Ingeniería social: la ciberseguridad como juego mental.
Cuando muchas personas piensan en el ciberdelito, evocan una imagen directamente de una cursi película de Hollywood de los años 90: nerds sentados frente a las pantallas de las computadoras tocando frenéticamente los teclados, texto verde desplazándose por las ventanas de las terminales.
«La contraseña es ‘Medusas123.’ ¡Estaban en!»
De hecho, hay algo de verdad en este estereotipo. No creo haber conocido nunca a un hacker que fuera tímido con una interfaz de línea de comandos, y es concebible que un hacker oportunista pueda poseer la capacidad técnica para derivar computacionalmente una contraseña o clave de descifrado y pausa en un sistema.
Sin embargo, la realidad es que los ciberdelincuentes más efectivos no son necesariamente informáticos, son ingenieros sociales y la psicología es un componente central de su rootkit.
Los estudios incluidos en el informe Cybersecurity Threatscape de Positive Technology han sugerido que más de 9 de cada 10 ciberataques exitosos fueron el resultado de actores maliciosos que se infiltraron en un individuo dentro de la organización.
Contenido
Los ataques cibernéticos tienen como objetivo a las personas.
El método de ataque más común para incidentes de alto perfil consiste en hacerse pasar por una persona de confianza, alentando a la víctima a hacer clic en un enlace malicioso que dirige al objetivo desprevenido a una página diseñada para capturar las credenciales de inicio de sesión o comprometer el dispositivo 2FA de un usuario. Una vez comprometidas, las credenciales se explotan para obtener acceso a información confidencial o para propagar la presencia de los atacantes dentro de un entorno.
Otros ataques pueden simplemente intentar extorsionar a un individuo. Al menos dos veces en los últimos dos meses, alguien ha informado de una llamada de una persona que dice ser soporte técnico con demandas como «instale este software de acceso remoto o perderé mi trabajo».
Los estafadores más descarados afirmarán que una factura no se ha pagado y le solicitarán que entregue su número de ruta y de cuenta, o mejor aún, sugerirán que tal vez pagó en exceso una factura anterior y tiene derecho a un reembolso.
Y mi favorito personal: «¿Tienes tiempo para un Llamada rápida con respecto a las tarjetas de regalo de Amazon?
Hackeando al humano.
Los ataques de ingeniería social como estos se basan en la manipulación psicológica para ganarse la confianza de sus objetivos. Las tácticas comunes implican influir en los objetivos con relación, autoridad, obligación, validación o reciprocidad.
Los atacantes más efectivos se tomarán su tiempo para recopilar información. Un volcado de darkweb de objetivos potenciales solo puede contener información de contacto básica con poco contexto. Los buenos hackers investigarán a fondo estos contactos, incluidas sus respectivas organizaciones y afiliados.
Las redes sociales suelen ser una apuesta segura para la información personal y te sorprendería lo mucho que puedes aprender sobre alguien en Google o en las búsquedas de información pública. Las redes sociales y los sitios de empleo son un tesoro de información sobre una organización, al igual que los organigramas publicados, las declaraciones de liderazgo y las páginas «acerca de nosotros».
A medida que los atacantes descubren más sobre el objetivo, construyen un perfil y comienzan a refinar sus métodos de ataque, eventualmente se mueven para engañar a las víctimas e intentan afianzarse controlando las interacciones y recopilando información continuamente durante un período de tiempo indeterminado. Tal vez uno tenga suerte y se ponga en contacto con una víctima distraída o descubra una debilidad técnica fácilmente explotable.
Los “hackers humanos” sabrán cómo leer las señales no verbales y jugar con la simpatía, esperando cuando se bajen las guardias o se desvíe la atención. Estos métodos imponen una demanda interesante a los profesionales de seguridad de la información encargados de proteger a esas personas. ¿De qué sirven las salvaguardias técnicas si dejamos entrar a los intrusos por la puerta principal?
En una encuesta de CSHUB de profesionales de la seguridad de la información, el 75 % de los encuestados sugirió que la ingeniería social es la principal amenaza para sus respectivas organizaciones.
Capacidades de respuesta limitadas.
Los equipos de gestión de incidentes cibernéticos generalmente se enfocan en determinar el alcance de los daños, intentar reducir el impacto, abordar los problemas técnicos y hacer que la víctima (y la organización) vuelvan a encarrilarse.
Los marcos de inteligencia de amenazas pueden ayudar a describir la naturaleza de un ataque o técnicas y los motivos u organizaciones detrás de ellos. A menudo, los socorristas solo requieren suficiente información para informar la actividad a las agencias policiales, reguladoras o estatales, proveedores de seguros cibernéticos y socios de monitoreo de crédito.
Sin embargo, no es tan común en nuestras actividades post-mortem considerar el alcance de los esfuerzos de reconocimiento o de pretexto que condujeron al ataque, y mucho menos considerar cuánto tiempo atrás comenzó realmente el ataque. La verdad es que probablemente comenzó mucho antes de que se informara del incidente.
Estos desafíos se ven perpetuados por la idea de que, dependiendo de quién sea usted en una empresa, puede abordar la seguridad de manera diferente. «Oh, la gente de seguridad se ha ocupado de esto». Escuchar este tipo de cosas puede dar a entender que el juego de la confianza ya está perdido. La paranoia debería ser compartida por todos; es decir, todos deben estar en la cima de nuestro juego, no solo los profesionales de la seguridad.
Abordar el problema de las personas.
La literatura es clara: el entrenamiento personal es más efectivo que un antivirus. Si los usuarios saben qué buscar, es más probable que eviten convertirse en víctimas. Parece que es hora de la campaña anual de concientización sobre seguridad.
Sin embargo, uno se pregunta si este es nuestro único método para desarrollar la vigilancia y el escepticismo en nuestra organización o si es adecuado. Teniendo en cuenta la gran determinación y persistencia que poseen los ingenieros sociales, los controles administrativos deben reforzarse con tanto rigor como cualquiera de los muchos controles técnicos utilizados en la organización.
Explora el mundo de la ciberseguridad.
Para obtener más información sobre cómo analizar las debilidades de su organización y mejorar las capacidades defensivas mediante la creación de una arquitectura defendible que implique un cambio cultural y atraiga a las partes interesadas, consulte el programa Security Analyst Nanodegree.
Los estafadores y los piratas informáticos tienen mucha paciencia y empatía, y nosotros también. Para obtener más información sobre los métodos que utilizan los piratas informáticos para perpetrar ataques cibernéticos, consulte el Ethical Hacker Nanodegree.
COMIENZA A APRENDER
