaciones a los responsables. Como podemos ver, hay dos posibilidades de marcado.
Figura 5: Opciones de Marcado en Shaadow.io
En este caso, donde vamos a MARCAR el documento de un CONTRATO que nos solicita una web bancaria, usaremos la opción de “Marcar y Descargar”, con que podremos marcar el documento y descargarnos el archivo con esas marcas.
Figura 6: Subido el Conrato en PDF y seleccionadas las marcas invisibles a incluir
Le damos a “Subir”, justo después de haber puesto las marcas que queremos incluir. Como véis, hemos seleccionado 4 marcas diferentes para el documento, lo que genere varios documentos del mismo CONTRATO, con diferentes marcas. Cuando termine la subida del documento, podremos ver que nuestro documento ha sido marcado con éxito.
Figura 7: Ya tenemos un CONTRATO con 4 marcas diferentes
Posteriormente, descargaremos una carpeta con cuatro documentos en formato PDF idénticos, excepto por la marca de agua invisible que se ha añadido a cada uno de ellos de manera imperceptible, que los asocia inequívocamente uno a uno con el destinatario de cada comunicación.
Figura 8: Los documentos de CONTRATO con sus marcas invisibles
Ahora, procedemos a enviarles por email a cada interesado el documento con su respectiva marca de agua. De esta forma, con este proceso que hemos realizado, si se filtra ese contrato en la web, solo se habrá filtrado el de una marca de agua concreta.
Aparece el contrato filtrado
Supongamos que un tiempo después nuestros documentos privados aparecen “colgados en la red” fruto de un ciberataque, de manera que cualquiera puede verlo y usar nuestros datos para fines ilícitos. Habiéndolos protegido con shaadow.io, podremos saber quién de las entidades involucradas en el proceso descuidó su seguridad y custodia. Procedemos a hacer una simple captura de pantalla a la imagen del documento que hemos encontrado en la red para poder procesarlo en la plataforma de shaadow.io.
Accedemos a la plataforma de shaadow.io con nuestro perfil de usuario y nos dirigimos hasta la sección de “Extracción”, en el menú lateral izquierdo. Subimos el archivo que hayamos podido obtener, ya sea el documento completo, un fragmento de este o incluso una fotografía o captura de pantalla.
La plataforma procesará el archivo que hayamos subido y nos devolverá como resultado la marca que se insertó en el documento que ha sido filtrado. En este caso, la extracción de la marca invisible evidencia que el culpable de esta fuga de información ha sido la inmobiliaria. Gracias a esto, podremos emprender acciones legales contra los sujetos que descuidaron nuestros datos, ahorrando y centrando la larga investigación que habría supuesto delimitar quién fue exactamente la fuente u origen de la filtración (recordemos que en este caso, el documento fue enviado y revisado por varias personas).
A pesar de que en esta situación la fuga ha sido realizada por alguien externo a la inmobiliaria que detectó una brecha en su sistema de ciberseguridad y la aprovechó, la responsabilidad de no custodiar bien los datos personales de sus clientes sigue recayendo en ellos y en una estrategia de protección documental deficiente.
Supongamos que un tiempo después nuestros documentos privados aparecen “colgados en la red” fruto de un ciberataque, de manera que cualquiera puede verlo y usar nuestros datos para fines ilícitos. Habiéndolos protegido con shaadow.io, podremos saber quién de las entidades involucradas en el proceso descuidó su seguridad y custodia. Procedemos a hacer una simple captura de pantalla a la imagen del documento que hemos encontrado en la red para poder procesarlo en la plataforma de shaadow.io.
Figura 9: Captura de pantalla del documento filtrado en la red
Accedemos a la plataforma de shaadow.io con nuestro perfil de usuario y nos dirigimos hasta la sección de “Extracción”, en el menú lateral izquierdo. Subimos el archivo que hayamos podido obtener, ya sea el documento completo, un fragmento de este o incluso una fotografía o captura de pantalla.
Figura 10: Subimos la captura en la zona de Extracción de Marca
La plataforma procesará el archivo que hayamos subido y nos devolverá como resultado la marca que se insertó en el documento que ha sido filtrado. En este caso, la extracción de la marca invisible evidencia que el culpable de esta fuga de información ha sido la inmobiliaria. Gracias a esto, podremos emprender acciones legales contra los sujetos que descuidaron nuestros datos, ahorrando y centrando la larga investigación que habría supuesto delimitar quién fue exactamente la fuente u origen de la filtración (recordemos que en este caso, el documento fue enviado y revisado por varias personas).
Figura 11: Marca extraída de la captura del documento
A pesar de que en esta situación la fuga ha sido realizada por alguien externo a la inmobiliaria que detectó una brecha en su sistema de ciberseguridad y la aprovechó, la responsabilidad de no custodiar bien los datos personales de sus clientes sigue recayendo en ellos y en una estrategia de protección documental deficiente.
Comentarios finales
En el entorno empresarial, Shaadow.io puede ser también una barrera de defensa adicional ante este tipo de casos, permitiendo que los datos personales de un documento puedan ser anonimizados e incluidos en la marca invisible con acceso restringido. De esta forma se puede gestionar la documentación sin problema dentro de la organización asegurándonos de que, en caso de otro ciberataque, el responsable no podría filtrar y vender los datos privados de los clientes.
Esta sincronización entre entidades y sus clientes se puede hacer de un modo sencillo gracias a la opción de shaadow.io de integrarse a través de la API con los procesos y estrategias de seguridad ya existentes en las propias organizaciones.
No debemos pensar que por enviar nuestra información a una entidad aparentemente segura nosotros no debemos preocuparnos por ella. Tenemos que ser los que coloquen la primera barrera de seguridad, ya que es algo que nos pertenece y que para terceras personas puede tener más valor del que nosotros le otorgamos. Shaadow.io es una herramienta que permite esto y es bastante sencilla, así que cualquiera puede hacer uso de ella sin ningún problema, desde una gran organización hasta el consumidor directo.
Marcando nuestros documentos, los estaremos protegiendo no solo ante posibles fugas de información, sino que reafirmaremos su autoría o los datos que en ellos aparecen (esto se denomina doble confirmación o "double check"). Además, Shaadow.io y su tecnología permiten que esas marcas de agua invisibles que hemos insertado aguanten hasta en los formatos físicos, es decir, aunque un documento se imprima o fotografíe, se podrá extraer aún la información enlazada al mismo. No dejes solo en manos de otros la seguridad de tus documentos personales.
En el entorno empresarial, Shaadow.io puede ser también una barrera de defensa adicional ante este tipo de casos, permitiendo que los datos personales de un documento puedan ser anonimizados e incluidos en la marca invisible con acceso restringido. De esta forma se puede gestionar la documentación sin problema dentro de la organización asegurándonos de que, en caso de otro ciberataque, el responsable no podría filtrar y vender los datos privados de los clientes.
Esta sincronización entre entidades y sus clientes se puede hacer de un modo sencillo gracias a la opción de shaadow.io de integrarse a través de la API con los procesos y estrategias de seguridad ya existentes en las propias organizaciones.
Figura 12: Shaadow API para empresas
No debemos pensar que por enviar nuestra información a una entidad aparentemente segura nosotros no debemos preocuparnos por ella. Tenemos que ser los que coloquen la primera barrera de seguridad, ya que es algo que nos pertenece y que para terceras personas puede tener más valor del que nosotros le otorgamos. Shaadow.io es una herramienta que permite esto y es bastante sencilla, así que cualquiera puede hacer uso de ella sin ningún problema, desde una gran organización hasta el consumidor directo.
Marcando nuestros documentos, los estaremos protegiendo no solo ante posibles fugas de información, sino que reafirmaremos su autoría o los datos que en ellos aparecen (esto se denomina doble confirmación o "double check"). Además, Shaadow.io y su tecnología permiten que esas marcas de agua invisibles que hemos insertado aguanten hasta en los formatos físicos, es decir, aunque un documento se imprima o fotografíe, se podrá extraer aún la información enlazada al mismo. No dejes solo en manos de otros la seguridad de tus documentos personales.
Un saludo,
Autor: Isabel Hernández Ruiz, CEO de Shaadow.io
No hay comentarios:
Publicar un comentario