En los últimos años, se ha pasado de amenazas conocidas, puntuales y dispersas, a amenazas de gran sofisticación, persistentes, y con objetivos muy concretos dirigidas a las empresas, surgiendo una nueva categoría de amenazas en el mundo del cibercrimen, las “Amenazas Persistentes y Avanzadas”.
En muchas ocasiones los ataques informáticos dirigidos producidos en compañías que han adoptado ciertas medidas de seguridad, en la fase previa antes de producirse un ataque se ha empleado la ingeniería social como mecanismo para materializar con éxito el ataque.
No hay que olvidar que este tipo de amenazas están suficientemente financiadas cómo para mantener su campaña de ataques durante un periodo largo de tiempo, y disponen de los recursos necesarios para conseguir su fin.
En la actualidad los ataques más dañinos están dirigidos a los empleados utilizando técnicas de ingeniería social para infiltrarse de forma discreta en una empresa con el fin de implementar malware personalizado. Estos tipos de ataques personalizados requieren de una concienciación empresarial para mitigarlos o reducir su impacto. La detección de estos ataques presenta una extrema dificultad.
Las personas, es el eslabón más vulnerable de la cadena de seguridad y los atacantes lo saben. La principal defensa contra un ataque de ingeniería social es formar a los usuarios en estas técnicas.
¿Qué es la ingeniería social? Es la manipulación de personas mediante engaños para obtener información confidencial sobre un objetivo o víctima.
Kevin Mitnick uno de los ingenieros sociales más famosos de los últimos tiempos opina que la ingeniería social se basa en cuatro principios:
- Todos queremos ayudar.
- El primer movimiento es siempre de confianza hacia el otro.
- No nos gusta decir No.
- A todos nos gusta que nos alaben.
Mi intención no es enumerar las distintas técnicas de ingeniería social que se están llevando acabo, sino que la gente reflexione cuando reciba un email no esperado, una llamada telefónica de algo que se encuentra fuera de lugar o simplemente se encuentre un dispositivo USB etiquetado con información que llame nuestra atención. La simple comunicación de este tipo de incidente ante el departamento de seguridad puede poner en guardia y poner en marcha un plan de contingencia que determine el alcance de la amenaza.
Pongamos un ejemplo de un simple vector de ataque:
Un atacante A desea obtener acceso al sistema financiero de una compañía X. Tiene dos opciones.
- Vulnerar la seguridad de los sistemas informáticos de una compañía con ciertas medidas de seguridad, invirtiendo recursos en perpetrar el fin.
- Identificar al director financiero que posee privilegios en el sistema financiero y mediante técnicas de engaño introducirse en su sistema informático. En ocasiones no resulta nada difícil localizar al financiero y depositar cerca de su vehículo un USB infectado y etiquetado con información que llame su atención y tenga curiosidad en averiguar su contenido.
Es evidente que la segunda opción será la más productiva para el atacante y si el financiero no dispone de formación y entrenamiento en este tipo de ataques dirigidos hay una probabilidad elevada de llevarse con éxito.
Reflexionemos un momento. Nos parecerá muy simple este modo de perpetrar este acceso y que nosotros no caeríamos en este engaño tan simple, tengamos en cuenta que lo más simple es lo más efectivo y todavía la gente conecta un USB que se ha encontrado en la calle por simple curiosidad.
“Una compañía puede gastar cientos de miles de euros en firewalls, sistemas de cifrado y demás tecnologías de seguridad, pero si un atacante engaña a un empleado, todo ese dinero no habrá servido para nada”- Kevin Mitnick