lunes, 19 de julio de 2021

Ataques BEC y EAC: ¿Cuáles son las diferencias y cómo protegernos?

Ataques BEC y EAC: ¿Cuáles son las diferencias y cómo protegernos?


Diferentes, pero no tanto

Para empezar, debemos aclarar que los ataques BEC (Business Email Compromise, por sus siglas en inglés) y los ataques EAC (Email Account Compromise) tienen igual objetivo: Ganar dinero o robar información confidencial.

Tanto uno como otro se basan en ingeniería social, aprovechando que es mucho más sencillo engañar a una persona desinformada que saltar las barreras tecnológicas de seguridad de una organización. A ello se suma la realidad de muchas compañías que aún no asumen las crecientes amenazas y por lo tanto, no fortalecen la capa humana, la barrera más importante de defensa.

De los ataques BEC y EAC se derivó por ejemplo, el famoso Fraude del CEO: un ataque de ingeniería social, donde los ciberdelincuentes suplantan la identidad de un alto ejecutivo mediante correo electrónico. El fin más común es lograr que la víctima del engaño envíe dinero a una cuenta fraudulenta.

Entonces, si el objetivo es el mismo, ¿qué diferencia a estos dos ataques? El proceso de suplantación de identidad.

Ataques BEC (Business Email Compromise)

Los ciberdelincuentes utilizan diversas técnicas para hacerse pasar por otra persona, por ejemplo:

Es importante destacar que los ciberdelincuentes no obtienen acceso a la cuenta de email que desean suplantar sino que, a través de estas técnicas, envían correos en su nombre.

Ataques EAC (Email Account Compromise)

Los ciberdelincuentes comprometen la cuenta de correo de su víctima utilizando diversas técnicas:

Este tipo de ataque es más sofisticado. La ventaja para el ciberdelincuente es el acceso a toda la información que su víctima posee en su correo electrónico:
  • Historial de correos y destinatarios comunes
  • Archivos adjuntos enviados y recibidos
  • Firma
  • Configuraciones

El sólo hecho de comprometer la cuenta de su víctima, como puede verse, es para los atacantes una mina de oro.

Pero muchos no se conforman con esto, sino que además se aseguran de mantener el acceso a la cuenta en el tiempo, creando reglas de reenvío de correos o cambiando los permisos. Así, monitorean de manera cercana a su víctima y pueden realizar una inteligencia certera de la organización.

Con este conocimiento y capacidad de acceso, pueden intervenir en cualquier conversación y enviar correos realmente convincentes en nombre de la víctima en el momento más adecuado, y lograr así sus objetivos.

Cómo protegernos

Como siempre proclamamos, la mejor manera de enfrentar un riesgo es mediante una estrategia de seguridad en capas.

Por un lado, necesitamos de las medidas técnicas necesarias para proteger los dominios de nuestra organización de ser suplantados, realizar hardening de nuestros servidores de correo y disponer de herramientas tecnológicas que nos ayuden a detectar las distintas técnicas de intrusión de los ciberdelincuentes.

Por otro lado, debemos desarrollar un plan de concientización de los usuarios, generando compromiso e involucramiento en la seguridad de la información mediante contenidos significativos para su vida personal y profesional.

Al tener sus cimientos en la Ingeniería Social, un gran porcentaje de los ataques BEC o EAC eluden con éxito a las herramientas tecnológicas de seguridad, o directamente ocurren fuera del dominio de éstas, a través de correo personal, aplicaciones de mensajería o llamados telefónicos.

Un usuario concientizado respecto a este tipo de ataques, estará atento y podrá detectarlos, reportarlos y prevenir convertirse en víctima de los ciberdelincuentes. Las personas se convierten en el arma más importante contra la ingeniería social.

Al incluir al usuario final en la estrategia de seguridad, estaremos realizando además una inversión transversal que actúa sobre todos los niveles de nuestras organizaciones y sus beneficios pueden medirse de manera objetiva y sin esfuerzo, mediante las herramientas apropiadas.

Reflexiones finales

Existen muchos reportes donde se pueden apreciar las grandes pérdidas financieras producto del BEC y EAC. Además, en la última década, todos los informes de ciberseguridad señalan al Phishing como la principal puerta de entrada de los ciberdelincuentes a nuestras organizaciones.

Si no eres del grupo de personas que confía en alcanzar la seguridad al 100% mediante soluciones tecnológicas, ¿crees que tus usuarios ya están preparados para evitar un compromiso de sus cuentas? ¿Consideras que podrían reconocer un ataque de este estilo?
Leer Más

jueves, 1 de julio de 2021

Cómo alojar un Phishing en los servidores de Google

Cómo alojar un Phishing en los servidores de Google



Esta no es una primicia. No es la primera vez que los servicios de Google se utilizan para enviar trampas de Phishing de gran calidad a los usuarios de nuestra organización.

En este artículo analizaremos un nuevo ejemplo, donde Google facilita al ciberdelincuente los pasos técnicos más engorrosos del Phishing, dejando el engaño servido en bandeja de plata (o en un dominio con reputación intachable).

Paso a paso para hostear la trampa de Phishing

1. Elaborar y subir el código HTML

El primer paso que debe seguir el ciberdelincuente es generar el código HTML que desea alojar en Google Docs. Luego, debe subirlo como un archivo con extensión .html a su cuenta de Google Drive.

2. Publicar el sitio en Google Docs

Una vez cargado el archivo .html, debe hacer clic con el botón derecho sobre su ícono y abrirlo con Google Docs:


En Google Docs, debe seleccionar la opción Archivo > Publicar en la web:


Finalmente, tiene que seleccionar la opción Embed y Publicar:


3. Salir de pesca

Google ha realizado todo el trabajo duro. El ciberdelincuente ya tiene su sitio de Phishing hosteado en un dominio de gran reputación como el de Google Docs:


Sólo resta compartir la URL generada por Google a la víctima, y listo. ¡A pescar!

Implicancias

Un ciberdelincuente que siga estos pasos tiene el poder de clonar con facilidad la imagen de cualquier organización mediante contenido web de alta calidad.

A su vez, puede alojar este contenido de manera gratuita en los servidores de Google, en el dominio de docs.google.com, el cual goza de gran reputación y rara vez estará incluido en una lista negra. Bueno, es prácticamente imposible que lo esté.

Lo anterior significa también que las herramientas tecnológicas antiphishing no detectarán un enlace generado con este procedimiento como malicioso, y llegará sin problemas hasta la bandeja de entrada del usuario final.

Esto demuestra, una vez más, que los ataques evolucionan, los ciberdelincuentes son muy creativos, y en el 2021, ya no podemos depender únicamente de herramientas tecnológicas para combatir la ingeniería social. Por eso insistimos en la necesidad de invertir en el hardening de usuarios.
Leer Más

martes, 29 de junio de 2021

¡Deja ya de hacer Simulaciones de Phishing! ¿En serio?

¡Deja ya de hacer Simulaciones de Phishing! ¿En serio?



Días atrás encontré un artículo que reunía en un solo lugar los argumentos más comunes contra las simulaciones de Phishing.

Parafraseando, decía más o menos así:

“Las Simulaciones de Phishing no sirven para concientizar a los usuarios, y únicamente los pone en contra del Área de Seguridad, ya que se sienten engañados. Por este motivo, los usuarios saltean las medidas que tomamos y no reportan incidentes. Además, por más que haga Simulaciones de Phishing, nunca alcanzo a una métrica de cero clics, y los usuarios seguro pasan 1 segundo en los momentos educativos. Mejor invertir el tiempo en configurar herramientas tecnológicas. Al fin y al cabo, con ellas se puede incluso calcular el retorno de inversión.”


Uno a uno, destrucción de los argumentos contra las Simulaciones de Phishing

Propongo desmenuzar juntos cada uno de los argumentos y revisar por qué no son válidos argumentando de manera objetiva cada punto.

Argumento: Las Simulaciones de Phishing no sirven para concientizar a los usuarios

Las Simulaciones de Phishing tienen diferentes propósitos, todos ellos complementarios entre sí:

Para lograr este último objetivo, se utilizan las Simulaciones de Phishing en conjunto con Momentos Educativos. Esta herramienta convierte a las simulaciones no sólo en una manera de concientizar, sino que permite detenernos a pensar en el mejor momento posible, cuando la probabilidad de aprendizaje y asimilación de un contenido por parte de los usuarios es más alta.

Argumento: Las Simulaciones de Phishing únicamente pone a los usuarios en contra del Área de Seguridad. Por este motivo, saltean las medidas que tomamos y no reportan incidentes.

Y claro. Si sólo lanzamos Simulaciones de Phishing sin dar ningún tipo de feedback a nuestros usuarios, o si damos feedback negativo destacando lo que el usuario hizo mal, lo que menos vamos a generar es una buena imagen del Área de Seguridad. Eso va a contribuir a una respuesta cada vez más pobre frente a las medidas del área. Tengamos un poco de sentido común ;).

¿Es esto culpa de las Simulaciones de Phishing? No, es culpa de que no sabemos usarlas. Seguramente la imagen del área no dependa únicamente de las simulaciones, ¿no?. De hecho, es gracias a las herramientas de concientización que esta imagen puede mejorarse, y esa mejora puede medirse de manera objetiva.

Argumento: Además, por más que haga Simulaciones de Phishing, nunca alcanzo a una métrica de cero clics.

¿Todavía crees en la seguridad al 100%?


Si es así, entonces no tenemos claro por qué simular, o bien, será que elegimos cerrar los ojos frente a la realidad. Y posiblemente, tengamos deseos o expectativas que no los pueda cumplir ni Papá Noel:


Argumento: Los usuarios seguro pasan 1 segundo en los momentos educativos.

Siempre es fácil suponer y hablar sin saber. Muchas veces, quienes enuncian estas afirmaciones nunca realizaron una medición y se basan sólo en su “infalible” olfato.

Por suerte para ellos, existen herramientas que presentan a los usuarios Momentos Educativos con preguntas de validación de lectura, que en lugar de medir cuánto tiempo dedica el usuario mirando un contenido, miden lo que realmente importa: si el usuario comprendió el mensaje.

Argumento: Mejor invertir el tiempo en configurar herramientas tecnológicas. Además, con ellas se puede calcular el retorno de inversión.

Sentencia común de quien cree en la seguridad al 100%: se apoya únicamente en herramientas tecnológicas y desconfía del usuario.

El argumento se cae a pedazos leyendo cualquier informe de ciberseguridad de la última década. En todos ellos, el Phishing se menciona como la puerta de entrada de más del 90% de los ciberataques. Si las herramientas tecnológicas realmente brindasen el nivel de seguridad que algunos creen que brindan, la estadística sería otra.

Además, en el año 2021, ya debemos tener claro que la seguridad se debe implementar en capas, y que depender sólo de una de ellas, al día de hoy es una irresponsabilidad.

Por último, la capa humana es esencial frente a los ataques de ingeniería social, los cuales suceden muchas veces fuera del perímetro de nuestra organización, en dispositivos personales de nuestros usuarios, y de maneras muy creativas.

El retorno de inversión, por otro lado, puede medirse de manera objetiva y expresarse en informes claros con indicadores gerenciales, respaldados por registros de auditoría inalterables.

Ideas finales

Eventualmente se pueden encontrar argumentos en contra de las Simulaciones de Phishing, que clasifican a esta herramienta como la causa de distintos males que enfrenta el Área de Seguridad. La realidad demuestra que la causa de estos males es en realidad producto de actitudes y conductas internas al área, y del desconocimiento sobre el uso correcto de las herramientas de simulación.

Esto no es únicamente una afirmación de SMARTFENSE. La publicación de Linkedin que motivó este post, tiene decenas de comentarios de responsables de seguridad con experiencia, que indican claramente al autor que su enfoque está lejos de ser correcto.



Leer Más

lunes, 14 de junio de 2021

OSINT para el bien y para el mal

OSINT para el bien y para el mal



Gran parte de nosotros (por no decir todos) utilizamos varios servicios en Internet y de seguro en algún momento compartimos, directa o indirectamente, distinto tipo información personal, como por ejemplo: lugares visitados, fotos, comentarios relacionados a afiliaciones religiosas o políticas, gustos, hobbies, entre tantos otros detalles. Toda esta información no siempre es utilizada con buenas intenciones. Sin ir más lejos, actualmente es más común de lo que pensamos advertir a ciberdelincuentes utilizando técnicas y herramientas de OSINT previo a un ataque de Ransomware. De esta manera, se aseguran un gran porcentaje de éxito sobre las organizaciones víctimas.

¿Qué es OSINT?

Antes de continuar, vamos a precisar el concepto de OSINT (Open Source Intelligence). Podemos definirlo como una disciplina encargada de la adquisición de información desde fuentes abiertas (públicas) para su posterior procesamiento, análisis y aplicación de inteligencia con un objetivo en concreto, como por ejemplo:
  • Investigaciones judiciales (por injurias, amenazas, extorsiones, etc.)
  • Seguridad pública
  • Monitoreo de amenazas
  • Monitoreo de eventos públicos
  • Investigaciones corporativas
  • Protección de ejecutivos
  • Reputación empresarial
  • Análisis de fraudes
  • Seguridad financiera
  • Inteligencia competitiva
  • Marketing
  • Recursos Humanos (por ejemplo, para estudios previos a la contratación de una persona)

Fuentes abiertas, una definición no tan certera

Es muy importante comprender lo que se define por “fuentes abiertas”, ya que aquí podemos encontrar diferencias entre algunos autores. En nuestro caso, concebimos las fuentes abiertas como todas aquellas fuentes a las que se pueda acceder sin ningún tipo de restricción y cuya información esté disponible públicamente.

Sin embargo (y es aquí donde muchas veces se generan discusiones y distintos puntos de vista), puede darse la situación donde sea posible acceder a información sin ningún tipo de restricción, pero la misma fue “publicada” de una manera ilegal, ilegítima y sin el consentimiento de la fuente original (por ejemplo: tarjetas de crédito, credenciales, datos personales, etc), como así también por errores u omisiones de configuración (por ejemplo: cámaras abiertas, archivos compartidos, computadoras accesibles sin restricción, etc).

A continuación presentamos algunos ejemplos de fuentes abiertas (públicas):
  • Medios de comunicación (diarios, revistas, televisión, etc)
  • Información gubernamental
  • Información financiera (pública)
  • Redes sociales, foros, etc
  • Eventos, papers y otras publicaciones institucionales

Los Selectores, claves en la búsqueda de información en fuentes abiertas

Si bien es habitual que una búsqueda lleve a resultados exitosos, el tiempo dedicado a esta tarea (así como la cantidad y diversidad de fuentes consultadas), suele ser uno de los factores determinantes: a mayor tiempo asignado, mayor posibilidad de ejecutar un “mapeo” consistente, y mayor cobertura de las distintas fuentes.

Toda búsqueda de información en fuentes abiertas suele iniciarse a partir del conocimiento de una o varias “claves de búsqueda”, que llamaremos “Selectores”:

Los Selectores Comunes pueden ser:
  • Nombre
  • Correo
  • Alias/Nick
  • Número de teléfono
  • Empresa
  • Documento de Identidad

Los Selectores Complejos pueden ser:
  • Foto
  • Video
  • Evento

Fases del ciclo OSINT

Hoy en día, podemos encontrar muchos sitios y herramientas. Si bien a simple vista esto puede parecer una ventaja, también puede llegar a ser una desventaja si no se lleva adelante un correcto orden.

Para poder realizar una tarea en forma metódica y ordenada, es importante respetar cada una de las fases que involucra el ciclo de OSINT:
  • Requisitos: definición de requisitos y objetivos concretos.
  • Fuentes de información: definición de las fuentes de información como así también los medios, recursos y herramientas a utilizar.
  • Adquisición: recolección y almacenamiento de la información.
  • Procesamiento: formato a la información obtenida, y preparación para su posterior análisis.
  • Análisis: análisis de la información recopilada y su procesamiento aplicando inteligencia, según el objetivo en concreto.
  • Presentación de inteligencia: generación de un informe comprensible, alineado con el objetivo del proyecto.

Los flujos de trabajo

Para realizar una tarea en forma metódica y ordenada, y por consecuencia, aumentar la probabilidad de éxito, es importante basarse en flujos de trabajo, partiendo desde un selector específico y recorriendo diferentes fuentes, para llegar a obtener más selectores y datos valiosos.

A modo de ejemplo, aquí vamos a presentar dos flujos de trabajo , desarrollados por Michael Bazzell (https://inteltechniques.com), uno de los máximos referentes en OSINT. Para una mejor comprensión, utilizaremos los documentos adaptados al español por Julián GL en su blog Ciberpatrulla (https://ciberpatrulla.com).


Flujo de trabajo “Nombre Real”



Flujo de trabajo “Nombre Usuario”



Caso de uso

Ahora que ya hicimos un breve repaso sobre los conceptos principales de OSINT, volvamos al ejemplo inicial. Supongamos que un grupo de ciberdelincuentes tienen como objetivo lanzar un ataque de Ransomware sobre la empresa donde trabajamos.

Para poder hacerlo, previamente necesitan hacerse de credenciales válidas que le permitan acceder a diferentes sistemas, las cuales pretenden obtener mediante campañas de Phishing enfocadas en determinados empleados. Sería una muy mala estrategia lanzar estas campañas con pretextos y escenarios genéricos, por lo cual, utilizarán técnicas y herramientas de OSINT para poder reconocer los objetivos y así, aumentar su eficacia. Una de las tareas más sencillas para poder saber quienes trabajan en una empresa determinada, podría ser una simple búsqueda en Linkedin, tal como se puede apreciar en la siguiente imagen:


A esta altura, ya se podría comenzar a utilizar el flujo de trabajo “Nombre real”. De esta manera, sería posible (siempre dependiendo de la exposición de la persona), obtener algunos datos como:
  • Correo electrónico
  • Redes sociales
  • Alias/Nickname
  • Dirección
  • Teléfono
  • Familiares

Con estos datos en poder de los ciberdelincuentes, les será mucho más fácil armar un pretexto con un gran porcentaje de éxito.

Conclusión

Como demostramos a lo largo de este artículo, existen muchas fuentes desde donde se puede llegar a obtener información, pudiendo atentar contra la privacidad y la seguridad.

Es verdad que no siempre vamos a poder controlar lo que se publica sobre nosotros, ya que algunos sitios gubernamentales, datos bancarios y otros, escapan a nuestro control.

Pero en muchos casos sí podemos actuar, por ejemplo, en publicaciones y comentarios generados por nosotros mismos, en el uso de nuestro correo corporativo para sitios públicos, entre otros muchos ejemplos. Y es allí donde debemos hacer foco: es muy importante entender que la información existe, y solo concientizándonos y concientizando a nuestro entorno podremos cuidar nuestra privacidad, la de nuestra empresa y la de nuestra familia.


Emiliano Piscitelli
Founder & CEO BeyGoo
Leer Más

lunes, 31 de mayo de 2021

¿Por qué simular Ransomware?

¿Por qué simular Ransomware?


La Organización Europea de Ciberseguridad ECSO (European Cybersecurity Organization) propone el mes de mayo como el momento del año para reflexionar sobre el Ransomware.

Siendo este tipo de malware el más atractivo para los ciberdelincuentes por su alto rendimiento económico, esperar a que comprometan nuestra organización es demasiado arriesgado y hasta irresponsable.

Hay muchas formas de prevenir, o mejor dicho, de gestionar un ataque de Ransomware, que ya son conocidas: tener al día la estrategia de backup, definir una clara política de actualizaciones de seguridad, armar una defensa del perímetro incluyendo protección de casillas de email, e invertir en el factor humano mediante programas de awareness. De hecho, la guía de OWASP para evitar infecciones de Ransomware describe una lista de 22 procedimientos para gestionar este tipo de infecciones.

Pero cada una de esas medidas deben ser probadas a priori para saber si funcionan correctamente, por ejemplo:

  • hacer una prueba de recuperación de backups
  • verificar que los sistemas están actualizados en su última versión
  • hacer un pentest desde afuera de la organización
  • verificar que los sistemas se ejecutan con mínimos privilegios
  • testear los antivirus contra un Ransomware de última hora (¿lo haces?)
  • medir el comportamiento de los usuarios, es decir, conocer sus hábitos ante posibles ataques de Ransomware

Sobre este último punto trata el presente artículo. Pues en general, todas las demás medidas solo se pondrán a prueba en escenarios reales si algún usuario comete una negligencia que pone en riesgo a la organización.

¿Cómo ingresa el Ransomware en la organización?

Si buscamos en Internet sobre los métodos utilizados por los ciberdelincuentes para ingresar Ransomware en las organizaciones vamos a encontrar respuestas esquivas, incluso en casos muy populares como Wannacry. En ese caso todavía no se sabe a ciencia cierta qué pasó, pero las 3 especulaciones más fuertes son:

  • una campaña clásica de ingeniería social vía email,
  • equipos expuestos por SMB (puerto 445) a Internet directamente,
  • USB o ejecución directa de un binario malicioso.

Si buscamos para otros casos, también vamos a encontrar que los análisis suponen que el Ransomware estaba dentro de la organización y pudo reproducirse utilizando alguna vulnerabilidad específica de la red corporativa. Llama la atención que se ahonde sobre esto último y no sobre el motivo por el cual superó las barreras de protección y logró colarse.

El caso Wannacry es memorable. Recuerdo haberme preguntado “¿Por qué motivo una organización tan grande tendría un puerto como el SMB expuesto a internet?”. La respuesta oficial nunca llegó, pero tampoco se negó que ese puerto pudiera haber estado allí disponible para ser vulnerado.

También hubo otros ataques remotos que pudieron haber entrado por vulnerabilidades propias de software para acceso remoto (RDP por ejemplo). Y hablo en potencial porque si buscamos, volveremos a encontrar respuestas esquivas y nuevamente, foco en cómo se difundió en la organización.

Entonces, si bien podemos decir que los ataques remotos a vulnerabilidades son posibles, no se puede asegurar que ese sea el método principal de ingreso de Ransomware en la organización.

Los otros dos métodos son ataques directos al usuario final, sea por un email o un USB infectado. Si bien la respuesta que podemos encontrar en Internet tampoco es determinante, nosotros mismos podemos pensar cuál es el principal motivo por el cual los ataques de Ransomware siguen siendo tan efectivos, sobre todo en el ingreso.

Pensemos, ¿cuál de los tres métodos es el más usado por los ciberdelincuentes?:

  • ingeniería social vía email
  • ataque a un puerto expuesto vulnerable
  • infección por un USB

O mejor aún, si nosotros fuéramos el ciberdelincuente, ¿qué método utilizaríamos?:

  • uno que no requiera grandes conocimientos y sea fácilmente esparcible
  • uno que requiera conocimientos técnicos medios o altos, y que solo pueda ser aplicado a ciertas organizaciones descuidadas
  • uno que requiera presencia física en el lugar

Creo que la respuesta es bastante obvia.

¿Cómo evitar una infección de Ransomware?

Esa es otra pregunta que se responde normalmente con evasivas, y el foco principal reside en qué hacer una vez que algún equipo (o todos) ha sido infectado. Las medidas preventivas se repiten siempre:

  • mantener los sistemas actualizados
  • utilizar un software antimalware (si es anti Ransomware, mejor)
  • utilizar privilegios mínimos
  • proteger el perímetro
  • proteger las casillas de email
  • concienciar al usuario

Las primeras 5 prácticas son medidas técnicas que venimos escuchando desde los años 90. Sin embargo, no por conocidas han sido necesariamente aplicadas disciplinadamente, incluso en organizaciones con áreas de ciberseguridad muy grandes. No solo porque es difícil, costoso, aburrido y no siempre 100% efectivo, sino porque los sistemas son cada día más complejos y la interacción es tan grande, que incluso con personal, recursos y disciplina, se hace difícil de lograr y mantener en cualquier tamaño de organización.

La última medida, a pesar de que se podría asociar al usuario como el vector de ataque de Ransomware más probable, sigue teniendo una dedicación, inversión y foco bajo, comparativamente con las primeras recomendaciones.

Si suponemos que el vector principal de ataque es el usuario, ¿por qué no se invierte en su concientización?

Creo que muchos conocemos el chiste de aquel ebrio que busca las llaves en la luz, pero cuando le preguntan dónde se le cayeron dice que en otro lugar oscuro, pero  prefiere buscarlas en la luz porque las vería iluminadas. Salvando las diferencias, pienso que podemos establecer una analogía: para muchos informáticos a cargo de la ciberseguridad es más cómodo implementar herramientas tecnológicas, suponiendo que ellas servirán de barrera frente a todos los ataques.

Siendo que hay tanto por mejorar en tecnología, se invierte en más soluciones que gestionan el Ransomware desde el ataque, la contención y la eliminación. Lo paradójico es que, aún sabiendo que también hay que invertir en el fortalecimiento del usuario, esto sigue generando incomodidad y reticencia. En primer lugar, porque el factor humano no es software o hardware, ni tampoco controles agregados de procesos o legales. Tratar con las personas se piensa como un proceso más complejo.

Muchos responsables de ciberseguridad dicen abiertamente que no quieren gestionar el factor humano. Algunos son sinceros y expresan que no se sienten cómodos. Otros se excusan alegando que el comportamiento humano no va a cambiar y no vale la pena invertir en ello. Algunos otros que han trabajado durante mucho tiempo para mantener alejados a los usuarios lo más posible de su área, se abruman por solo pensar en mantener una comunicación bidireccional.

Afortunadamente, este enfoque está cambiando. Hoy es claro que las herramientas tecnológicas no son suficientes. El concepto de seguridad en capas empieza a comprenderse, y no solo el ciberdelincuente sabe que el vector de ataque más efectivo es el usuario (y va a seguir siéndolo hasta que no se invierta de forma constante y proporcionada en una estrategia integral).

Si decimos que el usuario es un punto de ingreso e infección de Ransomware, entonces deberíamos simular estos ataques en la organización.

¿Para qué simular Ransomware?

Muchos responsables de ciberseguridad o IT buscan plataformas de simulación de Phishing o Ransomware con el objetivo principal de medir el comportamiento de los usuarios frente a posibles ataques, y así conocer el nivel de riesgo de la organización.

¿Por qué destacamos este punto? Principalmente, porque si deseamos saber cómo se comportarían nuestros usuarios frente a un ataque real, debemos asegurarnos que las trampas simuladas se comporten como si fueran trampas verdaderas.

¿Cómo es un ataque de Ransomware simulado?

Las simulaciones de Ransomware (simulated Ransomware attack) deberían ser una práctica realizada mensualmente en cualquier organización, por el impacto y la alta probabilidad que implica este riesgo.

Una simulación de ataque de Ransomware, a diferencia de un ataque tradicional de Phishing, no busca medir la negligencia de un usuario al entregar información sensible sino si este tendría un comportamiento riesgoso a la hora de descargar y abrir archivos. Es decir, que ambos tipos de simulación comienzan por un ataque de ingeniería social, complementado con herramientas que permitan confundir al usuario (spoofing y certificados SSL válidos). La diferencia radica en la parte final, donde se demuestra si el usuario podría haber sido el vector de ataque que permite ingresar al Ransomware en la organización.

En una simulación de Ransomware no hay infección, sino que solo se miden los hábitos de los usuarios. El archivo ejecutado es inocuo, y lo que recibe el usuario  es un mensaje educativo que le permite saber el peligro que ha sorteado.

Y ahora sí entonces, ¿por qué simular Ransomware?

  • Porque es el ataque más popular por los ciberdelincuentes, en todas sus modalidades, por ser el ataque más redituable
  • Porque están creciendo enormemente los ataques de Ransomware y las condiciones son propicias para siga sucediendo
  • Porque el usuario es uno de los vectores de ataque preferidos
  • Porque si no estás simulando Ransomware, no estás gestionando ese riesgo
  • Porque no sabes por dónde entrará el próximo Ransomware

Todo esto no tiene por qué ser abrumador. Plataformas de concientización en Seguridad de la Información como SMARTFENSE ofrecen simulaciones integradas de Ransomware listas para usar. Además, los partners especializados en ciberseguridad pueden acompañar estos procesos organizacionales con herramientas, reportes y servicios especializados, facilitando la tarea de los CISO y responsables de área.

No quedan más excusas.

Leer Más

jueves, 20 de mayo de 2021

¿Tomas la pastilla azul? Simulando Phishing en la Matrix

¿Tomas la pastilla azul? Simulando Phishing en la Matrix


Los amantes de Matrix recordarán al personaje principal enfrentando una gran decisión. Por un lado, una pastilla azul: tomarla significa seguir viviendo en una fantasía. Por otro lado, una pastilla roja: tomarla significa enfrentar el mundo real.

Esta metáfora puede trasladarse a varios aspectos de nuestra vida personal o laboral, siendo uno de ellos las simulaciones de Phishing.

Quienes toman la pastilla azul - que lamentablemente son muchos - esperan comportamientos de las simulaciones de Phishing que únicamente pueden ocurrir en un mundo de fantasías. En resumidas cuentas, ellos desean que:

Por supuesto que las simulaciones con estas características no existen, y si se fuerzan, no son representativas de la realidad de nuestra organización. Arrojan como resultado un nivel de riesgo falso y no sirven para nada.

Quienes toman la pastilla roja asumen la realidad y los desafíos que implica simular Phishing, y se comprometen a lograr resultados útiles y reales, apoyados de Partners con experiencia y herramientas con trayectoria.

¿Quisieras conocer cómo lograr resultados reales y útiles en las campañas de simulación de Phishing? No lo dudes, y toma la pastilla roja.
Leer Más
¿Tomas la pastilla roja? Simulando Phishing fuera de la Matrix

¿Tomas la pastilla roja? Simulando Phishing fuera de la Matrix



El Phishing se combate con más Phishing. ¿Entonces? Las simulaciones deberían ser una práctica habitual y recurrente, planificada de manera rigurosa para analizar la probabilidad de que los usuarios de la organización caigan en este tipo de trampas de ingeniería social y, en consecuencia, planear acciones que tiendan a generar una cultura segura y disminuir tanto la ocurrencia de incidentes como su impacto.

Las simulaciones de Phishing deberían comportarse como un Phishing real. No obstante, las expectativas de los responsables de ciberseguridad muchas veces no condicen con la realidad.

Visualiza este webinar “Simulando Phishing fuera de la Matrix” y sabrás cómo superar los desafíos que presentan las simulaciones en entornos reales, para medir el comportamiento del usuario en forma precisa. Nuestro CEO Mauro Graziosi y nuestro Product Manager exponen toda la verdad, y nada más que la verdad.



Fuentes de referencia

Si quieres acceder a más información sobre simulaciones de Phishing, recomendaciones y guías paso a paso, visita nuestros artículos:

Leer Más

lunes, 12 de abril de 2021

¿Sabes realmente lo que es una simulación de Phishing? ¿Seguro?

¿Sabes realmente lo que es una simulación de Phishing? ¿Seguro?



¿Qué es una simulación de Phishing?


Muchos responsables de ciberseguridad o IT buscan plataformas de simulación de Phishing para analizar la factibilidad de que los usuarios de su organización caigan en trampas de ingeniería social. Sin embargo, en numerosas ocasiones debemos recordar cómo funcionan o de qué se tratan específicamente.

Una simulación replica el comportamiento de un ciberataque real, en los siguientes aspectos:

  • Duración de la campaña, usualmente un par de horas
  • Medio utilizado para entregar el ataque, generalmente vía email
  • Presencia de técnicas de ingeniería social en las cabeceras y cuerpo del mensaje
  • Uso de enlaces o archivos adjuntos
  • Uso de sitios web falsos, réplica de otros reales
  • Medición de las acciones del usuario, es decir, si abre el correo, si hace clic en un enlace, etc.

Pero existe una diferencia importante: una simulación no captura información sensible y es inocua para el usuario final o la organización.

Por lo general, los ataques reales de Phishing finalizan cuando el ciberdelincuente logra capturar, por ejemplo, las credenciales del usuario. En cambio, una simulación, puede mostrar un mensaje educativo luego de que el usuario realiza una acción riesgosa, como enviar información privada en un formulario.

Las simulaciones de Phishing simulan… Phishing

La función principal de la simulación de Phishing es comportarse como un Phishing real.

Sin embargo, muchas personas esperan algo diferente. Por ejemplo, que las campañas duren un mes, que engañen a la mayor cantidad de usuarios posibles, o que los correos de simulación no sean detectados por tecnologías de seguridad.

Esta expectativa no es coherente con la realidad. Si deseamos simular una trampa de Phishing, ésta debe comportarse como un Phishing real.


¿Qué nos interesa medir?

El fin último de una simulación de Phishing es medir el comportamiento de los usuarios para conocer el nivel de riesgo de la organización.

¿Por qué destacamos este punto? Principalmente, porque si deseamos saber cómo se comportarían nuestros usuarios frente a un ataque real, debemos asegurarnos de que el universo de usuarios que queremos evaluar reciba el correo de Phishing.

Frecuentemente, los responsables de seguridad o IT, esperan que las simulaciones lleguen a la casilla del usuario sorteando todas las barreras tecnológicas de la organización, sin realizar ningún tipo de proceso de Whitelist. Esto a veces sucede, a veces no (como los Phishing reales), pero lo único que conseguimos con este enfoque es obtener un resultado incorrecto acerca del nivel de riesgo de nuestros usuarios.

Una simulación de Phishing no se utiliza para medir si funcionan las herramientas de seguridad de la organización. Se utiliza para medir el comportamiento, conductas y acciones de las personas. Por ese motivo, destacamos la importancia de configurar las Whitelists correspondientes para que se pueda medir lo que hay que medir.

Whitelist y SPAM

El proceso de Whitelist se encuentra entre los pasos a tener en cuenta a la hora de crear las primeras campañas de simulación de Phishing.

Uno de los objetivos de la Whitelist es que el correo de Phishing llegue directamente a la bandeja de entrada del usuario, y no caiga en SPAM.




También se utiliza para evitar que las herramientas de seguridad interactúen con los correos de la simulación generando estadísticas en nombre de los usuarios, una situación muy común.

Puntualmente, lo que sucede es que los correos de simulación de Phishing contienen enlaces únicos, que identifican de manera unívoca a un usuario dentro de una campaña, y sirven para detectar las interacciones que dicho usuario realiza, y por lo tanto, medir su comportamiento.

Sin un proceso de Whitelist adecuado, las herramientas de seguridad consultan estos enlaces, una o más veces, generando así interacciones falsas en nombre del usuario al cual iba dirigida la simulación.

En definitiva, impiden la medición del comportamiento del usuario, que es el objetivo de la simulación.




Un proceso correcto de Whitelist de los dominios e IP a utilizar en las simulaciones de Phishing nos permitirá obtener un resultado limpio y útil de nuestras simulaciones.

Campañas de prueba

Para conocer si nuestro proceso de Whitelist se encuentra funcionando correctamente y hemos considerado todas las herramientas pertinentes, debemos realizar campañas de simulación de Phishing de prueba. Este tipo de campañas no deben afectar las estadísticas de nuestro programa de concientización, y nos permiten evaluar que todo esté en orden antes de lanzar nuestra campaña real.

Las campañas de prueba son una buena práctica a tener en cuenta antes de lanzar cada campaña de simulación de Phishing. No basta con hacerlo una única vez luego de implementar las listas blancas ya que es muy frecuente que las herramientas de seguridad se actualicen, se modifiquen, se añadan o se remuevan. Esta situación tiene el potencial de arruinar una campaña completa. Y lo hace.

Por eso recomendamos realizar campañas de prueba al momento de evaluar qué escenario de simulación de Phishing enviar y el día anterior a la simulación.

Otras advertencias de seguridad

Implementado el Whitelist en todos los sistemas correspondientes y en el cliente de correo, los usuarios reciben las simulaciones en su bandeja de entrada en la mayoría de los casos.

Llegado este punto, puede ocurrir la siguiente situación: al abrir el correo electrónico de Phishing simulado, encuentran una advertencia de seguridad que indica que el mensaje es sospechoso.


Este tipo de advertencias son independientes de la herramienta de simulación utilizada. Su presencia se ve condicionada por:

  • El cliente de correo electrónico
  • Las opciones de configuración de Whitelist que éste provea
  • Las configuraciones de cada usuario en particular sobre el cliente de correo y las acciones que el usuario realiza particularmente sobre los correos, como por ejemplo marcar como SPAM determinado remitente.
  • El resultado del análisis que las herramientas de seguridad hagan sobre el correo, incluyendo:
    • El contenido de los campos FROM, CC, CCO, Reply To, y otros headers del correo electrónico como el Return-Path
    • El resultado de la validación del correo electrónico contra protocolos de seguridad como SPF, DKIM y DMARC
    • Las palabras o expresiones utilizadas en el asunto o el cuerpo del correo
    • La presencia o ausencia de enlaces, su reputación y características, como por ejemplo, si se encuentran acortados o no
    • La presencia o ausencia de archivos adjuntos, su nombre, su extensión y su contenido
    • La presencia o ausencia de imágenes en el correo, su relación con organizaciones reconocidas, las URL que referencian, etc.

¿Cómo quitar estas advertencias?

Este tipo de advertencias de seguridad no son un bug, ni un mal funcionamiento, ni un error de las soluciones de simulación de Phishing, sino el resultado de la interacción de éstas con otras tecnologías de protección contra la Ingeniería Social. No pueden evitarse al 100%, ya que eso depende de la evolución y los ajustes específicos de las herramientas de ataque y defensa.

Lo más habitual es que el cliente de correo no provea un método directo para quitarlas, y por tal motivo, la recomendación es mantenerlas porque no podemos controlar cuándo o cómo se muestran a algunos usuarios. Su presencia depende del análisis de una cantidad muy amplia de factores siempre cambiantes. En la práctica se puede observar que, incluso dentro de una organización, un mismo usuario sobre un mismo correo electrónico a veces puede ver una advertencia de seguridad y a veces no.

En definitiva, estas advertencias están presentes porque estamos simulando un Phishing real, y es por lo tanto correcto medir el comportamiento de nuestros usuarios en este escenario.

Consideraciones finales

Las simulaciones de Phishing son una herramienta esencial frente a la realidad actual, donde el Phishing ocupa el lugar principal en todos los reportes de ciberseguridad de la última década.

Medir el comportamiento de nuestros usuarios y llevar adelante acciones para tender hacia una cultura segura es el camino correcto a seguir para abordar este riesgo y disminuir tanto su probabilidad de ocurrencia como su impacto.

Entender cómo esta técnica de medición interactúa con otras tecnologías es clave para poder mantener el foco en lo relevante: la evolución de los hábitos de los usuarios.
Leer Más

viernes, 26 de febrero de 2021

Buena, segura y ¿barata?: Sincronización con Microsoft Azure Active Directory en plataformas SaaS

Buena, segura y ¿barata?: Sincronización con Microsoft Azure Active Directory en plataformas SaaS


Tiempo atrás
publicamos un post hablando sobre cómo utilizar Microsoft Azure Active Directory (a partir de ahora, Azure AD) para afrontar el problema del control de accesos de usuarios a aplicaciones o recursos dentro de una organización.

Actualmente nos encontramos con diferentes métodos para integrar plataformas en la nube con Azure AD, las cuales analizaremos a continuación.

El viejo e inseguro método del archivo ejecutable

Muchas plataformas SaaS brindan un archivo ejecutable que permite realizar la sincronización de usuarios con Azure AD. Este método podría ser considerado como legacy en la mayoría de los casos, y tiene algunos puntos importantes a considerar:

  • Debemos confiar en un archivo ejecutable que no sabemos con certeza qué hace
  • Debemos ingresar distintas credenciales y claves de aplicación durante el proceso de instalación
  • Existe la posibilidad de que manipulen las credenciales de los usuarios finales y se vean comprometidas

Por estos motivos, actualmente no se recomienda seguir este método.

El método seguro, pero costoso: SCIM

Como indica la RFC 7644, SCIM es un estándar para automatizar el intercambio de información de identidad de usuarios entre sistemas informáticos.

Se trata de un método seguro pero costoso a la vez, ya que para sincronizar grupos y membresías de grupos, se necesita una suscripción a Azure Active Directory Premium P1 o P2.

Por este motivo, no es una opción viable para muchas organizaciones, y su adopción no termina de ser completa.

El método seguro y gratis: Microsoft Graph

Microsoft Graph es una alternativa escalable y segura, creada y provista por el mismo Microsoft que se ajusta a la perfección con Azure AD, incluso con licencias gratuitas.

Se trata de la puerta de entrada a los datos y la inteligencia en Microsoft 365. Proporciona un modelo estandarizado que permite acceder a los datos de diferentes sistemas de Microsoft.


Conclusiones

Por todas sus ventajas, Microsoft Graph es la alternativa segura y accesible para todas las organizaciones, es por eso que fue seleccionada por SMARTFENSE para la sincronización y autenticación de usuarios a través de Azure AD.

¿Con qué método sincroniza actualmente los usuarios de su organización con sus aplicaciones SaaS?

En próximos posts, hablaremos sobre las recomendaciones a tener en cuenta para estructurar su directorio activo de manera de obtener el mejor resultado a la hora de sincronizar sus usuarios con una plataforma SaaS.

Leer Más

lunes, 15 de febrero de 2021

La amenaza del Shadow IT

La amenaza del Shadow IT


El Shadow IT es un problema al que se enfrentan todas las empresas del mundo y que puede suponer una amenaza más importante de la que aparenta ser. Cada empresa proporciona sus equipos y programas a sus colaboradores pero muchos de ellos, además, descargan e instalan otros programas que no están supervisados por el departamento de IT.  Según IBM Security, un tercio de los trabajadores comparten y suben datos corporativos a herramientas externas de la organización. Ahí es cuando aparece el Shadow IT o el IT en la sombra, principalmente a causa de aplicaciones de almacenamiento en la nube, redes no permitidas, ordenadores no controlados o aplicaciones de terceros tipos SaaS. Aproximadamente un 82% de las empresas, desconocen la totalidad de las aplicaciones utilizadas por sus trabajadores en su día a día.

Las consecuencias del Shadow IT para las organizaciones

Con el teletrabajo, los usuarios han debido utilizar dispositivos propios que no estaban supervisados por la empresa y han podido entrar en aplicaciones de terceros no controladas. Cabe destacar, que solo el 7% de las aplicaciones SaaS gratuitas de Internet cumplen con los estándares mínimos de seguridad por lo que las personas que las utilizan exponen a la organización sin saberlo.

Los bancos y las compañías de seguros son las organizaciones que mayor riesgo corren con el Shadow IT ya que, por ejemplo, no pueden enviar información sensible a través de plataformas como WeTransfer. Esta aplicación es una de las herramientas más utilizadas para la transferencia de archivos, pero lo que muchas personas pasan por alto es que todo lo que se envía queda publicado en la nube. La información queda totalmente accesible. Esta circunstancia puede provocar a las empresas y en particular al CISO, un rompecabezas para encontrar el origen de la fuga de información. Según estudios, aproximadamente las pérdidas anuales a causa del Shadow IT son de 1,7 billones de dólares.  

¿Cómo enfrentarlo? Buenas prácticas

Para evitar el Shadow IT existen buenas prácticas que el CISO puede aportar a la empresa, como identificación y monitoreo de todos los dispositivos y herramientas que los empleados vayan a utilizar. De esta manera, no solo se evita al máximo que pueda haber Shadow IT sino que en caso que lo haya, será más fácil encontrar el origen. No es tarea fácil pero sí necesaria.

Después, deberá seguir el análisis de riesgo y adecuación, es decir analizar las herramientas que tienen a su disposición los colaboradores y valorar si son las adecuadas. En caso de que no lo sean, buscar nuevas herramientas válidas acorde a la estrategia de IT y ciberseguridad. 

Además, es primordial concienciar a todos los trabajadores de manera continua, acerca de la importancia de la seguridad de la información. El error humano es cada vez más corriente en el mundo digital, pero también es subsanable con acciones de concienciación. Los usuarios son parte de la solución.

Cómo transferir archivos de manera segura

Para evitar que sus usuarios utilicen alternativas poco seguras para la transferencia de archivos, bríndeles una herramienta con políticas avanzadas de seguridad que cumpla con la regulación GDPR como Tranxfer.

Disfrute de un free trial totalmente gratuito en www.tranxfer.com

Fuentes

https://www.bbva.com/es/sin-wetransfer-otros-programas-gratis-no-trabajas

https://www.itdigitalsecurity.es/vulnerabilidades/2018/02/los-riesgos-del-shadow-it-para-las-empresas-de-servicios-financieros

https://www.elecelegal.com/es-seguro-usar-wetransfer-para-compartir-archivos

https://www.pandasecurity.com/es/mediacenter/seguridad/shadow-it/

Leer Más

jueves, 11 de febrero de 2021

¡Apunten hacia España! Las compañías carecen de una cultura de ciberseguridad

¡Apunten hacia España! Las compañías carecen de una cultura de ciberseguridad


Según
un estudio realizado por el área de Cyber Risk Culture (CRC) de PwC España entre junio y septiembre de 2020, el nivel de cultura de ciberseguridad en las compañías de España se sitúa en 2,8 puntos sobre un rango de valores de 1 a 5.

Qué es la cultura de ciberseguridad

La Agencia Europea de Seguridad de las Redes y de la Información (en inglés, «European Union Agency for Network and Information Security», ENISA), define la cultura de la seguridad de las organizaciones como el conjunto de conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la seguridad cibernética y la forma en que se manifiestan en su comportamiento con las tecnologías de la información.

Hasta ahora, las empresas y organizaciones habían dirigido sus acciones y esfuerzos a las medidas técnicas y acciones de concienciación aisladas, pero esto no es suficiente ante la realidad actual. De acuerdo con PwC, alrededor del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o error. En este contexto, el desarrollo de una cultura de ciberseguridad es esencial para reducir los riesgos y ciberamenazas.

El estado de la cultura empresarial en España

El estudio realizado por PwC España involucró a 50 organizaciones en el ámbito nacional español a través de entrevistas a expertos, encuestas a responsables de ciberseguridad e investigación. La finalidad principal es conocer el estado en la cultura de ciberseguridad en el entorno empresarial en base a cuatro campos: estrategia, conocimiento, comportamiento, y perspectiva futura.  

Estrategia

Entre el 42% y el 48% de las organizaciones ya dispone de un rol o un comité ligado a la formación o concienciación en seguridad. No obstante, el 60% de las compañías no considera la seguridad como uno de sus valores principales o bien, no lo refleja claramente en sus políticas o prácticas generales.

Conocimiento

Muchas de las compañías ofrecen formación en ciberseguridad a sus empleados, así como ejercicios de simulación de ataques phishing o ransomware. Sin embargo, solo el 9% de las organizaciones disponen de un procedimiento para medir el conocimiento de los profesionales, lo que impide el establecimiento de planes de formación adecuados.

Comportamiento

El 84% de las organizaciones no puede medir el nivel de concienciación de los empleados; y el 70% tampoco mide el éxito de las campañas que realizan.

Por otro lado, el presupuesto medio aplicado a formación y concienciación equivale a un 9% del presupuesto total destinado a la seguridad de la información de la compañía.

Perspectiva futura

El 93% de los encuestados considera que la concienciación de los empleados es una medida muy relevante; y el 95% de las compañías ya disponen o tienen planificado generar un plan de concienciación para empleados.

Las principales conclusiones

De los resultados obtenidos, PwC España concluye que el nivel de cultura de ciberseguridad de media en las compañías de España se sitúa en un 2,8 sobre un rango de valores de 1 a 5. Esto significa que en el sector empresarial español:

  • No existe un plan estratégico de cultura y las iniciativas de concienciación se despliegan al azar.
  • El programa de concienciación cuenta con un apoyo limitado por parte de la Alta Dirección, y solo se invierten los recursos mínimos para cumplir con las normativas.
  • La concienciación en seguridad no ocupa un lugar destacado en la estrategia de la organización.
  • De forma generalizada, no existe una persona nombrada responsable de la ejecución y desarrollo de los planes de cultura y concienciación.
  • Se realizan formaciones de ciberseguridad de forma aislada, sin un refuerzo constante ni un alcance generalizado.
  • Hay poca participación de otros departamentos, como el de recursos humanos, comunicación o formación.

Todo ello implica que el panorama de cultura en ciberseguridad actual a nivel empresarial en España es inmaduro, con un alto margen de mejora.

Cómo construir una cultura de ciberseguridad

Acciones de capacitación aisladas no son suficientes para lograr hábitos seguros. Para desarrollar una cultura de ciberseguridad es necesario:

  • Generar un plan de formación y transformación cultural, con objetivos específicos en el tiempo.
  • Hacer seguimientos de las acciones y sus resultados, proporcionando indicadores que permitan medir el impacto y la evolución.

Es necesario destacar que las organizaciones no deben hacer todo esto solas, ya que las plataformas de concienciación en Seguridad de la Información ofrecen contenidos, herramientas y reportes que facilitan las tareas y generan indicadores de forma automática. Pero aún más fácil y efectivo para el responsable de seguridad puede ser apoyarse en partners integradores, delegando los aspectos operativos y tácticos de la transformación cultural en manos de especialistas.

Fuente: https://recursos.bps.com.es/files/986/73.pdf 

Leer Más