¿Un año concienciando? ¡Listo!

Supongamos que llegamos a una organización sin herramientas tecnológicas de protección. Comenzamos pues con la instalación de herramientas Antivirus, Antispam, Firewall, IDS/IPS, DLP, etc. Luego de un año de ardua dedicación, implementando, configurando y manteniendo las herramientas, llegamos al nivel de seguridad deseado. Y abandonamos todo. No realizamos más mantenimiento a ninguna herramienta, suspendemos las actualizaciones, dejamos de pagar las licencias de software, e incluso reducimos los equipos. Nos olvidamos de su existencia.

¿Suena inteligente?

Igual de buena es la idea de ejecutar un programa de concienciación, llevar el nivel de riesgo de la organización a un punto aceptable, aportar valor a las personas de nuestra organización, y luego de un año, dar por finalizada la gestión.

Veamos por qué:

Gestión de riesgos

Mediante la concienciación se gestiona uno de los principales riesgos de ciberseguridad que enfrentan las organizaciones: la ingeniería social.

Prácticamente todos los informes de la última década mencionan al Phishing como la puerta de entrada de más del 90% de los ciberataques. No importa la región a la que haga referencia el informe, tampoco la organización que lo desarrolle, ni el año que analice. El Phishing es el problema principal.

Si las herramientas tecnológicas son cada día más eficientes, sus técnicas más elaboradas (Heuristic-based detection, Signature-based detection, Behavioral detection, Cloud antivirus detection, Sandbox detection), e incluso hacen uso de Machine Learning, ¿por qué el problema se mantiene o crece año a año?

Los ciberdelincuentes van directo a las personas, y saltan de esta manera las medidas de protección tecnológicas. Este riesgo existe, está sucediendo y es peligroso. Los costos tecnológicos y de negocio que las organizaciones pueden sufrir por un ataque de ingeniería social son suficientes como para interrumpir su funcionamiento y hasta provocar su quiebra.

¿Y cómo gestionamos un riesgo así?

Como gestionamos todos los riesgos. Hay que medir el nivel de exposición actual y realizar acciones para llevarlo a un nivel deseado. Una vez allí, debemos seguir midiendo y manteniendo en ese punto deseado de manera continua. Para esto sirve exactamente un programa de concienciación.

Si lo llevas a cabo un tiempo y luego lo dejas, ¿cómo sabes cuál es el nivel de exposición actual de tu organización frente a un ataque de ingeniería social? ¿Cómo lo mantienes bajo? ¿Qué acciones puedes tomar respecto a las personas con scoring de riesgo elevado? ¿Dónde queda la inversión realizada en el período donde sí concienciaste?

Cultura segura

Cuando concienciamos, uno de los objetivos estratégicos principales del programa es desarrollar una cultura segura dentro de la organización.

¿Qué significa esto?

Una cultura segura es aquella donde los usuarios encuentran en la seguridad un valor agregado para su vida personal y corporativa. El área de ciberseguridad aporta información útil y el usuario la reconoce como tal, teniendo en cuenta los aspectos de seguridad en su día a día (tanto dentro como fuera de la organización). La persona demuestra hábitos seguros en sus pequeños accionares diarios, como reportar correos sospechosos, no descargar archivos inesperados, utilizar contraseñas fuertes o doble factor de autenticación, bloquear la pantalla antes de levantarse del escritorio, y un largo etcétera.

¿Cómo se logra?

Transmitiendo contenidos de calidad a través de diferentes medios (Videos, Videojuegos, Módulos Interactivos,etc.), actualizados, centrados en el refuerzo positivo y en el aporte de valor a la persona.

¿Cómo se mide?

De manera objetiva, a través de la evaluación de los comportamientos de los usuarios (mediante herramientas de simulación) y de sus conocimientos y opiniones (exámenes y encuestas).

Para lograr un cambio de cultura es necesario construir sobre el cambio, establecer procesos de mejora continua, y anclar los cambios en la cultura organizacional.

¿Cuánto se tarda?

No debemos ver a la cultura segura como un proyecto a lograr en cierto período de tiempo. Una cultura segura se desarrolla y se mantiene todos los días. Y esto en gran medida tiene que ver con el hecho de que estamos trabajando con personas:

• Los miembros del equipo van cambiando, hay rotación, y nuevos empleados también requieren ser concienciados.
• Las personas olvidan conceptos aprendidos y pierden hábitos si no se le refuerzan
• Sin estímulos, las personas no permanecen atentas a los riesgos

Entonces, al igual que un riesgo se debe gestionar de manera continua, una cultura segura se debe mantener día a día.

Actualización

Volviendo a pensar en el ejemplo inicial: ¿Por qué actualizamos las soluciones tecnológicas de la organización? Porque el Malware evoluciona, las técnicas de evasión mejoran, se descubren nuevas vulnerabilidades, etc.

¿Por qué entonces no mantener siempre actualizada a la capa humana?

Es la capa más atacada por los ciberdelincuentes. ¿No debería ser acaso la capa más fuerte? Depende de nosotros.

Los ciberdelincuentes son originales, inteligentes y realmente creativos. Además, están altamente motivados porque ven resultados muy lucrativos. Los usuarios deben estar al tanto de todas las novedades sobre ellos, para detectar engaños y prevenir problemas de seguridad.

Regulaciones y Normativas

Actualmente múltiples normativas exigen concientizar a los usuarios, y no por única vez. Además, las mismas normativas se actualizan y modifican con el tiempo, y es necesario adaptarse para seguir dando cumplimiento.

Imagen del área de seguridad

La concienciación tiene el poder de mejorar la imagen que los usuarios tienen del área de ciberseguridad de la organización. Los usuarios dejan de percibir a los controles como trabas en su trabajo diario y encuentran un aliado en la imagen del CISO y su área, tanto para su vida personal y laboral.

Si luego de un período de concienciación las acciones cesan bruscamente, la imagen del área va a decaer, ya que hizo algo apreciado por las personas y luego se abandonó. Habrá personas esperando una frecuencia en la comunicación y con el tiempo se olvidarán de la ayuda que encontraron en el área.

Ideas finales

Los riesgos existen porque los factores que los provocan están fuera de nuestro control directo y tienen cierta probabilidad de ocurrir.

La decisión de actuar sobre uno de los riesgos más relevantes en la ciberseguridad mediante un proceso de Hardening de Usuarios es, hoy más que nunca, un punto infaltable en nuestra estrategia de seguridad.

Pero no perdamos de vista el problema que estamos enfrentando. Si concienciamos un año, dos, o tres, y luego abandonamos el proceso, los factores de riesgo van a seguir ahí, y la probabilidad de afectar a nuestra organización va a aumentar a medida que las acciones que realizamos se vayan diluyendo con el tiempo.

¿Has concienciado un año y dado por finalizado el problema? ¡Felicitaciones! Ya no gestionas el principal riesgo de ciberseguridad y pronto tu organización será víctima de Phishing (o quizás ya lo es).

Leer Más

Casi 20 años del estándar para programas de concientización, NIST Special Publication 800-50

En octubre del año 2003 el National Institute of Standards and Technology (NIST) lanzó la publicación NIST Special Publication 800-50, Building An Information Technology Security Awareness and Training Program. Este documento pretende ser una guía para construir un programa efectivo de concientización y entrenamiento en seguridad informática para agencias federales de Estados Unidos. De todas maneras, también puede ser utilizado por otro tipo de organizaciones, en otros países.

A casi 20 años de su lanzamiento, mucho ha cambiado en el ámbito de las tecnologías y la ciberseguridad, y en nuestras vidas en general. Creemos que es momento de revisar algunos de sus lineamientos a la luz del presente.

Estructura

La guía identifica cuatro pasos críticos en el ciclo de vida de un programa de concientización y entrenamiento:

• Diseño del programa: Se conduce un relevamiento dentro de la organización y, a partir de su resultado, se desarrolla y aprueba la estrategia a seguir durante el programa, alineada a la misión de la organización.
• Desarrollo del material: Se evalúa el alcance del entrenamiento deseado, el contenido necesario para cubrirlo y las posibles fuentes para desarrollarlo.
• Implementación del programa: Se comunica y lanza el programa de concientización y entrenamiento, a través de los medios definidos en la estrategia.
• Post implementación: Se busca mantener una ejecución continua del programa y monitorear su efectividad.

Alcance

Si bien la publicación que estamos analizando suele ser vista como un estándar para el desarrollo de un programa de concientización, en realidad su objetivo es más amplio y considera también:

• Educación puntual de los usuarios técnicos relacionados al área de tecnología
• Entrenamiento especial en seguridad para desarrollar habilidades específicas para distintos roles funcionales dentro de la organización.
• Desarrollo de profesionales especialistas en seguridad informática

Figure 2-1: The IT Security Learning Continuum

Modelos de implementación

La guía discute también tres modelos comunes (para la época) de implementar un programa de concientización y entrenamiento:

• Centralizado: Toda la responsabilidad recae en una autoridad central, por ejemplo el CIO.
• Parcialmente descentralizado: La autoridad central se ocupa de desarrollar una política y una estrategia de implementación. La implementación se distribuye entre distintas áreas funcionales.
• Totalmente descentralizado: La autoridad central únicamente desarrolla una política, pero la estrategia y la implementación recae en distintas áreas funcionales.

Nótese que aquí se menciona al CIO como posible autoridad central de un programa de concientización en ciberseguridad. Por aquel entonces (año 2003), el rol del CISO prácticamente no existía. A la fecha de redacción de este post, ya se habla incluso de un puesto específico encargado del programa de Security Awareness en la organización. Esto da pie a la siguiente sección de este post:

Cambios y continuidades

Al tratarse de una guía redactada en 2003, debemos tomar con cuidado la información que nos brinda.

Concepto de Concientización

Según la guía, la concientización no es más que entregar información a los usuarios. Decirles qué hacer, y qué no. Enfocado 100% a dar cumplimiento a normativas y 0% enfocado en cambiar hábitos y desarrollar una cultura segura.

Sólo se menciona que el usuario conozca manuales, procedimientos, políticas. Pero no se habla de que el usuario comprenda por qué le conviene saber esto, cuáles son sus beneficios en su vida laboral y ni hablar de su vida personal. Tampoco se comenta que la concientización tenga efecto alguno más allá de la organización.

De hecho, no se habla en ningún momento del desarrollo de hábitos seguros para la vida de la persona en el uso de la tecnología. Lo más cercano a esto, y que sin embargo sigue siendo muy lejano, es la mención del entrenamiento como concepto independiente a la concientización orientado a desarrollar habilidades en las personas.

En un contexto actual donde ya se comienza a hablar incluso de Awareness Management Systems, debemos ser muy cuidadosos en seguir estas directivas, que han dejado de ser útiles en el ámbito corporativo cuando el concepto de perímetro de la organización prácticamente desapareció.

Ejemplo de un póster de concientización propuesto por la guía. ¿Crees que un usuario actual de tu organización se detendría siquiera a leerlo?

Contenidos de Concientización

La guía propone el desarrollo desde cero del material de concientización: Un trabajo faraónico, tan grande como innecesario.

Si bien se menciona la posibilidad de adquirir o tomar como base contenidos de otras organizaciones proveedoras, no se habla de la opción que hoy en día es la más recomendable: utilizar una plataforma SaaS con contenidos predefinidos (y editables) listos para utilizar, con una política de actualización constante.

Simulaciones

Una nueva alarma para encender si nos basamos en esta guía: el documento no se explaya acerca de las distintas maneras de medir el estado de la capa humana de la organización, siendo el punto de referencia a la hora de comenzar un programa de concientización y demostrar su efectividad.

En la actualidad, guiar un programa de concientización sin apoyarnos en las métricas que arrojan las simulaciones de Phishing y de Ransomware, las cuales reflejan el comportamiento de los usuarios de nuestra organización, es prácticamente como navegar sin siquiera una brújula.

Modelos de implementación

En la guía no existe uno de los modelos de implementación más utilizados hoy, donde el CISO o encargado del plan de concientización se ocupa de la parte estratégica del plan y en general, delega la parte operativa en un partner integrador, quien brinda un servicio de valor agregado.

Conclusiones

Cada día más estamos convencidos acerca de la importancia de la concientización en la seguridad de la información. Es interesante que esta guía sea actualmente un punto de referencia para muchas personas que desarrollan un programa de awareness.

Si bien la información brindada por la guía es muy interesante, necesita por un lado ser actualizada, y por el otro, mantenerse al día con una frecuencia suficiente como para llegar a ser una publicación de referencia a la hora de llevar adelante nuestros planes de concientización.

Por suerte, la actualización ya está cerca, y de seguro será motivo para un nuevo análisis.

Leer Más

Un nuevo informe sobre Moodle, mi experiencia personal, y algunas verdades más

Si eres un CISO o CTO, y estás evaluando incorporar a Moodle en tu organización, o bien ya lo tienes desplegado en tu infraestructura, no puedes dejar de leer el excelente informe de Cristian Borghello y Daniel Maldonado titulado “Moodlelandia: Malas prácticas de Seguridad en las Aulas Virtuales creadas con Moodle”. La verdad es que el artículo no tiene desperdicio, y aquí me propongo complementar lo dicho en ese informe con mi experiencia personal, tratando de arrojar luz sobre el por qué de algunas estadísticas.

Principales hallazgos del informe sobre “Moodlelandia”

Lo primero que noto es que los hallazgos son sorprendentes, por la gravedad de la situación en Latinoamérica y España:

“Luego de analizar casi doce mil sitios, los principales resultados respecto a seguridad de las plataformas Moodle se pueden resumir en los siguientes aspectos:

• Casi la mitad de las instalaciones de Moodle utilizan versiones ya no soportadas por el desarrollador.
• No se encontró ninguna instalación con la última versión y completamente actualizada a la fecha.
• Sólo un tercio de los sitios utilizan comunicaciones cifradas (HTTPS).
• En más de la mitad de los casos, fue posible encontrar archivos de configuración sin protección y no se observó ningún proceso de hardening; sólo un quince por ciento ha decidido proteger de alguna manera la versión de la plataforma de instalación (sistema operativo, servidor web o versión de Moodle).
• Aproximadamente un tercio de los sitios analizados contienen al menos una vulnerabilidad pública, conocida y documentada (con CVE asignado).
• Fue posible identificar más de cincuenta vulnerabilidades distintas en todos los sitios analizados y con un promedio de cinco vulnerabilidades por sitio.”

De estos hallazgos, lo primero que me llevo son las estadísticas actualizadas, ya que he sido CISO en una organización con más de 20 instalaciones de Moodle hace más de 10 años. Lo sorprendente para mí es que, tanto tiempo después, todavía sigan existiendo tantas instalaciones de Moodle en este gravísimo estado de inseguridad.

Entonces me pregunto por qué esto sigue sucediendo y creo que el quid de la cuestión está sobre el final del informe:

“Contrario a lo que se puede pensar, el concepto de LMS gratuito y de distribución libre no es suficiente para que una organización (pública o privada) pueda mantener una plataforma educativa de la complejidad de Moodle. Los métodos de instalación, actualización y configuración pueden ser lo suficientemente dificultosos como para que un administrador no lleve adelante los procesos de hardening y la implementación adecuada de recomendaciones de seguridad.”

Esto me llevó a querer avanzar y complementar la investigación por mi cuenta, averiguando por qué existe este enorme grado de descuido a nivel generalizado sobre las implementaciones de Moodle en lo referido a ciberseguridad. Para eso, lo primero que hice fue llamar a la oficina donde trabajé como CISO hace tantos años y preguntar cómo estaban trabajando.

Mi propio trabajo investigativo

Algo a tener en cuenta es que esa organización cuenta con varios expertos en Moodle, con una experiencia mayor a 15 años, por lo que algo “simple” para ellos puede ser complejo para otra persona que no lleva tanto tiempo trabajando en esa tecnología.

Hablando con los administradores de las más de 20 instancias de Moodle me comentaron que actualizarlo ya no es tan complejo como lo recordaba yo. Ahora es bastante más simple comparativamente, aunque se debe acompañar con algún que otro script cuando hablamos de tantas instancias desplegadas.

Lo segundo que me comentaron fue que, gracias a esa simplificación, están en proceso de migración hacia una versión más reciente usando estos mecanismos modernos para lograr el upgrade. Cuando pregunté de qué versiones estábamos hablando, me detallaron que estaban actualizando de la 3.4.x a la 3.9.x (ver informe)

Suponiendo que se refirieran a la última versión de la rama (3.4.9), entonces podemos ver en el sitio oficial que la “Compostura de problemas para asuntos de seguridad en 3.4.x terminó el 13 de Mayo 2019 (hace 18 meses)”. Eso es siempre y cuando se hayan mantenido actualizados dentro de esa rama. De lo contrario, nos remontaríamos lamentablemente a 2017.

Es decir, que en la propia organización donde yo trabajé, contando con varios expertos en esta tecnología, validan la misma situación que la enumerada por el informe (a excepción de las comunicaciones cifradas HTTPS).

¿Por qué este informe es tan representativo de la realidad?

Como los CISOs (o “ex”, en mi caso) sabemos, la ciberseguridad no es lo que mueve a las organizaciones. Si bien puede haber o no expertos en una tecnología, esto no significa que les preocupe la seguridad. De hecho, la actualización de versiones que me comentaron mis colegas no estaba asociada a una preocupación por tenerlo al día y hardenizado. Incluso, cuando les compartí el informe me respondieron “después lo chequeamos”, hasta con un dejo de desinterés. (Uno se ilusiona y se desilusiona tan rápido…)

Pero por otro lado, Moodle es un sistema enorme que nació en 2003, ampliamente conocido y desplegado por ser uno de los sistemas de software libre más populares. Un sistema casi incuestionable a la hora de implementar capacitación en una organización, mucho más en ámbitos académicos.

Este alto grado de status quo con respecto a EL sistema, y que en muchos casos genera una sensación de “gratuidad” por ser software libre, lleva a pensar además que se tiene que instalar on premise en la organización.

Sin embargo, y lo digo por experiencia propia, es un sistema complejo, no solo desde el punto de vista de la seguridad sino en general, tanto para el docente como para el alumno, pero sobre todo para las personas que quieren implementarlo y mantenerlo. Requiere mucha especialización y tiempo para llegar apenas a adecuarlo a las necesidades de la organización, pero mucho más esfuerzo y pericia para mantenerlo al día.

Así y todo, como parece ser la elección evidente, Moodle se instala y luego, a fuerza de prueba y error, se llega a implementar. Pero las preguntas que deberíamos hacernos como responsables de implantar un sistema LMS (Learning Management System) como este son:

• ¿Es Moodle la solución que necesito?
• ¿Debo agregarlo en mi infraestructura?

Preguntas elementales

La primera pregunta “¿Es Moodle la solución que necesito?” me evoca muchos recuerdos, pero elijo destacar solo dos:

• En primer lugar, cuando estaba trabajando en la organización que les vengo mencionando y decidí lanzarme como emprendedor a crear una plataforma desde cero para cumplir las necesidades que Moodle no satisfacía, el CTO de turno me dijo: “Buena suerte, pero no hay algo más allá de Moodle” (Me sentí Neo de Matrix).
  
  
• En segundo lugar, cuando estuve en la Expo E-learning en Madrid en 2018, allí solo con mi stand en medio de muchos otros rindiendo culto a Moodle, recaí en la cuenta que éramos una de las pocas plataformas en toda la feria que no estaba basada en tal sistema.

Por más popular que sea, no significa que sea lo que se necesite en tu organización. Tal vez cumpla con los requisitos de features, pero… ¿alguna vez has pensado los conocimientos necesarios para su implementación y mantenimiento? ¿O las vulnerabilidades que tiene?

Ante la segunda pregunta “¿Debo agregarlo en mi infraestructura?”, para muchas organizaciones no parece haber otra opción más que “on premise”. En este caso, sepan que Moodle requiere no solo tiempo para su implantación, sino principalmente para su mantenimiento. El hecho de no tener que pagar por la licencia no significa que sea la opción más barata.

Siendo entonces que no se cuestiona si debe ser Moodle u otra solución, y si debe o no estar en la infraestructura propia, esto nos acerca a los resultados del informe y a una situación aún peor: quienes se hayan vuelto especialistas en este sistema, serán sus principales partidarios y no querrán evaluar otra opción mejor.

Respuestas no tan difíciles, pero duras

Mi recomendación siempre es primero evaluar lo que realmente se necesita: un LMS, o un sistema de gestión de formación o concienciación (que no es lo mismo). En estos tiempos ya no estamos en situación de pensar que todo debe ser on premise. Hay muchas opciones más allá de Moodle en formato SaaS, tanto para capacitación como para concientización. Solo es cuestión de pensar en el largo plazo e ir por otra alternativa.

Si la respuesta es que no necesitas Moodle on premise, pero ya tienes Moodle desplegado, en ese caso la salida dependerá de qué tan arraigado esté en tu organización. Si están apenas probando o en etapas iniciales, entonces tienes una chance de demostrar como CISO cuál será el futuro cercano con el informe de Cristian y Daniel, desde el punto de vista de seguridad. Si Moodle está muy arraigado en tu organización, lamento decirte que cambiarlo será una batalla dura, ya que tendrás detractores. Mi recomendación en este caso es ponerlo fuera de la organización, para que no haya una dependencia y arraigo tan grande de gente, y luego el cambio total pueda ser más digerible.

Nuestro rol como CISOs

Moodle no es el demonio. No es ni malo ni bueno. No es el más inseguro ni el más difícil de mantener. Es un sistema más, pero es muy popular y ese es el problema: no se cuestiona.

Pero a los CISOs se les pide evaluar la seguridad y acompañar a la organización a tomar buenas decisiones. Si ponemos a Moodle sobre la mesa, sabremos que tiene vulnerabilidades graves cada año en materia de ciberseguridad, y que es un sistema que no se mantiene actualizado ni hardenizado en la gran mayoría de sus implementaciones, tal como se demuestra en el informe. Si crees ingenuamente que esto no sucederá en tu organización, lamento decirte que las estadísticas y los hechos están en tu contra.

Ahora bien, si tienes Moodle 100% actualizado y hardenizado, en primer lugar te felicito, y en segundo lugar, te invito a ayudar al resto con tips sobre cómo lo lograste sin mayores sobresaltos (nuestro blog está abierto).

Leer Más

Así de fácil: la implementación de SMARTFENSE

La implementación de una plataforma de Security Awareness se puede percibir a priori como un proceso complejo, lleno de configuraciones y procesos como:

• Configurar una cuenta de correo en un servidor SMTP que brinde la posibilidad de hacer Spoofing y un servidor web para alojar la página de destino de la simulación de Phishing.
• Aplicar las medidas de seguridad pertinentes en ambos servidores para proteger la seguridad de la información.
• Adquirir y configurar dominios para envío de correos de simulación de Phishing y para navegación web del sitio de Phishing simulado, con sus respectivos certificados SSL y registros SPF, DKIM y DMARC.
• Elaborar un plan de contingencia para los dominios de simulación que caigan en listas negras globales y un procedimiento de actualización y hardening de la infraestructura definida.
• Entre otros

Pero claro, estos pasos y muchos otros no son necesarios para implementar una plataforma de concientización en la nube porque ya son provistos a priori. Esto nos permite utilizar nuestro tiempo en lo que realmente importa: brindar una experiencia positiva al usuario final y realizar con éxito las acciones necesarias para lograr un cambio de comportamiento en la organización.

Claro, bien definido y sencillo

El proceso de implementación de la plataforma de concientización SMARTFENSE destaca por ser claro, bien definido y sencillo de llevar adelante.

Al ser realizado con el soporte del partner integrador seleccionado por el cliente, el proceso se realiza de manera ordenada y cuidadosa, acompañado por profesionales certificados.

Los aspectos principales que forman parte del proceso de implementación se relacionan con:

• Seleccionar un método de importación y de autenticación de usuarios.
• Realizar un proceso de Whitelist para garantizar resultados reales en las campañas de Phishing o Ransomware lanzadas.
• Personalizar todo lo que se desee: contenidos, notificaciones, reportes, variables organizacionales, logotipos, etc.
• Lanzar campañas de prueba previas a las campañas reales para comprobar el funcionamiento esperado.

SMARTFENSE provee guías, checklists y gráficos de Gantt para llevar adelante cada paso de manera clara y completa, garantizando así una experiencia agradable al implementador.

Importación y autenticación de usuarios

Desde sencillos archivos en formato CSV hasta integraciones con un alto grado de personalización a través de tecnologías como Microsoft Azure Active Directory o Google Workspace, SMARTFENSE brinda una gran variedad de opciones tanto para importar a los usuarios de la organización dentro de la plataforma como para permitir su autenticación. Las diferentes opciones y su documentación clara y actualizada hacen de este un paso fundamental pero muy sencillo de completar con éxito.

Proceso de Whitelist

Permite asegurarnos que el universo de usuarios que queremos evaluar mediante simulaciones de Phishing y de Ransomware reciba los correos y pueda navegar el sitio web de destino sin inconvenientes técnicos.

Posibilita además que no se generen estadísticas falsas dentro de las campañas lanzadas a causa del análisis de correos electrónicos de parte de las herramientas de seguridad de la organización.

En definitiva, la correcta implementación de Whitelist permite medir el comportamiento de los usuarios de manera objetiva, sin sesgos tecnológicos.

Personalización

En SMARTFENSE es posible personalizar hasta los detalles más pequeños. Ya sean los contenidos que se enviarán a los usuarios (con sus textos e imágenes), las variables organizacionales que definen valores concretos para los contenidos (como nombre de encargados de áreas, números de teléfono, roles), las notificaciones de asignación y recordatorios, los logotipos corporativos para garantizar Marca Blanca, hasta los reportes administrativos y más.

Campañas de prueba

Este tipo de campañas brindan la posibilidad de conocer de primera mano si el proceso de implementación se ha realizado con éxito. Como tales, no afectan las estadísticas globales del programa de concientización.

El lanzamiento de las campañas de prueba permite diagnosticar cualquier paso extra que sea necesario realizar antes de ejecutar las primeras campañas reales, además de evaluar el correcto funcionamiento de los procesos de Whitelist para las campañas de simulación de Phishing o de Ransomware.

Tiempo de implementación

El tiempo de implementación de SMARTFENSE depende en realidad de los tiempos internos de cada organización.

Para organizaciones ágiles con experiencia previa en procesos similares, una única semana puede ser suficiente para comenzar a ejecutar el plan de concientización, enviando campañas reales y evaluando sus resultados.

El caso más común es que las organizaciones dediquen de 2 a 4 semanas para completar el proceso, debido principalmente a temas administrativos internos.

Soporte del partner integrador

No se trata únicamente de guías y procedimientos. Una buena experiencia en la implementación de una plataforma sólo es posible a través de un contacto estrecho con expertos. SMARTFENSE valora y recomienda la labor de las personas que forman parte de los equipos de nuestros partners certificados, que apoyarán siempre al cliente en cada paso, brindando las herramientas y recomendaciones necesarias para una implementación rápida y eficaz.

Leer Más

Ataques BEC y EAC: ¿Cuáles son las diferencias y cómo protegernos?

Diferentes, pero no tanto

Para empezar, debemos aclarar que los ataques BEC (Business Email Compromise, por sus siglas en inglés) y los ataques EAC (Email Account Compromise) tienen igual objetivo: Ganar dinero o robar información confidencial.

Tanto uno como otro se basan en ingeniería social, aprovechando que es mucho más sencillo engañar a una persona desinformada que saltar las barreras tecnológicas de seguridad de una organización. A ello se suma la realidad de muchas compañías que aún no asumen las crecientes amenazas y por lo tanto, no fortalecen la capa humana, la barrera más importante de defensa.

De los ataques BEC y EAC se derivó por ejemplo, el famoso Fraude del CEO: un ataque de ingeniería social, donde los ciberdelincuentes suplantan la identidad de un alto ejecutivo mediante correo electrónico. El fin más común es lograr que la víctima del engaño envíe dinero a una cuenta fraudulenta.

Entonces, si el objetivo es el mismo, ¿qué diferencia a estos dos ataques? El proceso de suplantación de identidad.

Ataques BEC (Business Email Compromise)

Los ciberdelincuentes utilizan diversas técnicas para hacerse pasar por otra persona, por ejemplo:

• Domain Spoofing
• Display-name Spoofing
• Lookalike Domains

Es importante destacar que los ciberdelincuentes no obtienen acceso a la cuenta de email que desean suplantar sino que, a través de estas técnicas, envían correos en su nombre.

Ataques EAC (Email Account Compromise)

Los ciberdelincuentes comprometen la cuenta de correo de su víctima utilizando diversas técnicas:

• Robo de credenciales a través de Phishing
• Consulta de credenciales filtradas
• Técnicas de fuerza bruta
• Malware

Este tipo de ataque es más sofisticado. La ventaja para el ciberdelincuente es el acceso a toda la información que su víctima posee en su correo electrónico:

• Historial de correos y destinatarios comunes
• Archivos adjuntos enviados y recibidos
• Firma
• Configuraciones

El sólo hecho de comprometer la cuenta de su víctima, como puede verse, es para los atacantes una mina de oro.

Pero muchos no se conforman con esto, sino que además se aseguran de mantener el acceso a la cuenta en el tiempo, creando reglas de reenvío de correos o cambiando los permisos. Así, monitorean de manera cercana a su víctima y pueden realizar una inteligencia certera de la organización.

Con este conocimiento y capacidad de acceso, pueden intervenir en cualquier conversación y enviar correos realmente convincentes en nombre de la víctima en el momento más adecuado, y lograr así sus objetivos.

Cómo protegernos

Como siempre proclamamos, la mejor manera de enfrentar un riesgo es mediante una estrategia de seguridad en capas.

Por un lado, necesitamos de las medidas técnicas necesarias para proteger los dominios de nuestra organización de ser suplantados, realizar hardening de nuestros servidores de correo y disponer de herramientas tecnológicas que nos ayuden a detectar las distintas técnicas de intrusión de los ciberdelincuentes.

Por otro lado, debemos desarrollar un plan de concientización de los usuarios, generando compromiso e involucramiento en la seguridad de la información mediante contenidos significativos para su vida personal y profesional.

Al tener sus cimientos en la Ingeniería Social, un gran porcentaje de los ataques BEC o EAC eluden con éxito a las herramientas tecnológicas de seguridad, o directamente ocurren fuera del dominio de éstas, a través de correo personal, aplicaciones de mensajería o llamados telefónicos.

Un usuario concientizado respecto a este tipo de ataques, estará atento y podrá detectarlos, reportarlos y prevenir convertirse en víctima de los ciberdelincuentes. Las personas se convierten en el arma más importante contra la ingeniería social.

Al incluir al usuario final en la estrategia de seguridad, estaremos realizando además una inversión transversal que actúa sobre todos los niveles de nuestras organizaciones y sus beneficios pueden medirse de manera objetiva y sin esfuerzo, mediante las herramientas apropiadas.

Reflexiones finales

Existen muchos reportes donde se pueden apreciar las grandes pérdidas financieras producto del BEC y EAC. Además, en la última década, todos los informes de ciberseguridad señalan al Phishing como la principal puerta de entrada de los ciberdelincuentes a nuestras organizaciones.

Si no eres del grupo de personas que confía en alcanzar la seguridad al 100% mediante soluciones tecnológicas, ¿crees que tus usuarios ya están preparados para evitar un compromiso de sus cuentas? ¿Consideras que podrían reconocer un ataque de este estilo?

Leer Más

Cómo alojar un Phishing en los servidores de Google

Esta no es una primicia. No es la primera vez que los servicios de Google se utilizan para enviar trampas de Phishing de gran calidad a los usuarios de nuestra organización.

En este artículo analizaremos un nuevo ejemplo, donde Google facilita al ciberdelincuente los pasos técnicos más engorrosos del Phishing, dejando el engaño servido en bandeja de plata (o en un dominio con reputación intachable).

Paso a paso para hostear la trampa de Phishing

1. Elaborar y subir el código HTML

El primer paso que debe seguir el ciberdelincuente es generar el código HTML que desea alojar en Google Docs. Luego, debe subirlo como un archivo con extensión .html a su cuenta de Google Drive.

2. Publicar el sitio en Google Docs

Una vez cargado el archivo .html, debe hacer clic con el botón derecho sobre su ícono y abrirlo con Google Docs:

En Google Docs, debe seleccionar la opción Archivo > Publicar en la web:

Finalmente, tiene que seleccionar la opción Embed y Publicar:

3. Salir de pesca

Google ha realizado todo el trabajo duro. El ciberdelincuente ya tiene su sitio de Phishing hosteado en un dominio de gran reputación como el de Google Docs:

Sólo resta compartir la URL generada por Google a la víctima, y listo. ¡A pescar!

Implicancias

Un ciberdelincuente que siga estos pasos tiene el poder de clonar con facilidad la imagen de cualquier organización mediante contenido web de alta calidad.

A su vez, puede alojar este contenido de manera gratuita en los servidores de Google, en el dominio de docs.google.com, el cual goza de gran reputación y rara vez estará incluido en una lista negra. Bueno, es prácticamente imposible que lo esté.

Lo anterior significa también que las herramientas tecnológicas antiphishing no detectarán un enlace generado con este procedimiento como malicioso, y llegará sin problemas hasta la bandeja de entrada del usuario final.

Esto demuestra, una vez más, que los ataques evolucionan, los ciberdelincuentes son muy creativos, y en el 2021, ya no podemos depender únicamente de herramientas tecnológicas para combatir la ingeniería social. Por eso insistimos en la necesidad de invertir en el hardening de usuarios.

Leer Más

¡Deja ya de hacer Simulaciones de Phishing! ¿En serio?

Días atrás encontré un artículo que reunía en un solo lugar los argumentos más comunes contra las simulaciones de Phishing.

Parafraseando, decía más o menos así:

“Las Simulaciones de Phishing no sirven para concientizar a los usuarios, y únicamente los pone en contra del Área de Seguridad, ya que se sienten engañados. Por este motivo, los usuarios saltean las medidas que tomamos y no reportan incidentes. Además, por más que haga Simulaciones de Phishing, nunca alcanzo a una métrica de cero clics, y los usuarios seguro pasan 1 segundo en los momentos educativos. Mejor invertir el tiempo en configurar herramientas tecnológicas. Al fin y al cabo, con ellas se puede incluso calcular el retorno de inversión.”

Uno a uno, destrucción de los argumentos contra las Simulaciones de Phishing

Propongo desmenuzar juntos cada uno de los argumentos y revisar por qué no son válidos argumentando de manera objetiva cada punto.

Argumento: Las Simulaciones de Phishing no sirven para concientizar a los usuarios

Las Simulaciones de Phishing tienen diferentes propósitos, todos ellos complementarios entre sí:

• Establecer una línea base del nivel de riesgo de nuestra organización frente a un ataque de Phishing
• Medir de manera objetiva el progreso de nuestro plan continuo de concientización
• Mantener a nuestros usuarios atentos y poner en práctica los mecanismos de reporte de incidentes
• Concientizar a nuestros usuarios

Para lograr este último objetivo, se utilizan las Simulaciones de Phishing en conjunto con Momentos Educativos. Esta herramienta convierte a las simulaciones no sólo en una manera de concientizar, sino que permite detenernos a pensar en el mejor momento posible, cuando la probabilidad de aprendizaje y asimilación de un contenido por parte de los usuarios es más alta.

Argumento: Las Simulaciones de Phishing únicamente pone a los usuarios en contra del Área de Seguridad. Por este motivo, saltean las medidas que tomamos y no reportan incidentes.

Y claro. Si sólo lanzamos Simulaciones de Phishing sin dar ningún tipo de feedback a nuestros usuarios, o si damos feedback negativo destacando lo que el usuario hizo mal, lo que menos vamos a generar es una buena imagen del Área de Seguridad. Eso va a contribuir a una respuesta cada vez más pobre frente a las medidas del área. Tengamos un poco de sentido común ;).

¿Es esto culpa de las Simulaciones de Phishing? No, es culpa de que no sabemos usarlas. Seguramente la imagen del área no dependa únicamente de las simulaciones, ¿no?. De hecho, es gracias a las herramientas de concientización que esta imagen puede mejorarse, y esa mejora puede medirse de manera objetiva.

Argumento: Además, por más que haga Simulaciones de Phishing, nunca alcanzo a una métrica de cero clics.

¿Todavía crees en la seguridad al 100%?

Para empezar, la métrica de cero clics no debería siquiera existir entre los objetivos de nuestro plan de concientización.

Si es así, entonces no tenemos claro por qué simular, o bien, será que elegimos cerrar los ojos frente a la realidad. Y posiblemente, tengamos deseos o expectativas que no los pueda cumplir ni Papá Noel:

• Que las campañas de simulación de Phishing duren semanas
• Que los correos de Phishing sean recibidos de manera correcta en el inbox de todos los usuarios
• Que todos los usuarios posibles caigan en las trampas simuladas

Argumento: Los usuarios seguro pasan 1 segundo en los momentos educativos.

Siempre es fácil suponer y hablar sin saber. Muchas veces, quienes enuncian estas afirmaciones nunca realizaron una medición y se basan sólo en su “infalible” olfato.

Por suerte para ellos, existen herramientas que presentan a los usuarios Momentos Educativos con preguntas de validación de lectura, que en lugar de medir cuánto tiempo dedica el usuario mirando un contenido, miden lo que realmente importa: si el usuario comprendió el mensaje.

Argumento: Mejor invertir el tiempo en configurar herramientas tecnológicas. Además, con ellas se puede calcular el retorno de inversión.

Sentencia común de quien cree en la seguridad al 100%: se apoya únicamente en herramientas tecnológicas y desconfía del usuario.

El argumento se cae a pedazos leyendo cualquier informe de ciberseguridad de la última década. En todos ellos, el Phishing se menciona como la puerta de entrada de más del 90% de los ciberataques. Si las herramientas tecnológicas realmente brindasen el nivel de seguridad que algunos creen que brindan, la estadística sería otra.

Además, en el año 2021, ya debemos tener claro que la seguridad se debe implementar en capas, y que depender sólo de una de ellas, al día de hoy es una irresponsabilidad.

Por último, la capa humana es esencial frente a los ataques de ingeniería social, los cuales suceden muchas veces fuera del perímetro de nuestra organización, en dispositivos personales de nuestros usuarios, y de maneras muy creativas.

El retorno de inversión, por otro lado, puede medirse de manera objetiva y expresarse en informes claros con indicadores gerenciales, respaldados por registros de auditoría inalterables.

Ideas finales

Eventualmente se pueden encontrar argumentos en contra de las Simulaciones de Phishing, que clasifican a esta herramienta como la causa de distintos males que enfrenta el Área de Seguridad. La realidad demuestra que la causa de estos males es en realidad producto de actitudes y conductas internas al área, y del desconocimiento sobre el uso correcto de las herramientas de simulación.

Esto no es únicamente una afirmación de SMARTFENSE. La publicación de Linkedin que motivó este post, tiene decenas de comentarios de responsables de seguridad con experiencia, que indican claramente al autor que su enfoque está lejos de ser correcto.

Leer Más

OSINT para el bien y para el mal

Gran parte de nosotros (por no decir todos) utilizamos varios servicios en Internet y de seguro en algún momento compartimos, directa o indirectamente, distinto tipo información personal, como por ejemplo: lugares visitados, fotos, comentarios relacionados a afiliaciones religiosas o políticas, gustos, hobbies, entre tantos otros detalles. Toda esta información no siempre es utilizada con buenas intenciones. Sin ir más lejos, actualmente es más común de lo que pensamos advertir a ciberdelincuentes utilizando técnicas y herramientas de OSINT previo a un ataque de Ransomware. De esta manera, se aseguran un gran porcentaje de éxito sobre las organizaciones víctimas.

¿Qué es OSINT?

Antes de continuar, vamos a precisar el concepto de OSINT (Open Source Intelligence). Podemos definirlo como una disciplina encargada de la adquisición de información desde fuentes abiertas (públicas) para su posterior procesamiento, análisis y aplicación de inteligencia con un objetivo en concreto, como por ejemplo:

• Investigaciones judiciales (por injurias, amenazas, extorsiones, etc.)
• Seguridad pública
• Monitoreo de amenazas
• Monitoreo de eventos públicos
• Investigaciones corporativas
• Protección de ejecutivos
• Reputación empresarial
• Análisis de fraudes
• Seguridad financiera
• Inteligencia competitiva
• Marketing
• Recursos Humanos (por ejemplo, para estudios previos a la contratación de una persona)

Fuentes abiertas, una definición no tan certera

Es muy importante comprender lo que se define por “fuentes abiertas”, ya que aquí podemos encontrar diferencias entre algunos autores. En nuestro caso, concebimos las fuentes abiertas como todas aquellas fuentes a las que se pueda acceder sin ningún tipo de restricción y cuya información esté disponible públicamente.

Sin embargo (y es aquí donde muchas veces se generan discusiones y distintos puntos de vista), puede darse la situación donde sea posible acceder a información sin ningún tipo de restricción, pero la misma fue “publicada” de una manera ilegal, ilegítima y sin el consentimiento de la fuente original (por ejemplo: tarjetas de crédito, credenciales, datos personales, etc), como así también por errores u omisiones de configuración (por ejemplo: cámaras abiertas, archivos compartidos, computadoras accesibles sin restricción, etc).

A continuación presentamos algunos ejemplos de fuentes abiertas (públicas):

• Medios de comunicación (diarios, revistas, televisión, etc)
• Información gubernamental
• Información financiera (pública)
• Redes sociales, foros, etc
• Eventos, papers y otras publicaciones institucionales

Los Selectores, claves en la búsqueda de información en fuentes abiertas

Si bien es habitual que una búsqueda lleve a resultados exitosos, el tiempo dedicado a esta tarea (así como la cantidad y diversidad de fuentes consultadas), suele ser uno de los factores determinantes: a mayor tiempo asignado, mayor posibilidad de ejecutar un “mapeo” consistente, y mayor cobertura de las distintas fuentes.

Toda búsqueda de información en fuentes abiertas suele iniciarse a partir del conocimiento de una o varias “claves de búsqueda”, que llamaremos “Selectores”:

Los Selectores Comunes pueden ser:

• Nombre
• Correo
• Alias/Nick
• Número de teléfono
• Empresa
• Documento de Identidad

Los Selectores Complejos pueden ser:

• Foto
• Video
• Evento

Fases del ciclo OSINT

Hoy en día, podemos encontrar muchos sitios y herramientas. Si bien a simple vista esto puede parecer una ventaja, también puede llegar a ser una desventaja si no se lleva adelante un correcto orden.

Para poder realizar una tarea en forma metódica y ordenada, es importante respetar cada una de las fases que involucra el ciclo de OSINT:

• Requisitos: definición de requisitos y objetivos concretos.
• Fuentes de información: definición de las fuentes de información como así también los medios, recursos y herramientas a utilizar.
• Adquisición: recolección y almacenamiento de la información.
• Procesamiento: formato a la información obtenida, y preparación para su posterior análisis.
• Análisis: análisis de la información recopilada y su procesamiento aplicando inteligencia, según el objetivo en concreto.
• Presentación de inteligencia: generación de un informe comprensible, alineado con el objetivo del proyecto.

Los flujos de trabajo

Para realizar una tarea en forma metódica y ordenada, y por consecuencia, aumentar la probabilidad de éxito, es importante basarse en flujos de trabajo, partiendo desde un selector específico y recorriendo diferentes fuentes, para llegar a obtener más selectores y datos valiosos.

A modo de ejemplo, aquí vamos a presentar dos flujos de trabajo , desarrollados por Michael Bazzell (https://inteltechniques.com), uno de los máximos referentes en OSINT. Para una mejor comprensión, utilizaremos los documentos adaptados al español por Julián GL en su blog Ciberpatrulla (https://ciberpatrulla.com).

Flujo de trabajo “Nombre Real”

Fuente: https://ciberpatrulla.com/buscar-persona-nombre-apellidos/

Flujo de trabajo “Nombre Usuario”

Fuente: https://ciberpatrulla.com/identificar-personas-nombre-usuario-nick/

Caso de uso

Ahora que ya hicimos un breve repaso sobre los conceptos principales de OSINT, volvamos al ejemplo inicial. Supongamos que un grupo de ciberdelincuentes tienen como objetivo lanzar un ataque de Ransomware sobre la empresa donde trabajamos.

Para poder hacerlo, previamente necesitan hacerse de credenciales válidas que le permitan acceder a diferentes sistemas, las cuales pretenden obtener mediante campañas de Phishing enfocadas en determinados empleados. Sería una muy mala estrategia lanzar estas campañas con pretextos y escenarios genéricos, por lo cual, utilizarán técnicas y herramientas de OSINT para poder reconocer los objetivos y así, aumentar su eficacia. Una de las tareas más sencillas para poder saber quienes trabajan en una empresa determinada, podría ser una simple búsqueda en Linkedin, tal como se puede apreciar en la siguiente imagen:

A esta altura, ya se podría comenzar a utilizar el flujo de trabajo “Nombre real”. De esta manera, sería posible (siempre dependiendo de la exposición de la persona), obtener algunos datos como:

• Correo electrónico
• Redes sociales
• Alias/Nickname
• Dirección
• Teléfono
• Familiares

Con estos datos en poder de los ciberdelincuentes, les será mucho más fácil armar un pretexto con un gran porcentaje de éxito.

Conclusión

Como demostramos a lo largo de este artículo, existen muchas fuentes desde donde se puede llegar a obtener información, pudiendo atentar contra la privacidad y la seguridad.

Es verdad que no siempre vamos a poder controlar lo que se publica sobre nosotros, ya que algunos sitios gubernamentales, datos bancarios y otros, escapan a nuestro control.

Pero en muchos casos sí podemos actuar, por ejemplo, en publicaciones y comentarios generados por nosotros mismos, en el uso de nuestro correo corporativo para sitios públicos, entre otros muchos ejemplos. Y es allí donde debemos hacer foco: es muy importante entender que la información existe, y solo concientizándonos y concientizando a nuestro entorno podremos cuidar nuestra privacidad, la de nuestra empresa y la de nuestra familia.

Emiliano Piscitelli

Founder & CEO BeyGoo

beygoo.io

Leer Más

¿Por qué simular Ransomware?

La Organización Europea de Ciberseguridad ECSO (European Cybersecurity Organization) propone el mes de mayo como el momento del año para reflexionar sobre el Ransomware.

Siendo este tipo de malware el más atractivo para los ciberdelincuentes por su alto rendimiento económico, esperar a que comprometan nuestra organización es demasiado arriesgado y hasta irresponsable.

Hay muchas formas de prevenir, o mejor dicho, de gestionar un ataque de Ransomware, que ya son conocidas: tener al día la estrategia de backup, definir una clara política de actualizaciones de seguridad, armar una defensa del perímetro incluyendo protección de casillas de email, e invertir en el factor humano mediante programas de awareness. De hecho, la guía de OWASP para evitar infecciones de Ransomware describe una lista de 22 procedimientos para gestionar este tipo de infecciones.

Pero cada una de esas medidas deben ser probadas a priori para saber si funcionan correctamente, por ejemplo:

• hacer una prueba de recuperación de backups
• verificar que los sistemas están actualizados en su última versión
• hacer un pentest desde afuera de la organización
• verificar que los sistemas se ejecutan con mínimos privilegios
• testear los antivirus contra un Ransomware de última hora (¿lo haces?)
• medir el comportamiento de los usuarios, es decir, conocer sus hábitos ante posibles ataques de Ransomware

Sobre este último punto trata el presente artículo. Pues en general, todas las demás medidas solo se pondrán a prueba en escenarios reales si algún usuario comete una negligencia que pone en riesgo a la organización.

¿Cómo ingresa el Ransomware en la organización?

Si buscamos en Internet sobre los métodos utilizados por los ciberdelincuentes para ingresar Ransomware en las organizaciones vamos a encontrar respuestas esquivas, incluso en casos muy populares como Wannacry. En ese caso todavía no se sabe a ciencia cierta qué pasó, pero las 3 especulaciones más fuertes son:

• una campaña clásica de ingeniería social vía email,
• equipos expuestos por SMB (puerto 445) a Internet directamente,
• USB o ejecución directa de un binario malicioso.

Si buscamos para otros casos, también vamos a encontrar que los análisis suponen que el Ransomware estaba dentro de la organización y pudo reproducirse utilizando alguna vulnerabilidad específica de la red corporativa. Llama la atención que se ahonde sobre esto último y no sobre el motivo por el cual superó las barreras de protección y logró colarse.

El caso Wannacry es memorable. Recuerdo haberme preguntado “¿Por qué motivo una organización tan grande tendría un puerto como el SMB expuesto a internet?”. La respuesta oficial nunca llegó, pero tampoco se negó que ese puerto pudiera haber estado allí disponible para ser vulnerado.

También hubo otros ataques remotos que pudieron haber entrado por vulnerabilidades propias de software para acceso remoto (RDP por ejemplo). Y hablo en potencial porque si buscamos, volveremos a encontrar respuestas esquivas y nuevamente, foco en cómo se difundió en la organización.

Entonces, si bien podemos decir que los ataques remotos a vulnerabilidades son posibles, no se puede asegurar que ese sea el método principal de ingreso de Ransomware en la organización.

Los otros dos métodos son ataques directos al usuario final, sea por un email o un USB infectado. Si bien la respuesta que podemos encontrar en Internet tampoco es determinante, nosotros mismos podemos pensar cuál es el principal motivo por el cual los ataques de Ransomware siguen siendo tan efectivos, sobre todo en el ingreso.

Pensemos, ¿cuál de los tres métodos es el más usado por los ciberdelincuentes?:

• ingeniería social vía email
• ataque a un puerto expuesto vulnerable
• infección por un USB

O mejor aún, si nosotros fuéramos el ciberdelincuente, ¿qué método utilizaríamos?:

• uno que no requiera grandes conocimientos y sea fácilmente esparcible
• uno que requiera conocimientos técnicos medios o altos, y que solo pueda ser aplicado a ciertas organizaciones descuidadas
• uno que requiera presencia física en el lugar

Creo que la respuesta es bastante obvia.

¿Cómo evitar una infección de Ransomware?

Esa es otra pregunta que se responde normalmente con evasivas, y el foco principal reside en qué hacer una vez que algún equipo (o todos) ha sido infectado. Las medidas preventivas se repiten siempre:

• mantener los sistemas actualizados
• utilizar un software antimalware (si es anti Ransomware, mejor)
• utilizar privilegios mínimos
• proteger el perímetro
• proteger las casillas de email
• concienciar al usuario

Las primeras 5 prácticas son medidas técnicas que venimos escuchando desde los años 90. Sin embargo, no por conocidas han sido necesariamente aplicadas disciplinadamente, incluso en organizaciones con áreas de ciberseguridad muy grandes. No solo porque es difícil, costoso, aburrido y no siempre 100% efectivo, sino porque los sistemas son cada día más complejos y la interacción es tan grande, que incluso con personal, recursos y disciplina, se hace difícil de lograr y mantener en cualquier tamaño de organización.

La última medida, a pesar de que se podría asociar al usuario como el vector de ataque de Ransomware más probable, sigue teniendo una dedicación, inversión y foco bajo, comparativamente con las primeras recomendaciones.

Si suponemos que el vector principal de ataque es el usuario, ¿por qué no se invierte en su concientización?

Creo que muchos conocemos el chiste de aquel ebrio que busca las llaves en la luz, pero cuando le preguntan dónde se le cayeron dice que en otro lugar oscuro, pero  prefiere buscarlas en la luz porque las vería iluminadas. Salvando las diferencias, pienso que podemos establecer una analogía: para muchos informáticos a cargo de la ciberseguridad es más cómodo implementar herramientas tecnológicas, suponiendo que ellas servirán de barrera frente a todos los ataques.

Siendo que hay tanto por mejorar en tecnología, se invierte en más soluciones que gestionan el Ransomware desde el ataque, la contención y la eliminación. Lo paradójico es que, aún sabiendo que también hay que invertir en el fortalecimiento del usuario, esto sigue generando incomodidad y reticencia. En primer lugar, porque el factor humano no es software o hardware, ni tampoco controles agregados de procesos o legales. Tratar con las personas se piensa como un proceso más complejo.

Muchos responsables de ciberseguridad dicen abiertamente que no quieren gestionar el factor humano. Algunos son sinceros y expresan que no se sienten cómodos. Otros se excusan alegando que el comportamiento humano no va a cambiar y no vale la pena invertir en ello. Algunos otros que han trabajado durante mucho tiempo para mantener alejados a los usuarios lo más posible de su área, se abruman por solo pensar en mantener una comunicación bidireccional.

Afortunadamente, este enfoque está cambiando. Hoy es claro que las herramientas tecnológicas no son suficientes. El concepto de seguridad en capas empieza a comprenderse, y no solo el ciberdelincuente sabe que el vector de ataque más efectivo es el usuario (y va a seguir siéndolo hasta que no se invierta de forma constante y proporcionada en una estrategia integral).

Si decimos que el usuario es un punto de ingreso e infección de Ransomware, entonces deberíamos simular estos ataques en la organización.

¿Para qué simular Ransomware?

Muchos responsables de ciberseguridad o IT buscan plataformas de simulación de Phishing o Ransomware con el objetivo principal de medir el comportamiento de los usuarios frente a posibles ataques, y así conocer el nivel de riesgo de la organización.

¿Por qué destacamos este punto? Principalmente, porque si deseamos saber cómo se comportarían nuestros usuarios frente a un ataque real, debemos asegurarnos que las trampas simuladas se comporten como si fueran trampas verdaderas.

¿Cómo es un ataque de Ransomware simulado?

Las simulaciones de Ransomware (simulated Ransomware attack) deberían ser una práctica realizada mensualmente en cualquier organización, por el impacto y la alta probabilidad que implica este riesgo.

Una simulación de ataque de Ransomware, a diferencia de un ataque tradicional de Phishing, no busca medir la negligencia de un usuario al entregar información sensible sino si este tendría un comportamiento riesgoso a la hora de descargar y abrir archivos. Es decir, que ambos tipos de simulación comienzan por un ataque de ingeniería social, complementado con herramientas que permitan confundir al usuario (spoofing y certificados SSL válidos). La diferencia radica en la parte final, donde se demuestra si el usuario podría haber sido el vector de ataque que permite ingresar al Ransomware en la organización.

En una simulación de Ransomware no hay infección, sino que solo se miden los hábitos de los usuarios. El archivo ejecutado es inocuo, y lo que recibe el usuario  es un mensaje educativo que le permite saber el peligro que ha sorteado.

Y ahora sí entonces, ¿por qué simular Ransomware?

• Porque es el ataque más popular por los ciberdelincuentes, en todas sus modalidades, por ser el ataque más redituable
• Porque están creciendo enormemente los ataques de Ransomware y las condiciones son propicias para siga sucediendo
• Porque el usuario es uno de los vectores de ataque preferidos
• Porque si no estás simulando Ransomware, no estás gestionando ese riesgo
• Porque no sabes por dónde entrará el próximo Ransomware

Todo esto no tiene por qué ser abrumador. Plataformas de concientización en Seguridad de la Información como SMARTFENSE ofrecen simulaciones integradas de Ransomware listas para usar. Además, los partners especializados en ciberseguridad pueden acompañar estos procesos organizacionales con herramientas, reportes y servicios especializados, facilitando la tarea de los CISO y responsables de área.

No quedan más excusas.

Leer Más