Filtración de datos de tableros públicos en Trello

Kaspersky explica cómo proteger los tableros de Trello para prevenir ataques de ingeniería social más convincentes y la indexación de información confidencial en motores de búsquedav

De acuerdo con información publicada en distintos medios, la filtración de datos de usuarios de cientos de grandes y miles de pequeñas empresas desde la plataforma de colaboración Trello es algo habitual. Sin embargo, no se trata de una filtración en el sentido tradicional de la palabra. Las empresas han usado Trello durante años sin establecer las configuraciones de privacidad adecuadas; y algunos investigadores han hecho pública la información.

Cada cierto tiempo, los medios informan sobre alguna empresa que almacena a la vista sus datos importantes en plataformas como Trello. El problema es que a los avisos no siempre siguen medidas de protección por parte de los usuarios. 

Los miembros de Trello utilizan tableros para colaborar en proyectos. Los tableros son privados por defecto, pero cuando los usuarios necesitan mostrar un tablero a alguien que no esté en el equipo, ponen la visibilidad del tablero como pública. En ese momento, cualquier usuario puede abrir el tablero con un enlace directo y los motores de búsqueda pueden indexar la información almacenada en el mismo, con la consiguiente amenaza a la privacidad de los datos. 

Con una consulta de búsqueda formulada de forma adecuada es posible descubrir numerosos tableros públicos que pertenecen a diferentes empresas. Entre ellos se esconden credenciales de sitios web, análisis de documentos y acuerdos comerciales confidenciales que ahora varios investigadores han ido encontrando y publicando.

El acceso no autorizado al espacio de trabajo corporativo en Trello puede traer problemas incluso aunque no se almacenen en él documentos confidenciales o contraseñas. Los atacantes pueden utilizar información empresarial para que sus ataques de ingeniería social sean más convincentes, por ejemplo, al iniciar correspondencia con un empleado y disminuir su vigilancia al mencionar detalles de proyectos actuales.

Cómo configurar Trello para mantener la privacidad de la información

Solo cambiando un par de configuraciones, se puede evitar que los motores de búsqueda indexen datos del espacio de trabajo de Trello. Lo menos importante es la visibilidad del espacio de trabajo; la más importante es la visibilidad de cada tablero.

Los espacios de trabajo en Trello tienen dos configuraciones de visibilidad: privada y pública. En este caso la elección está clara.

Los tableros permiten además otras opciones: privado (solo los miembros del tablero tienen acceso), espacio de trabajo (todos los miembros del espacio de trabajo tienen acceso), organización (todos los empleados tienen acceso, en el caso de cuentas empresariales) y público (todo el mundo tiene acceso). La interfaz actual de Trello proporciona una descripción lo suficientemente clara de las opciones de visibilidad, lo que indica que los rastreadores de la web tienen acceso solo a los tableros públicos, de forma que cualquier otra opción excepto la pública podría haber evitado esta filtración.

Para garantizar la privacidad de los datos al usar estos espacios de trabajo, además de configurar los tableros de Trello con la visibilidad adecuada para evitar que la información se haga pública, los expertos de Kaspersky recomiendan:

  • Gestionar cuidadosamente la lista de usuarios que tienen acceso al espacio de trabajo en Trello y a cada tablero. Si alguien sale del proyecto, el equipo o la empresa, revocar su acceso de inmediato.
  • Mostrar a los empleados la importancia de utilizar contraseñas seguras y recomendar que activen la opción de la autentificación en dos pasos de Trello.
  • Asegurarse de que todos los empleados responsables de la seguridad de la información conocen las herramientas de colaboración online que utilizan todos los empleados y qué información almacenan en estas herramientas y servicios. Esta información es necesaria para evaluar los riesgos y crear un modelo para amenazas.
  • Instalar una solución de seguridad en todos los ordenadores, teniendo en cuenta que cualquier herramienta de colaboración puede volverse un canal de entrada para las ciberamenazas (archivos o enlaces maliciosos).

La entrada Filtración de datos de tableros públicos en Trello se publicó primero en CyberSecurity News.

es_ESEspañol