Incidentes de seguridad de la información: Los empleados como factor de éxito

CONTENIDO

• Los sitios web son como libros abiertos
• Lo simple es lo más peligroso
• Direcciones de correo electrónico: La "capital" del phishing
• Conciencia de seguridad: El caballo de Troya llega oficialmente
• Incidentes de seguridad de la información: Un ejemplo de la vida real
• La seguridad de la información: Los empleados como factor de éxito
• Lo más importante: sensibilizar a los empleados sobre los ataques
• ISO 27001: La concienciación como parte del catálogo de medidas
• Un incidente de seguridad de la información suele significar el caos
• La puerta trasera de su sistema
• La falta de concienciación: perfecta para un ataque dirigido
• Minimizar la probabilidad de ocurrencia

Los sitios web son como libros abiertos

Se sabe que la seguridad informática y la seguridad de la información son dos pares de zapatos bastante diferentes, pero las líneas pueden seguir siendo borrosas. Evidentemente, los incidentes de seguridad informática conducen regularmente a incidentes de seguridad de la información. Claro, si soy un hacker que compromete una red corporativa, tendría que estar sentado frente a la pantalla con los ojos cerrados convulsivamente para evitar captar una u otra información que no estaba destinada a mí.

Sin embargo, también es posible que los ciberdelincuentes recojan inicialmente información que, a la larga, les permita atacar los sistemas informáticos de la víctima elegida en primer lugar.

En la plataforma de comprobaciones de seguridad greenhats.com, nuestro trabajo diario consiste en hackear empresas, identificar vulnerabilidades y solucionarlas antes de que los delincuentes las encuentren.

Fiel al lema "Hablemos de ello", en este artículo me gustaría explicarle en detalle un método de ataque que afecta a todo el mundo. Y junto con usted, me gustaría abordar la cuestión: ¿Por qué le estoy contando todo esto?

Incidentes de seguridad de la información: Lo simple es lo más peligroso

Estamos hablando, por supuesto, del llamado "ataque de phishing" - no te preocupes, intentaré ahorrarte más palabras extranjeras y vocabulario informático. Ni siquiera los necesito, porque el phishing no es un ataque técnico, sino un ataque al eslabón más débil de la cadena de (casi) todos los conceptos de seguridad. Un ataque a las personas.

Supongamos que quiero atacarte. Entonces no me siento sin más ante mi cuaderno y empiezo a teclear en negro. No, primero necesito... ¡exactamente! Información y datos personales. Esto incluye:

• Direcciones de correo electrónico de su empresa
• Nombres de su personal informático
• Firmas de correo electrónico
• Información sobre su identidad corporativa
• Un tema que sea interesante para sus empleados

Suponiendo que no sé nada más que el nombre de su empresa, naturalmente primero voy a la página web, leo y aprendo todo lo que hay que aprender. Sobre todo, me interesan las direcciones de correo electrónico y las personas de contacto de sus informáticos. Porque en el siguiente ataque, quiero enviar un correo electrónico falso al mayor número posible de empleados (cuyas direcciones necesito) evitando en lo posible enviarlo también a los informáticos.

Direcciones de correo electrónico: El "capital" de un ataque de phishing.

Una vez que encuentro unas cuantas direcciones de correo electrónico, deduzco el patrón. Por ejemplo, "firstname.lastname@samplecompany.com" Entonces intento descubrir la lógica de cómo se puede deducir la dirección de correo electrónico del empleado a partir de su nombre.

Luego vuelvo a Internet, esta vez a las redes sociales. No me refiero a las "malvadas" como Facebook y compañía. XING y LinkedIn son mucho más interesantes.

Allí busco su empresa y miro qué personas declaran que trabajan para esta empresa. Así obtengo una lista de nombres de la que podemos derivar direcciones utilizando el patrón identificado. Al mismo tiempo, ya puedo saber por los perfiles en las redes sociales cuáles de sus colegas podrían reconocer mi próximo ataque en función de su experiencia profesional y sus intereses informáticos.

Estos colegas no recibirán ningún correo falso de mi parte.

Conciencia de seguridad: El caballo de Troya llega oficialmente

Ahora que conozco mi objetivo de ataque, quiero hacerme pasar por un empleado de su empresa. Para ello, primero me pongo en contacto con usted. A través de canales oficiales, por ejemplo, como un cliente potencial. Le escribo un correo electrónico y le pido un presupuesto. Usted me responde, idealmente con una cartera de productos o algo similar.

Su respuesta me proporciona información valiosa:

• ¿Cómo es su firma de correo electrónico?
• ¿Qué tipo de letra utilizan?
• ¿Dónde coloca su logotipo en los documentos?
• ¿Cómo resalta los títulos?
• ¿Qué colores utiliza?
• Y, y, y...

Hasta aquí, no es ciencia espacial. Pero cuidado, aquí viene el truco. Supongamos que su empresa se llama "SampleCompany" y que se puede encontrar en Internet en "samplecompany.com". Entonces, ahora busco una dirección en Internet, que se parezca mucho a su dirección. Por ejemplo, "samplecompany.eu". Compro esta dirección (en realidad sólo cuesta unos pocos euros) y ahora puedo construir mi ataque sobre ella.

Porque desde "firstname.lastname@samplecompany.eu" puedo enviar correos electrónicos con tu firma que parecen venir directamente de ti. No me importa qué nombres o sinónimos utilice como remitente, porque técnicamente no hay diferencia.

Incidentes de seguridad de la información: Un ejemplo de la vida real

Su gerente de negocios no es su gerente de negocios

Esto puede ser realmente peligroso si, por ejemplo, me hago pasar por el administrador de tu departamento de informática. Le escribo un correo electrónico a usted y a todos sus compañeros, en el que les llamo la atención, por ejemplo, sobre un nuevo portal de vídeo para reuniones a distancia, en el que todos los empleados deberían autenticarse una vez para comprobar si los contactos existentes se han transferido.

O cuando le escribo como asistente de su director general y le explico que la fiesta de Navidad se ha cancelado debido a la pandemia, pero que en su lugar se van a sortear cinco flamantes iPhones por parte de la dirección. Para asegurarse de que todo el mundo acaba en el bote de la lotería una sola vez, pida a cada empleado que se autentique una vez en el portal adjunto; los ganadores se anunciarán a finales de diciembre.

Zona de acceso falsa: Un juego de niños en tiempos de digitalización

Independientemente del método que elija, tengo que enviarle un enlace que lleve a dicho "portal". Esto podría ser entonces "raffle.samplecompany.eu" o "portal.samplecompany.eu".

También en este punto puedo dar rienda suelta a mi creatividad. Dado que soy el dueño de la página correspondiente, sólo tengo que construir allí algo que les parezca fiable a usted y a sus colegas. En el caso del concurso, por ejemplo, una bonita zona de inicio de sesión con el diseño de su empresa, con su logotipo y quizá un pequeño Papá Noel. O unas estrellas fugaces.

Las contraseñas acaban con el atacante, en texto plano

Por supuesto, la seguridad es una prioridad en mi portal. Todo está excelentemente encriptado y se hace imposible que terceras personas puedan leer tus entradas. Al fin y al cabo, estás introduciendo nombres de usuario y contraseñas, que es información sensible. Desde el punto de vista técnico, todo esto es absolutamente serio. Tus datos se transfieren de forma segura y acaban en las mejores manos: las mías.

Por cierto, la complejidad de tu contraseña es completamente irrelevante en un ataque de este tipo; acaba en texto plano con el atacante. Y tenga en cuenta que (aunque sean mínimamente más complejas) una gran variedad de soluciones de 2 factores pueden ser "suplantadas" si adapto mi portal en consecuencia.

Seguridad de la información: Los empleados como factor de éxito

Te prometí aclarar la pregunta más importante al final: ¿Por qué te cuento todo esto? La respuesta es: ¿A quién más?

Es importante entender que el ataque que estoy describiendo no es - desde un punto de vista puramente técnico - un ataque en absoluto. Te estoy escribiendo un correo electrónico desde una dirección que realmente me pertenece. Ni siquiera hay un archivo adjunto en él, y mucho menos malware. Se le redirige a una página de Internet que no intenta comprometer su sistema. Y como he descrito antes, este sitio también está perfectamente asegurado y todo el tráfico está óptimamente encriptado.

Así ocurre con otros sitios (de buena reputación) en los que te conectas. Y al igual que introduces tu contraseña privada en LinkedIn o XING para autentificarte, la introduces ahora en mi sitio.

Es importante entender que, desde un punto de vista técnico, no estoy falsificando un correo electrónico. Estoy falsificando toda su empresa.

Y es precisamente por eso que las medidas de protección técnica no funcionan. La solución está en detectar y prevenir el ataque, y eso depende de usted. Al igual que las medidas adecuadas para concienciar a los empleados en este sentido.

Porque si planteo bien este escenario, detectar el ataque sólo es posible al notar la diferencia en la dirección, así que en nuestro caso el ".eu" en lugar de su ".com". Soy consciente de que uno u otro de ustedes está ahora absolutamente seguro de que tiene la visión general necesaria para hacer esto incluso en su estresante trabajo diario. Por lo tanto, me gustaría hacer reflexionar a los más avanzados:

¿Reconocerías también "samplecompany.com" como una falsificación? Una pequeña pista: La "l" no es una L sino la letra griega "Iota". Para el ojo humano no hay ninguna diferencia entre ellas, tu ordenador probablemente lo ve de forma diferente. Te puedo asegurar que en todos los ataques de phishing que hemos simulado para empresas, no ha habido un solo cliente en el que ningún empleado haya revelado sus datos.

Lo más importante: sensibilizar a los empleados sobre los ataques

Por tanto, la cuestión no es si sus colegas caerían en un ataque de este tipo. La cuestión es más bien cuántos empleados reconocerán el ataque, con qué rapidez lo comunicarán al departamento de TI y de cuánto tiempo dispone éste para responder.

Aquí es exactamente donde el empleado se convierte en un factor de éxito para más seguridad de la información y seguridad de TI en términos de conciencia de seguridad.

No quiero ser uno de esos hackers blancos que se guardan sus estrategias para sí mismos y disfrutan de los desastrosos resultados de tales ataques. Me gustaría mucho más contribuir junto con usted a que su empresa sea un poco más segura.

Ahora es tu turno: Lo que acabo de describirte es sólo un ejemplo de las muchas formas en que las personas y su manejo a veces negligente de la información pueden ser explotadas y utilizadas para obtener un beneficio como atacante. Los departamentos de TI sólo pueden proteger contra esto hasta cierto punto o no pueden hacerlo en absoluto; ese es su trabajo. Piense en ataques usted mismo, piense en cómo podría secuestrar a sus colegas y hágalo un tema en la mesa del almuerzo (virtual).

ISO 27001: La concienciación como parte del catálogo de medidas

Y luego, ponga a prueba a su empresa de forma regular y haga que la concienciación forme parte de su plan de seguridad. Leyendo un poco entre líneas, también encontrará esto en la norma internacionalmente reconocida para un sistema de gestión de la seguridad de la información (SGSI).

La norma ISO/IEC 27001, por ejemplo, exige que se garantice la concienciación y, por tanto, la sensibilización del eslabón más débil de la cadena sobre el manejo de la información de la empresa (capítulo 7.3 y anexo 7.2.2). Esto comienza con algo tan simple como una dirección de correo electrónico. Otros requisitos normativos o legales, como el GDPR, también apuntan al enfoque preventivo de evitar incidentes.

Cumpla los requisitos de la norma con medidas de concienciación, como directrices, formación, comunicación sobre las novedades en curso o incluso simulación de ataques de phishing, como hacemos con nuestros clientes. Y: Sea sincero consigo mismo y pregúntese hasta qué punto sus medidas de formación anteriores le han preparado para una emergencia como la que acabo de exponer.

Un incidente de seguridad de la información suele ser un caos

Ya que hablamos de honestidad: ¿cómo reaccionaría realmente ante un incidente de seguridad de la información provocado por un ciberataque? Hay que reconocer que el tema de la seguridad reactiva es siempre un poco incómodo, pero es algo de lo que hay que hablar.

A la gente le gusta pensar en ello como en un simulacro de alarma de incendios: en algún momento del horario laboral, suena un timbre de forma inesperada, todo el mundo sale del edificio de forma ordenada y tranquila, espera fuera un rato y charla con los compañeros sobre el tiempo, y al cabo de un rato se permite a todo el mundo volver a entrar y de camino se puede tomar un café.

Pero no es así.

Mi equipo ya se ha puesto en contacto con un par de empresas en las que ha habido un ataque, y puedo prometerlo: Es un caos. Incluso varios días después del evento real. Entre otras razones, porque los hackers modernos se aprovechan de la arrogancia de sus víctimas.

Quiero explicarte esto, así que volvamos a nuestro ataque de phishing. Supongamos que yo, como atacante, consigo conectarme remotamente a los sistemas informáticos de uno de tus colegas utilizando su contraseña. ¿Crees que no sabría que alguien en tu empresa se da cuenta de que ha habido un ataque y lo comunica a TI? En el mejor de los casos, lo haces personalmente, soy plenamente consciente de ello.

Incidentes de seguridad de la información: La puerta trasera de tu sistema

Por eso hago dos cosas: Primero, hago algo obvio que molesta a su empresa y le da algo que hacer. Por ejemplo, envío correos electrónicos de spam a sus clientes en nombre de su colega. Eso llama la atención y le da a usted y a su departamento de TI algo que hacer. Ahora puedes sacar todos tus planes de contingencia del armario y trabajar en el incidente de seguridad de la información con tus representantes de TI. Incluyendo sofisticadas medidas de marketing que pulirán la imagen empañada hasta darle un nuevo brillo y quizás le hagan parecer incluso mejor "superviviente" que antes. Los profesionales pueden hacerlo.

Pero al mismo tiempo, como atacante, estoy tratando de establecer una puerta trasera a un sistema que su TI no notará en todo el alboroto. Es como entrar en una joyería, derribar la vitrina más grande y meterme secretamente todos los anillos y relojes caros en el bolsillo mientras todo el mundo se abalanza sobre las piezas rotas.

Ni que decir tiene que mi puerta trasera es extremadamente difícil de encontrar si no sabes lo que estás buscando. Y entonces no hago nada. Durante semanas, durante meses.

Ahora intento abrirme camino a través de su red corporativa, silenciosamente. Sin ningún escáner de software "ruidoso", que agotará su red y alertará a sus sistemas de seguridad. De forma completamente manual, casi a la vieja usanza. Por cierto, aquí es donde se separa el trigo de la paja en el lado de los hackers. Si tu red sólo estaba expuesta a los escáneres de seguridad en escenarios de prueba, ahora no te servirá de nada. Me extiendo y espero - pacientemente. Intento identificar cuándo y cómo se hacen las copias de seguridad, quién se comunica con quién y dónde es más sensible su organización. En nuestro ejemplo, probablemente hago esto por la noche - o al menos después del horario de trabajo principal, cuando es menos probable que me observen. Y, por supuesto, cubro mis huellas todos los días.

Y entonces -meses después- se produce el gran incidente de seguridad de la información. Completamente de la nada para tu empresa. Por ejemplo, luego uso uno de los numerosos troyanos de encriptación para chantajearte. "Casualmente", sin embargo, debido a mi trabajo previo, se ejecuta bajo los más altos privilegios, se salta sus medidas de seguridad y se extiende primero a los sistemas con sus archivos más relevantes. Y si, en todo el tiempo que he tenido, he notado una debilidad en tu sistema de copias de seguridad... Como he dicho, el caos.

Falta de conocimiento: perfecto para un ataque dirigido

Sí, todavía estamos en nuestro ejemplo, pero esto no es Hollywood ni mucho menos. Es una práctica común y una razón clave por la que todavía oímos y leemos tan a menudo sobre empresas que luchan contra estos troyanos de cifrado. Hace unos años, éstos estaban más o menos desatados en Internet, y sólo las ovejas más débiles del rebaño eran víctimas de ellos: las empresas que tenían una seguridad técnica débil en el exterior.

Hoy las cosas son diferentes. La falta de conciencia de los empleados se utiliza para atacar a las empresas y sólo cuando la víctima está totalmente controlada se despliega el software de ataque automatizado.

Sigo creyendo que las medidas proactivas de seguridad informática y, en particular, una fuerte concienciación en materia de seguridad son los elementos más importantes del concepto de seguridad informática de cualquier empresa; simplemente hay demasiados ejemplos y casos concretos que lo respaldan. Sin embargo, una conciencia de seguridad bien desarrollada también incluye la comprensión de que es posible verse afectado. Me incluyo en esto. Y si eso ocurre, hay que estar preparado.

Minimizar la probabilidad de ocurrencia

He incluido deliberadamente el ejemplo de la alarma de incendios en mis observaciones. Esto prepara a la empresa para el caso de que, a pesar de todas las medidas proactivas, se produzca un incendio. Algunas empresas también tienen algo parecido para los incidentes de seguridad de la información y los incidentes de seguridad informática. Y si eso le parece demasiado (en realidad siempre depende de la empresa en cada caso individual), todavía tengo un consejo para usted:

Si implementas pruebas de penetración u otras simulaciones de ataques como parte de tus medidas de seguridad proactivas, no te conformes con arreglar simplemente las vulnerabilidades que encuentres. Hágase siempre la siguiente pregunta: ¿Se ha explotado esta vulnerabilidad en el pasado? ¿Se han instalado puertas traseras?

O, dicho de otro modo, trata cada "hallazgo" con la seriedad de un incidente real de seguridad de la información. De ese modo, minimizas las probabilidades de que se produzcan y, al mismo tiempo, pones a prueba tus planes de seguridad reactiva, que sinceramente deseo que nunca necesites. Como la alarma de incendios.

Todo esto es parte de la concienciación y, al mismo tiempo, sólo una parte del conjunto. Sin embargo, con este importante componente, es de esperar que puedas sonreírme cuando te pregunte: "Si me pongo a ello mañana, ¿podría pillarte con el pie cambiado?". Con suerte.

Confianza y experiencia

Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores con muchos años de experiencia. Si tiene alguna pregunta sobre el contenido del texto o nuestros servicios al autor, no dude en ponerse en contacto con nosotros.