Facebook Linkedin Twitter Instagram Youtube Telegram

Filtración de datos de tableros públicos en Trello

Kaspersky explica cómo proteger los tableros de Trello para prevenir ataques de ingeniería social más convincentes y la indexación de información confidencial en motores de búsquedav

De acuerdo con información publicada en distintos medios, la filtración de datos de usuarios de cientos de grandes y miles de pequeñas empresas desde la plataforma de colaboración Trello es algo habitual. Sin embargo, no se trata de una filtración en el sentido tradicional de la palabra. Las empresas han usado Trello durante años sin establecer las configuraciones de privacidad adecuadas; y algunos investigadores han hecho pública la información.

Cada cierto tiempo, los medios informan sobre alguna empresa que almacena a la vista sus datos importantes en plataformas como Trello. El problema es que a los avisos no siempre siguen medidas de protección por parte de los usuarios. 

Los miembros de Trello utilizan tableros para colaborar en proyectos. Los tableros son privados por defecto, pero cuando los usuarios necesitan mostrar un tablero a alguien que no esté en el equipo, ponen la visibilidad del tablero como pública. En ese momento, cualquier usuario puede abrir el tablero con un enlace directo y los motores de búsqueda pueden indexar la información almacenada en el mismo, con la consiguiente amenaza a la privacidad de los datos. 

Con una consulta de búsqueda formulada de forma adecuada es posible descubrir numerosos tableros públicos que pertenecen a diferentes empresas. Entre ellos se esconden credenciales de sitios web, análisis de documentos y acuerdos comerciales confidenciales que ahora varios investigadores han ido encontrando y publicando.

El acceso no autorizado al espacio de trabajo corporativo en Trello puede traer problemas incluso aunque no se almacenen en él documentos confidenciales o contraseñas. Los atacantes pueden utilizar información empresarial para que sus ataques de ingeniería social sean más convincentes, por ejemplo, al iniciar correspondencia con un empleado y disminuir su vigilancia al mencionar detalles de proyectos actuales.

Cómo configurar Trello para mantener la privacidad de la información

Solo cambiando un par de configuraciones, se puede evitar que los motores de búsqueda indexen datos del espacio de trabajo de Trello. Lo menos importante es la visibilidad del espacio de trabajo; la más importante es la visibilidad de cada tablero.

Los espacios de trabajo en Trello tienen dos configuraciones de visibilidad: privada y pública. En este caso la elección está clara.

Los tableros permiten además otras opciones: privado (solo los miembros del tablero tienen acceso), espacio de trabajo (todos los miembros del espacio de trabajo tienen acceso), organización (todos los empleados tienen acceso, en el caso de cuentas empresariales) y público (todo el mundo tiene acceso). La interfaz actual de Trello proporciona una descripción lo suficientemente clara de las opciones de visibilidad, lo que indica que los rastreadores de la web tienen acceso solo a los tableros públicos, de forma que cualquier otra opción excepto la pública podría haber evitado esta filtración.

Para garantizar la privacidad de los datos al usar estos espacios de trabajo, además de configurar los tableros de Trello con la visibilidad adecuada para evitar que la información se haga pública, los expertos de Kaspersky recomiendan:

  • Gestionar cuidadosamente la lista de usuarios que tienen acceso al espacio de trabajo en Trello y a cada tablero. Si alguien sale del proyecto, el equipo o la empresa, revocar su acceso de inmediato.
  • Mostrar a los empleados la importancia de utilizar contraseñas seguras y recomendar que activen la opción de la autentificación en dos pasos de Trello.
  • Asegurarse de que todos los empleados responsables de la seguridad de la información conocen las herramientas de colaboración online que utilizan todos los empleados y qué información almacenan en estas herramientas y servicios. Esta información es necesaria para evaluar los riesgos y crear un modelo para amenazas.
  • Instalar una solución de seguridad en todos los ordenadores, teniendo en cuenta que cualquier herramienta de colaboración puede volverse un canal de entrada para las ciberamenazas (archivos o enlaces maliciosos).
Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.