Seguridad en el uso de Macros en las suites de ofimática

De -

Seguridad en el uso de Macros en las suites de ofimática

Actualmente y desde hace muchos años los paquetes de ofimática (como Office de Microsoft, Libre Office, Google Docs, etcétera) son la herramienta por excelencia para el trabajo de oficina; con ellas editamos documentos de texto, hacemos presentaciones, cálculos, cotizaciones, en fin, muchas de las tareas de oficina están apoyadas por estas herramientas. Esto brinda un aumento en la productividad y en las posibilidades de colaboración y de trabajo conjunto.

Una de las herramientas que tienen estos paquetes de oficina son las llamadas Macros, que se utilizan para automatizar tareas mediante una serie de comandos e instrucciones. Su uso puede ser muy variado, pero principalmente son útiles en tareas repetitivas o procesos que requieren automatización basada en la información que se alimenta.
En muchas organizaciones las macros son utilizadas para automatizar procesos completos en la operación, sustituyendo la necesidad de adquirir o desarrollar un sistema que haga la función requerida. He notado, en particular, que las áreas de contabilidad, finanzas, administración y, en general, las relacionadas con llevar los números de una empresa son muy buenas manejando Macros, principalmente usadas en archivos de hoja de cálculo, aunque pueden ser utilizadas en las demás herramientas de ofimática.
Sin embargo, el uso de las Macros conlleva un riesgo grave. Recordemos que las Macros son conjuntos de comandos e instrucciones que se ejecutan desde un archivo almacenado en el equipo, pero que, en muchas ocasiones, provino de otra fuente, como una carpeta compartida, el correo electrónico, una memoria USB o una descarga de internet. Como ya mencionamos, la ejecución de comandos es útil para automatizar varias tareas, pero al permitir la ejecución de código arbitrario en los equipos se abre la puerta a la posibilidad de que los archivos con Macros contengan funciones maliciosas que pueden dañar la integridad de los archivos, introducir componentes que extraigan información del equipo (como usuarios, contraseñas cuentas bancarias, datos personales, secretos de negocio y cualquier otro tipo de información sensible o confidencial) y otras funcionalidades no deseadas, todo esto de forma inadvertida por el usuario.
Desde hace varias versiones de estas suites de oficina, las Macros están deshabilitadas por defecto y es necesario modificar la configuración para hacer uso de ellas; el problema está en el momento en que un empleado requiere habilitarlas para poder ejecutar una orden de compra en su empresa, hacer un pedido o registrar la entrada de un producto, porque no tiene otra opción para ejecutar su trabajo más que habilitarlas.
Si bien las versiones más recientes permiten la habilitación de macros solo para un archivo en particular lo que reduce la posibilidad de una vulneración, esto sigue siendo un problema por dos razones:
  1. Las macros son almacenadas en carpetas compartidas o compartidas por otros medios y cualquiera podría hacer una modificación en el archivo.
  2. Se trata de archivos que son usados por gente que no tiene (ni tiene por qué tener) muchos conocimientos en sistemas, por lo que habilitarlas supone un riesgo en sí mismo, pues estas personas pueden no tener manera de identificar si el origen del documento es confiable o si se mantiene su integridad.
Por lo anterior, el uso de las Macros debe ser cuestionado y, en mi opinión, limitado al máximo y controlado por los especialistas en sistemas.
A continuación, listo mis recomendaciones para evitar riesgos derivados de las Macros. Están en orden de preferencia, de forma que las primeras son mejores opciones que las últimas. Aunque en la redacción utilizo la palabra “organización”, esto bien aplica a una sola persona u organización muy pequeña:
  1. Mantener deshabilitadas las macros y no hacer uso de ellas a menos que sea absolutamente necesario. Si lo es, consideren las siguientes recomendaciones.
  2. A las macros hay que tratarlas por lo que son: código ejecutable con la posibilidad de alterar los sistemas informáticos, y almacenado en un archivo de ofimática. Por lo que es en sí mismo un desarrollo de software y por ello registrado y controlado bajo las políticas de desarrollo de software de la organización. Desde ese punto de vista, permitir la ejecución de Macros sin algún control, es permitir que cualquiera desarrolle piezas de software, las distribuya y ejecute sin autorización.
  3. La mayoría de las actividades para las que se usan macros tienen que ver con labores de automatización, análisis, procesamiento y consolidación de datos. Estas actividades bien pueden realizarse de forma centralizada, de forma que los usuarios pueden alimentar la información en archivos convencionales sin macros, que posteriormente serán procesados en un solo equipo que almacena y ejecuta la macro, con los permisos de acceso y privilegios correspondientes, por parte de personal autorizado.
  4. Realizar revisiones periódicas de la integridad de la macro y de que no contiene funcionalidades no previstas en su diseño y función.
  5. Si es absolutamente necesario distribuir archivos con macros, actualmente las suites de oficina permiten el firmado de los archivos por medio de certificados digitales, lo cual permitirá asegurar que los archivos no han sido modificados de forma no autorizada y que provienen de un origen confiable. Más información aquí: https://support.office.com/es-es/article/Firmar-digitalmente-un-proyecto-de-macro-956e9cc8-bbf6-4365-8bfa-98505ecd1c01?omkt=es-MX&ui=es-ES&rs=es-MX&ad=MX
  6. Solo dar permisos de ejecución a archivos con macros de los cuales estemos seguros de su origen, contenido y funcionalidad.
  1. Proteger los archivos que contienen macros con contraseña para hacerlos de solo lectura, aunque esto en algunos casos puede limitar la funcionalidad.
  2. Almacenar los archivos con macros en carpetas compartidas con los permisos necesarios, de forma que solo el personal autorizado pueda modificar los archivos.
Siguiendo las recomendaciones anteriores en conjunto con mantener actualizados nuestros sistemas y aplicaciones, no abrir archivos de orígenes desconocidos ni instalar aplicaciones de dudosa procedencia nos permitirá mantener más seguros nuestros equipos y la información que tenemos en ellos.

Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más