Top
TAKTICTAKTIC Ciberseguridad e ingeniería social
Ciberseguridad e ingeniería social

Ciberseguridad e ingeniería social

Acabo de terminar la segunda temporada de Mr Robot, serie genial en la que un joven programador trabaja como ingeniero de ciberseguridad de día y como hacker/justiciero de noche. La serie cuida mucho los detalles y ha hecho un esfuerzo por ser cercana a la realidad y en ella podemos ver multitud de herramientas utilizadas por profesionales de la ciberseguridad seguridad y hackers, como la distribución Kali Linux, Wget, Shellshock, Metasploit Framework, Social Engineer Toolkit (SET) y muchas otras.

Pero lo que más me ha llamado la atención es que, a pesar de los amplios conocimientos y la alta capacidad técnica del protagonista, en todos los ataques que realiza hay un alto componente de ingeniería social, utilizando para sus fines el eslabón más importante de la cadena de seguridad de la información de una empresa: la persona.

La ingeniería social se basa en 4 principios básicos de las relaciones humanas:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir no.
  • A todos nos gusta que nos alaben.

Los ciberdelincuentes utilizan nuestra predisposición habitual a ayudar para ganarse nuestra confianza y obtener sus fines, sin tener que escribir una sola línea de código.

Muchas veces los departamentos de seguridad de las empresas se  centran en aspectos técnicos,como cortafuegos y antivirus, acceso por huella, políticas de actualización y mantenimiento del sistema, para evitar accesos no autorizados, pero muchas veces estos se producen de una manera mucho más humana.

Los ejemplos son muy variados: una simple llamada de teléfono en el que nos informan de que el departamento de informática está realizando unos cambios y necesita nuestra contraseña de acceso, un mail corporativo con el nombre de un compañero con el que estamos realizando un proyecto que incluye un adjunto llamado cronograma_proyecto.pptx o un pendrive que nos encontramos de camino al trabajo con el logo de la empresa, y que al conectarlo a nuestro equipo vemos que contiene el archivo nominaEnero2017.xls, pueden proporcionar al atacante el control de nuestro sistema.

Y las empresas son el objetivo. Las grandes compañías tienen más dinero y más datos que robar, por lo que son objetivos más lucrativos. Según ‘The Human Factor Report 2015′, 2014 fue el año en que los cibercriminales pasaron al sector empresarial, dejando atrás los ataques masivos por otros más sofisticados y dirigidos a mandos intermedios. Según el estudio, este grupo de profesionales doblaba en número de clicks en mails maliciosos a la media, centrándose además el 96% de los clicks realizados en las últimas horas del día.

La técnica utilizada para conseguir que la persona haga click en un adjunto malicioso o que entreguemos información confidencial consiste en efectuar un ataque orientado al objetivo. Con suficiente información de la víctima, como su puesto, empresas relacionadas, contactos, etc… ,  el atacante se ganará la confianza de la víctima,haciéndole creer que está realizando un trámite auténtico con su banco, su departamento de IT o con el comercial de otra empresa. Resulta muy sencillo obtener la información necesaria, LinkedIn es una mina de oro de ejecutivos y mandos intermedios y se puede automatizar la recogida de e-mails junto con datos personales para efectuar un ataque de phishing.

Las políticas de seguridad de los sistemas de información de una empresa también deben afrontar estos retos y no es suficiente con crear normas y procedimientos, o implantar medidas técnicas de seguridad. Es importante que todos los miembros de la organización estén informados de estos métodos de ataque, y para ello es necesario proporcionar formación suficiente para los empleados en temas como:

  • Uso de contraseñas seguras, y cambiarlas habitualmente. Si la contraseña puede ser adivinada con información personal, la utilizas en otros sitios o no son lo suficientemente robustas, alguien puede hacerse pasar por ti. Y sobre todo no la dejes en un posit en la pantalla del ordenador!
  • No revelar datos confidenciales por teléfono o email, siendo conscientes de los posibles ataques que se pueden producir por estos medios.
  • No clickar en enlaces a páginas web desde mails.
  • Cuando utilicemos servicios web como banca por internet, comprobar que la dirección que aparece en el navegador es correcta y que accedemos de manera segura con el protocolo https, pues de otra manera alguien puede suplantar su identidad.
  • No confiar en  los remitentes de mail o números de teléfono, pueden ser alterados con facilidad.

Y sobre todo utilizar el sentido común. Ante una llamada o mail sospechoso pregúntate si alguien puede obtener provecho de la información que revelas. Con esto en mente, y siendo conscientes de las diferentes formas en que un atacante puede abordarnos, podremos evitar un gran número de amenazas.

Eduardo Navarro
Eduardo Navarro

Si continuas utilizando este sitio, aceptas el uso de las cookies. Más información

Las opciones de cookie en este sitio web están configuradas para "permitir cookies" para ofrecerte una mejor experiéncia de navegación. Si sigues utilizando este sitio web sin cambiar tus opciones o haces clic en "Aceptar" estarás consintiendo las cookies de este sitio.

Cerrar