Etiquetas

Cómo saber si alguien ha robado tus documentos confidenciales (y pillarlo con las manos en la masa)

 

 

imagen-blog-canary-tokens.png

Hace unos meses viví algo que espero que no le pase a nadie, pero que según lo que he ido descubriendo después, le ocurre a más empresas de lo que parece.

Un cliente me llamó para decirme que había recibido una propuesta de la competencia con información que solo podía venir de nosotros. Datos internos. Precios que no estaban publicados en ningún sitio. Condiciones que habíamos negociado de forma privada.

Alguien estaba filtrando documentos de mi empresa.

Lo primero que hice fue lo que hace cualquiera: revisar correos, hablar con el equipo, comprobar quién tenía acceso a qué. Nada. Sin pistas. Sin pruebas. Solo la certeza incómoda de que algo estaba pasando y yo no tenía forma de demostrar qué ni quién.

Fue entonces cuando un amigo del sector tech me habló de algo que yo no había oído nunca: los canary tokens.

Y lo que descubrí me pareció tan útil que aquí estoy escribiéndolo.

El concepto que viene del espionaje

Los servicios de inteligencia llevan décadas usando una técnica llamada "canary trap" para identificar filtraciones. La idea es simple: distribuyes versiones ligeramente diferentes de un documento confidencial entre distintas personas. Si el documento se filtra, la versión concreta que aparece te dice exactamente quién fue la fuente.

Los canary tokens digitales llevan ese principio un paso más allá.

Son trampas invisibles que se embeben dentro de un documento, un enlace o un archivo. Cuando alguien abre ese documento sin autorización. desde cualquier parte del mundo, se genera una alerta instantánea con información muy precisa: la dirección IP del dispositivo, la geolocalización, el sistema operativo, el navegador y la hora exacta del acceso.

El documento te avisa de que alguien lo ha abierto. En el momento justo en que ocurre.

No hace falta que nadie revise logs. No hace falta monitorizar nada manualmente. El documento hace el trabajo solo.

Cómo funciona en la práctica

Técnicamente, el proceso es más elegante de lo que parece.

Cuando creas un documento con un canary token, se añade de forma invisible una referencia única, una URL, un subdominio DNS, una petición web, que apunta a un servidor de monitorización. El documento tiene un aspecto completamente normal. Lo puedes abrir, editarlo, imprimirlo. No hay nada visible que indique que es un señuelo.

Cuando alguien lo abre en Microsoft Word, en Adobe Reader o en cualquier otro programa, la aplicación realiza automáticamente una petición invisible a esa referencia única. En ese momento, el servidor registra de dónde viene la petición y te manda la alerta.

Todo esto ocurre en segundos, sin que el que abrió el documento tenga la menor idea de que acaba de dejar una huella digital.

Lo que hace especialmente poderosa a esta tecnología es algo que los profesionales de seguridad valoran mucho: los cero falsos positivos.

En los sistemas de seguridad tradicionales, los detectores de intrusiones generan decenas de alertas al día. La mayoría son ruido. Los administradores acaban ignorándolas por saturación.

Un canary token nunca genera una falsa alarma, porque funciona al revés: no está en ningún sistema de producción real, no lo usa ningún empleado legítimo en su trabajo diario. Cada acceso es, por definición, sospechoso.

Qué pasó con mi filtración

Volví al problema original.

Creé versiones distintas del tipo de propuesta que se había filtrado, cada una con un token único embebido, y las distribuí a los cinco miembros del equipo que podían haber tenido acceso al documento original.

No dije nada. No cambié nada en las rutinas del equipo.

Cuatro días después, a las 23 horas y doce minutos de un miércoles, recibí la alerta.

El token del documento que había enviado a una persona concreta del equipo se había activado. Desde una IP que no era de la oficina. Desde un dispositivo que no era de empresa.

Con esa información en la mano, la conversación con esa persona al día siguiente fue muy diferente de las que había tenido las semanas anteriores.

No voy a entrar en más detalles porque el asunto acabó con una resolución privada. Pero sin el token, esa conversación probablemente nunca habría ocurrido. Habría seguido teniendo sospechas sin pruebas, durante meses, mientras la filtración continuaba.

Los tipos de trampas que puedes usar

Cuando empecé a investigar más sobre el tema, descubrí que los canary tokens van mucho más allá del simple documento Word. Hay modalidades para prácticamente cualquier activo digital que quieras proteger.

Documentos Word y Excel son los más utilizados porque son el formato en que circula la mayoría de la información confidencial en las empresas: contratos, propuestas, presupuestos, hojas de salarios, listas de clientes. El token se activa en el momento en que alguien abre el archivo en su ordenador, y captura incluso la versión exacta de Microsoft Office que se usó.

PDFs con tracking funcionan de forma similar. Son especialmente útiles para contratos o informes que se envían a clientes o proveedores externos. Si el documento acaba en manos que no debería, lo sabes.

URLs trampa son enlaces que parecen normales pero generan una alerta cuando se visitan. Ideales para incluir en correos internos, documentos de acceso restringido o como "enlace de revisión exclusivo" en propuestas.

Códigos QR imprimibles que se activan al ser escaneados con cualquier móvil. Útiles para documentación física, equipos de oficina o salas de acceso restringido.

Tokens DNS que se activan cuando cualquier sistema intenta resolver un subdominio específico. El más silencioso de todos: no requiere que nadie abra nada, sino que el nombre de dominio aparezca en algún archivo de configuración o script.

Cuándo usar esta tecnología

No hace falta ser una gran empresa ni tener un departamento de IT para aprovechar los canary tokens. Yo los uso desde entonces de forma rutinaria en varios contextos.

En propuestas comerciales. Cada propuesta que sale de mi empresa lleva un token único. Si la propuesta llega a manos de la competencia o si un intermediario la comparte sin permiso, lo sabré.

En contratos con cláusulas sensibles. Cuando firmo un acuerdo con condiciones confidenciales, el documento lleva un token. Si ese contrato circula fuera de las partes firmantes, tengo constancia.

En documentos de acceso restringido. Tengo una carpeta en el servidor con documentos financieros. Todos llevan tokens. Si alguien accede a ellos fuera del horario laboral o desde un dispositivo no habitual, recibo la alerta.

En bases de datos de clientes. Las exportaciones de la base de datos de clientes se hacen con un documento de muestra que lleva un token. Si ese documento se abre fuera del entorno controlado, algo no va bien.

La lógica general es siempre la misma: un documento que nadie debería abrir sin razón legítima es el lugar perfecto para una trampa. Si alguien lo abre, es porque está accediendo a algo que no debería. La alerta es automática.

El miedo a paralizarse ante tanta tecnología

Cuando empecé a investigar este tema pensé que iba a necesitar configurar servidores, escribir código o contratar a un especialista. No es así.

Existen plataformas que lo hacen todo por ti: eliges el tipo de token, personalizas el documento si quieres, lo descargas y lo colocas donde necesites. Cuando alguien lo abre, la alerta llega directamente a tu móvil por Telegram, con toda la información formateada de forma legible.

El proceso completo, desde crear la cuenta hasta tener tu primer token activo, no llega a cinco minutos.

Yo empecé con la herramienta de ChacalTokens (tokens.chacalsecurity.com), que tiene un plan completamente gratuito para empezar. En el plan gratuito puedes crear hasta tres tokens de tipo URL y QR, que es suficiente para hacer tus primeras pruebas y entender cómo funciona el sistema antes de decidir si quieres ampliar.

Si necesitas tokens para documentos Word, Excel o PDF que son los más útiles en el día a día empresarial, los planes de pago arrancan en menos de cinco euros al mes. Para el uso que le doy yo, con el plan básico es más que suficiente.

La pregunta que no me hice antes

Cuando le cuento esto a otros autónomos o pequeños empresarios, la reacción más frecuente es: "¿pero realmente hay alguien que haga eso?" Filtrar documentos. Espiar a la competencia. Robar información de clientes.

La respuesta honesta es que sí, y más de lo que pensamos.

No siempre con mala intención explícita. A veces es un empleado que se va y se lleva "por si acaso" la lista de clientes que ha gestionado durante años. A veces es alguien que comparte un presupuesto con un amigo del sector "en confianza". A veces es alguien que fotografía una hoja de cálculo con el móvil personal porque le parece útil para su siguiente trabajo.

El daño es el mismo independientemente de la intención.

Lo que cambió en mi empresa después de implementar los tokens no fue solo resolver el incidente concreto. Fue saber que en el futuro, si algo así vuelve a ocurrir, voy a enterarme. En cuestión de horas, no de meses.

Esa tranquilidad vale mucho más que los cinco euros al mes que me cuesta.

Cómo empezar hoy mismo

Si quieres probarlo, el proceso es este:

  1. Ve a tokens.chacalsecurity.com y crea una cuenta gratuita. No pide tarjeta de crédito.
  2. En el panel, selecciona el tipo de token que quieres crear. Para empezar, el token URL es el más sencillo: generas un enlace único y lo incluyes como "acceso restringido" en algún documento interno.
  3. Configura las alertas por Telegram. La plataforma tiene una guía paso a paso para conectar el bot en menos de dos minutos. A partir de ahí, cualquier activación llega directamente a tu móvil.
  4. Coloca el token en algún documento o carpeta donde no debería haber accesos no autorizados. Una carpeta de RRHH, un archivo de contratos, una hoja de cálculo con márgenes.
  5. Espera. Si el token se activa alguna vez, tendrás información suficiente para saber qué pasó y quién lo causó.

Si después de probarlo quieres tokens para documentos Word, Excel o PDF, el plan Starter cuesta 4.99€ al mes y da acceso a diez tokens activos con todos los formatos incluidos.

Una última reflexión

La mayoría de las vulnerabilidades de seguridad en las empresas no son sofisticadas. No son ataques de hackers con herramientas elaboradas. Son personas que tienen acceso a algo que no deberían compartir, y que lo comparten.

Protegerse contra eso no requiere un departamento de ciberseguridad ni un presupuesto de gran empresa. Requiere saber que el problema existe y tener una herramienta básica que te avise cuando ocurre.

Los canary tokens son esa herramienta.

Yo tardé demasiado en descubrirlos. Espero que tú no.


Recursos mencionados:

 

 

¿Te ha resultado útil este artículo? Compártelo con alguien que gestione información confidencial en su empresa

Etiquetas:
Ubicación: España

Comentarios

Publicar un comentario

Entradas populares