Cuando blindar sistemas informáticos no lo es todo...
En
el día de hoy son muchas empresas las que contratan personas con conocimientos
avanzados, en el área de pentesting y hacking ético. Para
fortalecer su esquema de seguridad y/o identificar aquellos huecos o
vulnerabilidades que puedan existir en su red empresarial.
Sin embargo, la moraleja es bien sencilla no importa la
tecnología de la que se dispone o cuán cara es esta, mientras
intervenga el factor humano, el sistema sigue siendo vulnerable.
El usuario es
el eslabón más débil de la seguridad.
El relato anterior nos lleva a hablar de la ingeniería
social. Un conjunto de técnicas psicológicas y habilidades sociales que,
utilizadas de forma consciente y muchas veces premeditada, permite la obtención de información, o recursos de
terceros. Lo que se hace después con la información conseguida
no tiene límites, aunque eso ya no entra dentro de la ingeniería social. Por
ello, en lo que respecta al mundo de la informática, es posible que un
ingeniero social nunca toque un ordenador ni acceda a ningún sistema.
Se han dado casos en los que tampoco es necesario que el
ingeniero social trabaje la confianza de sus víctimas o las manipule, ya que
puede aprovechar datos que están a la vista como un post IT en un escritorio,
las notas de una libreta, los mensajes que se ven en la pantalla de un teléfono
móvil o incluso buscar en la basura (un método conocido como trashing). Dicho
de otra manera, puede obtener datos sin
ejercer ningún tipo de presión, lo cual se traduce en que, en
estos casos en particular, no estaríamos hablando de una técnica de engaño,
sino de aprovechar el descuido ajeno.
Actualmente la ingeniería social es uno de los
vectores de ataque más peligrosos y que más se está utilizando para acceder a
las redes de las organizaciones, haciendo uso de los empleados de las propias
organizaciones.
La ingeniería social se compone de técnicas de engaño
de todo tipo, tanto en el mundo físico como en el virtual, y se basa en tres
principios básicos de las relaciones humanas:
- El primer movimiento es
siempre de confianza hacia el otro.
- Todos queremos ayudar.
- No nos gusta decir No.
Supongamos que una persona del departamento de
contabilidad está trabajando en los asientos que tiene que reflejar para que
cierren el balance y recibe una llamada telefónica:
Este tipo de llamadas intentan jugar con los
principios que comentábamos. La persona está ocupada, no tiene mucho tiempo
disponible, y recibe una llamada de alguien que dice ser del departamento de
informática de su empresa, que le pide su colaboración. ¿Por qué va a dudar de
que le estén mintiendo?
Evidentemente nadie debe dar su contraseña de
acceso. Pero, ¿y si el atacante consigue que alguien por falta de precaución o
por ganas de colaborar en exceso la proporcione? Es cuestión de probar.
Caso
Ubiquiti Networks y la ingeniería social inversa
Ubiquiti Networks es un proveedor estadounidense de servicios
de redes de alto rendimiento para empresas. En 2015 sufrió un ataque que le hizo perder 39.1
millones de dólares. Para ello, los cibercriminales escribieron algunos correos haciéndose pasar por miembros
ejecutivos de la empresa, y pidieron a algunos empleados del
área financiera que realizaran transferencias de grandes cantidades de dinero a
una cuenta bancaria en particular. Como era de esperar, esta era propiedad de
los cibercriminales. Esta técnica de ingeniería social se aprovecha de
ciertas debilidades del ser humano,
como es el hecho de ser servicial, ya que eso podría incidir en el reconocimiento
por parte de los superiores. También se beneficia en que hay muchas personas
que son incapaces de negarse a hacer algo que, pensado fríamente, podría
resultar perjudicial. Nadie se metió dentro de los sistemas informáticos de
Ubiquiti Networks, tampoco robaron los datos de la compañía. En este caso, la
brecha de seguridad estaba en los propios empleados, que carecían de la
formación, y desconocían los procedimientos necesarios para protegerse ante
este tipo de estafas.
Como
vemos, para que la seguridad forme parte de la cultura
de la empresa no es suficiente con crear normas y procedimientos, ni
con implantar medidas técnicas de seguridad. Es necesario que el personal de las empresas conozca este tipo de
estrategias cada vez más usadas por los ciberdelincuentes e informar a los
empleados de cómo deben tener presente la seguridad en el desempeño cotidiano
de sus funciones: concienciar y formar ya que para ellos “eso
no existe” “solo se ve en películas” etc...
Porque
están expuestos a muchos factores de riesgo como integrantes de la
organización, y porque son fundamentales en el planteamiento de ciberdefensa de
la información de su empresa. Como se mencionó anteriormente en este artículo
“mientras intervenga el factor humano” siempre existirá esa brecha, que permita
utilizar la ingeniería social. No con esto se quiere decir que se deba
sustituir el trabajo humano por uno robotizado.
Una
vez cometida la falta por parte de ellos y viendo que perjudica no solo su trabajo,
sino el de sus compañeros y los jefes de la organización es allí en donde se
dan cuenta, que sus acciones y la información que transmitan y comparten es
sumamente delicada.
Juan Fernández.
Analista I/ Proyectos Junior.
Servicios de Proyectos y Consultoría SGSI 0526