¿Sabes realmente lo que es una simulación de Phishing? ¿Seguro?

¿Qué es una simulación de Phishing?

Muchos responsables de ciberseguridad o IT buscan plataformas de simulación de Phishing para analizar la factibilidad de que los usuarios de su organización caigan en trampas de ingeniería social. Sin embargo, en numerosas ocasiones debemos recordar cómo funcionan o de qué se tratan específicamente.

Una simulación replica el comportamiento de un ciberataque real, en los siguientes aspectos:

• Duración de la campaña, usualmente un par de horas
• Medio utilizado para entregar el ataque, generalmente vía email
• Presencia de técnicas de ingeniería social en las cabeceras y cuerpo del mensaje
• Uso de enlaces o archivos adjuntos
• Uso de sitios web falsos, réplica de otros reales
• Medición de las acciones del usuario, es decir, si abre el correo, si hace clic en un enlace, etc.

Pero existe una diferencia importante: una simulación no captura información sensible y es inocua para el usuario final o la organización.

Por lo general, los ataques reales de Phishing finalizan cuando el ciberdelincuente logra capturar, por ejemplo, las credenciales del usuario. En cambio, una simulación, puede mostrar un mensaje educativo luego de que el usuario realiza una acción riesgosa, como enviar información privada en un formulario.

Las simulaciones de Phishing simulan… Phishing

La función principal de la simulación de Phishing es comportarse como un Phishing real.

Sin embargo, muchas personas esperan algo diferente. Por ejemplo, que las campañas duren un mes, que engañen a la mayor cantidad de usuarios posibles, o que los correos de simulación no sean detectados por tecnologías de seguridad.

Esta expectativa no es coherente con la realidad. Si deseamos simular una trampa de Phishing, ésta debe comportarse como un Phishing real.

¿Qué nos interesa medir?

El fin último de una simulación de Phishing es medir el comportamiento de los usuarios para conocer el nivel de riesgo de la organización.

¿Por qué destacamos este punto? Principalmente, porque si deseamos saber cómo se comportarían nuestros usuarios frente a un ataque real, debemos asegurarnos de que el universo de usuarios que queremos evaluar reciba el correo de Phishing.

Frecuentemente, los responsables de seguridad o IT, esperan que las simulaciones lleguen a la casilla del usuario sorteando todas las barreras tecnológicas de la organización, sin realizar ningún tipo de proceso de Whitelist. Esto a veces sucede, a veces no (como los Phishing reales), pero lo único que conseguimos con este enfoque es obtener un resultado incorrecto acerca del nivel de riesgo de nuestros usuarios.

Una simulación de Phishing no se utiliza para medir si funcionan las herramientas de seguridad de la organización. Se utiliza para medir el comportamiento, conductas y acciones de las personas. Por ese motivo, destacamos la importancia de configurar las Whitelists correspondientes para que se pueda medir lo que hay que medir.

Whitelist y SPAM

El proceso de Whitelist se encuentra entre los pasos a tener en cuenta a la hora de crear las primeras campañas de simulación de Phishing.

Uno de los objetivos de la Whitelist es que el correo de Phishing llegue directamente a la bandeja de entrada del usuario, y no caiga en SPAM.

También se utiliza para evitar que las herramientas de seguridad interactúen con los correos de la simulación generando estadísticas en nombre de los usuarios, una situación muy común.

Puntualmente, lo que sucede es que los correos de simulación de Phishing contienen enlaces únicos, que identifican de manera unívoca a un usuario dentro de una campaña, y sirven para detectar las interacciones que dicho usuario realiza, y por lo tanto, medir su comportamiento.

Sin un proceso de Whitelist adecuado, las herramientas de seguridad consultan estos enlaces, una o más veces, generando así interacciones falsas en nombre del usuario al cual iba dirigida la simulación.

En definitiva, impiden la medición del comportamiento del usuario, que es el objetivo de la simulación.

Un proceso correcto de Whitelist de los dominios e IP a utilizar en las simulaciones de Phishing nos permitirá obtener un resultado limpio y útil de nuestras simulaciones.

Campañas de prueba

Para conocer si nuestro proceso de Whitelist se encuentra funcionando correctamente y hemos considerado todas las herramientas pertinentes, debemos realizar campañas de simulación de Phishing de prueba. Este tipo de campañas no deben afectar las estadísticas de nuestro programa de concientización, y nos permiten evaluar que todo esté en orden antes de lanzar nuestra campaña real.

Las campañas de prueba son una buena práctica a tener en cuenta antes de lanzar cada campaña de simulación de Phishing. No basta con hacerlo una única vez luego de implementar las listas blancas ya que es muy frecuente que las herramientas de seguridad se actualicen, se modifiquen, se añadan o se remuevan. Esta situación tiene el potencial de arruinar una campaña completa. Y lo hace.

Por eso recomendamos realizar campañas de prueba al momento de evaluar qué escenario de simulación de Phishing enviar y el día anterior a la simulación.

Otras advertencias de seguridad

Implementado el Whitelist en todos los sistemas correspondientes y en el cliente de correo, los usuarios reciben las simulaciones en su bandeja de entrada en la mayoría de los casos.

Llegado este punto, puede ocurrir la siguiente situación: al abrir el correo electrónico de Phishing simulado, encuentran una advertencia de seguridad que indica que el mensaje es sospechoso.

Este tipo de advertencias son independientes de la herramienta de simulación utilizada. Su presencia se ve condicionada por:

• El cliente de correo electrónico
• Las opciones de configuración de Whitelist que éste provea
• Las configuraciones de cada usuario en particular sobre el cliente de correo y las acciones que el usuario realiza particularmente sobre los correos, como por ejemplo marcar como SPAM determinado remitente.
• El resultado del análisis que las herramientas de seguridad hagan sobre el correo, incluyendo:
• El contenido de los campos FROM, CC, CCO, Reply To, y otros headers del correo electrónico como el Return-Path
• El resultado de la validación del correo electrónico contra protocolos de seguridad como SPF, DKIM y DMARC
• Las palabras o expresiones utilizadas en el asunto o el cuerpo del correo
• La presencia o ausencia de enlaces, su reputación y características, como por ejemplo, si se encuentran acortados o no
• La presencia o ausencia de archivos adjuntos, su nombre, su extensión y su contenido
• La presencia o ausencia de imágenes en el correo, su relación con organizaciones reconocidas, las URL que referencian, etc.

¿Cómo quitar estas advertencias?

Este tipo de advertencias de seguridad no son un bug, ni un mal funcionamiento, ni un error de las soluciones de simulación de Phishing, sino el resultado de la interacción de éstas con otras tecnologías de protección contra la Ingeniería Social. No pueden evitarse al 100%, ya que eso depende de la evolución y los ajustes específicos de las herramientas de ataque y defensa.

Lo más habitual es que el cliente de correo no provea un método directo para quitarlas, y por tal motivo, la recomendación es mantenerlas porque no podemos controlar cuándo o cómo se muestran a algunos usuarios. Su presencia depende del análisis de una cantidad muy amplia de factores siempre cambiantes. En la práctica se puede observar que, incluso dentro de una organización, un mismo usuario sobre un mismo correo electrónico a veces puede ver una advertencia de seguridad y a veces no.

En definitiva, estas advertencias están presentes porque estamos simulando un Phishing real, y es por lo tanto correcto medir el comportamiento de nuestros usuarios en este escenario.

Consideraciones finales

Las simulaciones de Phishing son una herramienta esencial frente a la realidad actual, donde el Phishing ocupa el lugar principal en todos los reportes de ciberseguridad de la última década.

Medir el comportamiento de nuestros usuarios y llevar adelante acciones para tender hacia una cultura segura es el camino correcto a seguir para abordar este riesgo y disminuir tanto su probabilidad de ocurrencia como su impacto.

Entender cómo esta técnica de medición interactúa con otras tecnologías es clave para poder mantener el foco en lo relevante: la evolución de los hábitos de los usuarios.

Leer Más

Buena, segura y ¿barata?: Sincronización con Microsoft Azure Active Directory en plataformas SaaS

Tiempo atrás publicamos un post hablando sobre cómo utilizar Microsoft Azure Active Directory (a partir de ahora, Azure AD) para afrontar el problema del control de accesos de usuarios a aplicaciones o recursos dentro de una organización.

Actualmente nos encontramos con diferentes métodos para integrar plataformas en la nube con Azure AD, las cuales analizaremos a continuación.

El viejo e inseguro método del archivo ejecutable

Muchas plataformas SaaS brindan un archivo ejecutable que permite realizar la sincronización de usuarios con Azure AD. Este método podría ser considerado como legacy en la mayoría de los casos, y tiene algunos puntos importantes a considerar:

• Debemos confiar en un archivo ejecutable que no sabemos con certeza qué hace
• Debemos ingresar distintas credenciales y claves de aplicación durante el proceso de instalación
• Existe la posibilidad de que manipulen las credenciales de los usuarios finales y se vean comprometidas

Por estos motivos, actualmente no se recomienda seguir este método.

El método seguro, pero costoso: SCIM

Como indica la RFC 7644, SCIM es un estándar para automatizar el intercambio de información de identidad de usuarios entre sistemas informáticos.

Se trata de un método seguro pero costoso a la vez, ya que para sincronizar grupos y membresías de grupos, se necesita una suscripción a Azure Active Directory Premium P1 o P2.

Por este motivo, no es una opción viable para muchas organizaciones, y su adopción no termina de ser completa.

El método seguro y gratis: Microsoft Graph

Microsoft Graph es una alternativa escalable y segura, creada y provista por el mismo Microsoft que se ajusta a la perfección con Azure AD, incluso con licencias gratuitas.

Se trata de la puerta de entrada a los datos y la inteligencia en Microsoft 365. Proporciona un modelo estandarizado que permite acceder a los datos de diferentes sistemas de Microsoft.

Conclusiones

Por todas sus ventajas, Microsoft Graph es la alternativa segura y accesible para todas las organizaciones, es por eso que fue seleccionada por SMARTFENSE para la sincronización y autenticación de usuarios a través de Azure AD.

¿Con qué método sincroniza actualmente los usuarios de su organización con sus aplicaciones SaaS?

En próximos posts, hablaremos sobre las recomendaciones a tener en cuenta para estructurar su directorio activo de manera de obtener el mejor resultado a la hora de sincronizar sus usuarios con una plataforma SaaS.

Leer Más

La amenaza del Shadow IT

El Shadow IT es un problema al que se enfrentan todas las empresas del mundo y que puede suponer una amenaza más importante de la que aparenta ser. Cada empresa proporciona sus equipos y programas a sus colaboradores pero muchos de ellos, además, descargan e instalan otros programas que no están supervisados por el departamento de IT.  Según IBM Security, un tercio de los trabajadores comparten y suben datos corporativos a herramientas externas de la organización. Ahí es cuando aparece el Shadow IT o el IT en la sombra, principalmente a causa de aplicaciones de almacenamiento en la nube, redes no permitidas, ordenadores no controlados o aplicaciones de terceros tipos SaaS. Aproximadamente un 82% de las empresas, desconocen la totalidad de las aplicaciones utilizadas por sus trabajadores en su día a día.

Las consecuencias del Shadow IT para las organizaciones

Con el teletrabajo, los usuarios han debido utilizar dispositivos propios que no estaban supervisados por la empresa y han podido entrar en aplicaciones de terceros no controladas. Cabe destacar, que solo el 7% de las aplicaciones SaaS gratuitas de Internet cumplen con los estándares mínimos de seguridad por lo que las personas que las utilizan exponen a la organización sin saberlo.

Los bancos y las compañías de seguros son las organizaciones que mayor riesgo corren con el Shadow IT ya que, por ejemplo, no pueden enviar información sensible a través de plataformas como WeTransfer. Esta aplicación es una de las herramientas más utilizadas para la transferencia de archivos, pero lo que muchas personas pasan por alto es que todo lo que se envía queda publicado en la nube. La información queda totalmente accesible. Esta circunstancia puede provocar a las empresas y en particular al CISO, un rompecabezas para encontrar el origen de la fuga de información. Según estudios, aproximadamente las pérdidas anuales a causa del Shadow IT son de 1,7 billones de dólares.  

¿Cómo enfrentarlo? Buenas prácticas

Para evitar el Shadow IT existen buenas prácticas que el CISO puede aportar a la empresa, como identificación y monitoreo de todos los dispositivos y herramientas que los empleados vayan a utilizar. De esta manera, no solo se evita al máximo que pueda haber Shadow IT sino que en caso que lo haya, será más fácil encontrar el origen. No es tarea fácil pero sí necesaria.

Después, deberá seguir el análisis de riesgo y adecuación, es decir analizar las herramientas que tienen a su disposición los colaboradores y valorar si son las adecuadas. En caso de que no lo sean, buscar nuevas herramientas válidas acorde a la estrategia de IT y ciberseguridad. 

Además, es primordial concienciar a todos los trabajadores de manera continua, acerca de la importancia de la seguridad de la información. El error humano es cada vez más corriente en el mundo digital, pero también es subsanable con acciones de concienciación. Los usuarios son parte de la solución.

Cómo transferir archivos de manera segura

Para evitar que sus usuarios utilicen alternativas poco seguras para la transferencia de archivos, bríndeles una herramienta con políticas avanzadas de seguridad que cumpla con la regulación GDPR como Tranxfer.

Disfrute de un free trial totalmente gratuito en www.tranxfer.com

Fuentes

https://www.bbva.com/es/sin-wetransfer-otros-programas-gratis-no-trabajas

https://www.itdigitalsecurity.es/vulnerabilidades/2018/02/los-riesgos-del-shadow-it-para-las-empresas-de-servicios-financieros

https://www.elecelegal.com/es-seguro-usar-wetransfer-para-compartir-archivos

https://www.pandasecurity.com/es/mediacenter/seguridad/shadow-it/

Leer Más

¡Apunten hacia España! Las compañías carecen de una cultura de ciberseguridad

Según un estudio realizado por el área de Cyber Risk Culture (CRC) de PwC España entre junio y septiembre de 2020, el nivel de cultura de ciberseguridad en las compañías de España se sitúa en 2,8 puntos sobre un rango de valores de 1 a 5.

Qué es la cultura de ciberseguridad

La Agencia Europea de Seguridad de las Redes y de la Información (en inglés, «European Union Agency for Network and Information Security», ENISA), define la cultura de la seguridad de las organizaciones como el conjunto de conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la seguridad cibernética y la forma en que se manifiestan en su comportamiento con las tecnologías de la información.

Hasta ahora, las empresas y organizaciones habían dirigido sus acciones y esfuerzos a las medidas técnicas y acciones de concienciación aisladas, pero esto no es suficiente ante la realidad actual. De acuerdo con PwC, alrededor del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o error. En este contexto, el desarrollo de una cultura de ciberseguridad es esencial para reducir los riesgos y ciberamenazas.

El estado de la cultura empresarial en España

El estudio realizado por PwC España involucró a 50 organizaciones en el ámbito nacional español a través de entrevistas a expertos, encuestas a responsables de ciberseguridad e investigación. La finalidad principal es conocer el estado en la cultura de ciberseguridad en el entorno empresarial en base a cuatro campos: estrategia, conocimiento, comportamiento, y perspectiva futura.  

Estrategia

Entre el 42% y el 48% de las organizaciones ya dispone de un rol o un comité ligado a la formación o concienciación en seguridad. No obstante, el 60% de las compañías no considera la seguridad como uno de sus valores principales o bien, no lo refleja claramente en sus políticas o prácticas generales.

Conocimiento

Muchas de las compañías ofrecen formación en ciberseguridad a sus empleados, así como ejercicios de simulación de ataques phishing o ransomware. Sin embargo, solo el 9% de las organizaciones disponen de un procedimiento para medir el conocimiento de los profesionales, lo que impide el establecimiento de planes de formación adecuados.

Comportamiento

El 84% de las organizaciones no puede medir el nivel de concienciación de los empleados; y el 70% tampoco mide el éxito de las campañas que realizan.

Por otro lado, el presupuesto medio aplicado a formación y concienciación equivale a un 9% del presupuesto total destinado a la seguridad de la información de la compañía.

Perspectiva futura

El 93% de los encuestados considera que la concienciación de los empleados es una medida muy relevante; y el 95% de las compañías ya disponen o tienen planificado generar un plan de concienciación para empleados.

Las principales conclusiones

De los resultados obtenidos, PwC España concluye que el nivel de cultura de ciberseguridad de media en las compañías de España se sitúa en un 2,8 sobre un rango de valores de 1 a 5. Esto significa que en el sector empresarial español:

• No existe un plan estratégico de cultura y las iniciativas de concienciación se despliegan al azar.
• El programa de concienciación cuenta con un apoyo limitado por parte de la Alta Dirección, y solo se invierten los recursos mínimos para cumplir con las normativas.
• La concienciación en seguridad no ocupa un lugar destacado en la estrategia de la organización.
• De forma generalizada, no existe una persona nombrada responsable de la ejecución y desarrollo de los planes de cultura y concienciación.
• Se realizan formaciones de ciberseguridad de forma aislada, sin un refuerzo constante ni un alcance generalizado.
• Hay poca participación de otros departamentos, como el de recursos humanos, comunicación o formación.

Todo ello implica que el panorama de cultura en ciberseguridad actual a nivel empresarial en España es inmaduro, con un alto margen de mejora.

Cómo construir una cultura de ciberseguridad

Acciones de capacitación aisladas no son suficientes para lograr hábitos seguros. Para desarrollar una cultura de ciberseguridad es necesario:

• Generar un plan de formación y transformación cultural, con objetivos específicos en el tiempo.
• Hacer seguimientos de las acciones y sus resultados, proporcionando indicadores que permitan medir el impacto y la evolución.

Es necesario destacar que las organizaciones no deben hacer todo esto solas, ya que las plataformas de concienciación en Seguridad de la Información ofrecen contenidos, herramientas y reportes que facilitan las tareas y generan indicadores de forma automática. Pero aún más fácil y efectivo para el responsable de seguridad puede ser apoyarse en partners integradores, delegando los aspectos operativos y tácticos de la transformación cultural en manos de especialistas.

Fuente: https://recursos.bps.com.es/files/986/73.pdf 

Leer Más

El cuidado de la privacidad de los datos, misión de todos

Como cada año, SMARTFENSE renueva su compromiso de generar conciencia sobre la importancia de proteger los datos al convertirse en un campeón del Día de la Privacidad de Datos de 2021.

La iniciativa hace hincapié en cultivar la confianza con los clientes al adoptar marcos de privacidad y promover la transparencia en torno a las prácticas de recopilación de datos.

Un día para la conciencia

El Día de la Privacidad de los Datos es un esfuerzo global que se lleva a cabo anualmente el 28 de enero para la concientización sobre la importancia de la privacidad. Se destacan formas fáciles de proteger la información personal y se recuerda a las organizaciones que la privacidad es saludable para los negocios.

En este 2021 animamos a las personas a "ser dueñas de su privacidad" aprendiendo más sobre cómo proteger los datos valiosos que están en línea y alentamos a las empresas a "respetar la privacidad", ser responsables por el resguardo de la información personal y dar garantías sobre la recopilación y procesamiento de datos justos, relevantes y legítimos.

A medida que la tecnología evoluciona y la pandemia continúa influyendo en la forma en que los consumidores interactúan con las empresas en línea, las prácticas de recopilación de datos se vuelven cada vez más inevitables, por lo que es imperativo que las empresas actúen de manera responsable.

“En los últimos años, hemos visto el impacto de una mayor conciencia global en torno al abuso de los datos del consumidor, gracias a amplias medidas de privacidad como el Reglamento General de Protección de Datos (GDPR) y la California Privacy Rights Act (CPRA)”, dijo Kelvin Coleman, Director Ejecutivo de la Alianza Nacional de Seguridad Cibernética (National Cyber ​​Security Alliance, NCSA). "Y si bien el respaldo legislativo es clave para reforzar la responsabilidad por las malas prácticas de privacidad de datos, uno de los principales objetivos del Día de la Privacidad de Datos es crear conciencia entre las empresas sobre los beneficios de un enfoque ético de las medidas de privacidad de datos independientes de los límites legales".

Nuestra misión con los usuarios

La esencia de SMARTFENSE es la concientización de usuarios finales en la Seguridad de la Información. En este sentido, durante todo el mes estamos brindando consejos que promueven el uso responsable de la información personal en Internet y buenas prácticas con herramientas y aplicaciones en línea.

También lanzamos un Nuevo Newsletter exclusivo para clientes con información indispensable a la hora de navegar por la web.

Además, nuestro equipo genera nuevos contenidos periódicamente y actualiza los temas según las novedades en la materia.

Algunos consejos

La National Cyber ​​Security Alliance (NCSA) ofrece los siguientes consejos para ayudar a guiar a las personas y las empresas hacia mejores prácticas de privacidad de datos:

Para individuos

• La información personal es como el dinero: protéjala. La información personal, como el historial de compras, dirección IP o ubicación, tiene un valor inmenso para las empresas. Antes de compartir sus datos con ciertas empresas, considere la cantidad de información personal que solicitan y compare con los beneficios que pueda recibir a cambio.
• Controle sus aplicaciones. Muchas aplicaciones solicitan acceso a información personal, como ubicación geográfica, lista de contactos y álbum de fotos, antes de habilitar sus servicios. Tenga cuidado con quién obtiene esa información y desconfíe de las aplicaciones que requieren acceso a información que no es necesaria o relevante para los servicios que ofrecen. Elimine las aplicaciones no utilizadas en sus dispositivos conectados a Internet y confirme las actualizaciones para aquellas que estén en uso.
• Administre su configuración de privacidad. Configure los niveles de privacidad y seguridad en los servicios web y las aplicaciones que utiliza a su nivel de comodidad. Cada dispositivo, aplicación o navegador tiene diferentes funciones para limitar cómo y con quién comparte información. Revise la página Administre su configuración de privacidad de NCSA.

Para empresas

• Si lo recolecta, protéjalo. Las filtraciones de datos no solo pueden provocar una gran pérdida financiera, sino también una pérdida de reputación y confianza del cliente. Siga las medidas de seguridad para mantener la información personal de las personas a salvo del acceso inapropiado y no autorizado. Asegúrese de que los datos personales se procesen de manera justa y solo se recopilen para fines relevantes y legítimos.
• Considere adoptar un marco de privacidad. Construya la privacidad en su negocio investigando y adoptando un marco de privacidad que ayude a administrar el riesgo y crear una cultura de privacidad en su organización.
• Realice una evaluación de sus prácticas de recopilación de datos. Comprenda qué leyes y regulaciones de privacidad aplican en su negocio. Eduque a sus empleados sobre sus obligaciones para proteger la información personal.
• Sea abierto y honesto acerca de cómo recopila, usa y comparte la información personal de sus clientes. La transparencia genera confianza. Comunique al público de manera clara y concisa qué significa la privacidad para su organización y los pasos que sigue para garantizar y mantener la privacidad.
• Supervise a socios y proveedores. Si alguien brinda servicios en su nombre, también eres responsable de cómo recopilan y utilizan la información personal de sus consumidores.

Conclusiones

La privacidad cobra mayor importancia cada día a medida que la tecnología, implacable, va conectando todo a Internet. Los esfuerzos por concientizar acerca del cuidado de los datos privados son entonces, fundamentales. Aprovechemos esta iniciativa mundial para promover un uso de Internet más seguro en casa, en el trabajo y en todos los ámbitos.

Para obtener más información sobre el Día de la Privacidad de los Datos 2021, visite https://staysafeonline.org/data-privacy-day/.

Leer Más