Ingeniería social: el enemigo evasivo en el mundo de la ciberseguridad

Proteger la información corporativa, las redes y las estaciones de trabajo de las amenazas externas e internas que cambian constantemente es una tarea similar a disparar a un objetivo en movimiento. Y la ingeniería social convierte este trabajo en una hazaña casi imposible. Las actividades destinadas a "piratear" la conciencia humana, como regla, son invisibles y pueden penetrar muy profundamente en el sistema empresarial.

¿Qué es la ingeniería social?

En un sentido amplio, este concepto incluye cualquier situación en la que los delincuentes jueguen con las características de la psique humana y manipulen a las personas para que violen los procedimientos y protocolos de seguridad habituales. Los atacantes no intentan penetrar en la red corporativa a través de las vulnerabilidades del sistema. Sus ataques están dirigidos a personas. Y ellos mismos comparten información confidencial que da acceso al espacio de oficina, sistemas o redes.

Incluso si la organización cuenta con los mejores sistemas de defensa cibernética, cortafuegos y procedimientos, algún día podría resultar que los ciberdelincuentes han logrado obtener datos confidenciales importantes.

Estructura de ataque

Un ataque que utiliza métodos de ingeniería social siempre está pensado y adaptado a las características individuales del objetivo del ataque, en contraste con los ataques de phishing ordinarios con correos electrónicos o llamadas masivas al azar a miles de personas. Esto requiere más preparación, pero las posibilidades de éxito aumentan significativamente.

Primero, los atacantes buscan información específica sobre la empresa objetivo, su estructura organizativa y sus empleados. Sus acciones pueden dirigirse contra empleados de ciertos departamentos o contra cualquier persona con un bajo nivel de acceso a los sistemas a través del cual puede alcanzar niveles más altos. La idea no es buscar un eslabón débil en el sistema de seguridad, sino encontrar una persona vulnerable. Jugando con sus miedos, codicia o curiosidad, los atacantes lo obligan a romper el protocolo.

Para hacer esto, el criminal busca información en fuentes en línea y fuera de línea e identifica posibles víctimas. Internet y las redes sociales han simplificado enormemente el acceso a dichos datos.

Por lo tanto, un buen punto de partida para la acción indirecta son los organigramas. Las redes sociales como LinkedIn y Facebook son un depósito de información. Por ejemplo, en LinkedIn es muy fácil encontrar una lista de personas que trabajan en una división particular de la empresa. A continuación, puede observar su comportamiento en Facebook para calcular los individuos más crédulos. Después de eso, queda por obtener su información de contacto (dirección de correo electrónico, número de teléfono).

Los atacantes intentan ganarse la confianza de la víctima o jugar con sentimientos de miedo y prisa para que la persona no tenga tiempo de pensar en la situación correctamente.

Ejemplos de escenarios de ataque:

• Utilizando una dirección de remitente falsa, los atacantes hacen que la gente crea que la carta fue enviada por un alto directivo (por ejemplo, un director general), un empleado o un socio comercial. A continuación, el malware se inicia haciendo clic en el archivo adjunto o enlace en el cuerpo del mensaje. O bien, la carta establece una solicitud para proporcionar urgentemente información clasificada. Imagine que recibe una carta del director de la empresa o colega, donde le pide que comparta sus opiniones sobre el documento adjunto. Su primera reacción es descargar el archivo. Otro ejemplo: recibió una carta de un proveedor habitual en la que se quejaba de que sus datos de autorización no funcionaban y necesitaba su ayuda para ingresar a un determinado segmento del sistema. En esta situación, también puede tener un deseo impulsivo de ayudar. Por que no Al final, el proveedor realmente tiene acceso. Y apenas quieres ser la persona que interrumpió el parto urgente.
  

• Un empleado puede recibir una "devolución de llamada" del "soporte técnico". El atacante llama al grupo de empleados de la organización y expresa su deseo de recopilar información sobre una solicitud enviada al equipo de soporte anteriormente. Existe la posibilidad de que realmente encuentre a la persona que envió dicha solicitud o que simplemente quiere ayudar. Cuando se encuentra una víctima crédulo, los delincuentes la engañan para que ingrese información de inicio de sesión o intentan instalar malware de forma remota.
  

• Simulación de una llamada del departamento de TI con respecto a una violación de una política de seguridad o una fuga de información de autorización. Se le pide a la víctima que proporcione información personal para "restablecer la contraseña", instalar un archivo, ejecutar un comando o seguir el enlace para verificar si hay datos en la lista de contraseñas comprometidas. En realidad, estas acciones conducirán a la instalación de malware.
  

• Una llamada de un "auditor", "un agente de la ley" u otros funcionarios del gobierno que "tienen derecho" a obtener acceso a información confidencial.
  

• Para convencer a la víctima de que están llamando desde una determinada empresa, los delincuentes utilizan jerga profesional específica o "golpes" musicales telefónicos.
  

• Los delincuentes dejan una unidad USB con una marca atractiva ("salario" o "estimación de costos") en un lugar visible en las instalaciones de la empresa, por ejemplo, en un estacionamiento, un elevador u otros lugares públicos. Un empleado que encuentra una unidad flash puede transferirla al servicio de seguridad o, por curiosidad, conectarla a su oficina o computadora doméstica. De una forma u otra, el malware incrustado encontrará su camino en el sistema.
  

• Un atacante puede ingresar a un edificio cerrado con un empleado que tenga una tarjeta de acceso. En este caso, el delincuente se comporta como si realmente tuviera el derecho de acceso a las instalaciones. Para hacer esto, puede ponerse un uniforme de la compañía o tener en sus manos una tarjeta que se parezca a la real.
  

• Los atacantes obtienen acceso infectando un grupo específico de sitios web en los que un empleado confía. En este caso, falsifican enlaces utilizando nombres de dominio que son similares en apariencia y sonido.
  

• Los atacantes se hacen pasar por trabajadores técnicos, limpiadores o guardias de seguridad en un intento de no atraer demasiada atención durante el robo de información.
  

¿Por qué los ataques de ingeniería social son más peligrosos?

El enfoque de la ingeniería social siempre es más complejo que otros ataques cibernéticos y, por lo tanto, representan una amenaza significativa. Aquí hay algunas razones que hacen que la ingeniería social sea más peligrosa que otros ataques:

• Los atacantes siempre intentan crear una situación completamente natural a primera vista. Parece que sus fuentes son confiables. La falsificación solo puede reconocerse si está constantemente alerta.
  

• Los delincuentes a menudo reciben información de los empleados de la empresa fuera de su lugar de trabajo, en un ambiente más relajado y cómodo. Por ejemplo, cuando se reúne en un bar, parque, gimnasio y otros lugares similares.
  

• Los cortafuegos y las medidas de ciberseguridad son ineficaces, porque los delincuentes no intentan explotar una vulnerabilidad en el software o sistema de la compañía. En cambio, provocan que los empleados comunes cometan un error, y la posterior penetración en el sistema se produce bajo la cobertura de las credenciales de los usuarios legales.
  

• Si los delincuentes logran obtener acceso, el ataque continúa gradualmente, sin pasar por las posibles funciones de reconocer la actividad anormal. Los atacantes se esconden en un lugar visible y se fusionan con el sistema, estudiando sus puntos débiles y puntos de acceso durante algún tiempo. Se esfuerzan por obtener un punto de apoyo, ampliar sus capacidades, penetrar en otros segmentos, recopilar y preparar la mayor cantidad de datos posible para la transmisión al exterior, incluso bajo el disfraz del tráfico de red ordinario.
  

• Los atacantes a veces destruyen evidencia de su presencia a medida que se mueven a través del sistema, eliminando malware de aquellos segmentos donde ya han adquirido información importante.
  

• Los atacantes pueden dejar un punto de entrada oculto (la llamada puerta trasera), lo que les permite regresar al sistema en cualquier momento.
  

• Los atacantes pueden infiltrarse en el sistema a través de empleados de organizaciones externas con cierto nivel de acceso. Estos son, por ejemplo, socios comerciales o proveedores de servicios de almacenamiento en la nube. Dado que la empresa objetivo del ataque no puede controlar los procedimientos de seguridad de los socios o proveedores de servicios, aumenta el riesgo de pérdida de datos. Un ejemplo vívido es una fuga de datos en el gigante minorista Target.
  

• La ingeniería social es especialmente peligrosa cuando se combina con un ataque multiplataforma. El seguimiento de estos casos es aún más difícil. La computadora personal o el dispositivo personal de la víctima generalmente es mucho menos segura que las redes de oficina. A través de su piratería, el malware también puede llegar a una computadora de trabajo más segura y, a través de ella, a otras partes del sistema corporativo.
  

• Las herramientas de protección antimalware convencionales pueden ser ineficaces, ya que los atacantes obtienen acceso al software permitido en el sistema y lo utilizan para una mayor penetración.
  

Precauciones de seguridad

Los ataques que utilizan métodos de ingeniería social son bastante sofisticados y no es fácil detenerlos o al menos detectarlos. Como se señaló anteriormente, los sistemas de detección de pirateo a este respecto pueden no ser lo suficientemente efectivos. Sin embargo, hay algunas prácticas útiles para prevenir ataques:

• Las empresas deben capacitar regularmente a los empleados informándoles sobre técnicas comunes de ingeniería social. Modelar situaciones con la división de empleados en equipos de intrusos y defensa puede ser efectivo. Siempre que sea posible, los empleados de las empresas asociadas deben incluirse en este proceso.
  

• Es útil configurar el correo electrónico seguro y las puertas de enlace web que filtran los enlaces maliciosos.
  

• Las cartas deben ser monitoreadas y recibidas desde una red externa no corporativa.
  

• Puede configurar el sistema de notificación para detectar nombres de dominio similares al nombre de la empresa.
  

• La red corporativa debe dividirse en elementos separados. El control sobre el acceso a ellos debe ser más estricto, y la autoridad debe otorgarse solo de acuerdo con el grado de las necesidades oficiales del empleado. Al gestionar los derechos de acceso se debe basar en el principio de confianza cero.
  

• Los sistemas clave con información importante y cuentas de empleados que trabajan con datos confidenciales deben protegerse mediante autenticación de dos o múltiples factores.
  

• Es importante minimizar el amplio acceso y la redundancia de autoridad.
  

• Es necesario configurar el monitoreo del acceso a los sistemas, el análisis de los datos obtenidos y la determinación de la actividad anormal.
  

• Es necesario verificar regularmente el tráfico interno en busca de tendencias anormales para detectar una copia lenta de los datos del sistema. Debe tenerse en cuenta e investigar situaciones en las que un empleado con acceso a ciertos datos los copia regularmente fuera del horario de atención. O tal, cuando los datos se copian de la oficina y el empleado ya ha abandonado las instalaciones. Los intentos de recopilar información privilegiada también deben ser observados y rastreados.
  

• Las listas de usuarios deben ser auditadas regularmente y marcadas con las cuentas más accesibles, especialmente las administrativas. Se debe prestar especial atención a la verificación de Active Directory, ya que muchas actividades maliciosas dejan rastros en este sistema.
  

• Necesita monitorear consultas LDAP anormales o redundantes. La inteligencia con su ayuda es una parte importante de los ataques, ya que las estructuras de red de diferentes empresas son diferentes, y los atacantes estudian cada una por separado. Este comportamiento es muy diferente de los patrones de comportamiento de los usuarios comunes y se reconoce fácilmente.
  

• Será útil limitar el rango de programas confiables para servidores de baja tarea.
  

• Es importante instalar parches nuevos en todas las estaciones de trabajo.
  

• Una evaluación de riesgos debe llevarse a cabo regularmente.
  

• La compañía debería haber desarrollado e implementado procedimientos para que los cambios autorizados se procesen con urgencia para manejar las solicitudes urgentes de la administración. Todos los empleados con acceso a información confidencial deben estar familiarizados con ellos y sus últimas versiones.
  

• Si se detecta un ataque, se deben encontrar puertas traseras y eliminarlas.
  

Los atacantes deben hacer esfuerzos serios para coordinar el ataque. Sin embargo, hay muchos sitios web y foros en línea especializados en Internet que ayudan a los delincuentes sin experiencia a mejorar sus habilidades de ingeniería social con software listo para usar e información teórica detallada. Por lo tanto, proteger a una organización de tales actividades ilegales requerirá una mayor actividad y atención. Pero todos los esfuerzos darán sus frutos en su totalidad, porque esta es una forma de evitar incidentes como lo que sucedió en Target.