martes, 29 de junio de 2021

¡Deja ya de hacer Simulaciones de Phishing! ¿En serio?

¡Deja ya de hacer Simulaciones de Phishing! ¿En serio?



Días atrás encontré un artículo que reunía en un solo lugar los argumentos más comunes contra las simulaciones de Phishing.

Parafraseando, decía más o menos así:

“Las Simulaciones de Phishing no sirven para concientizar a los usuarios, y únicamente los pone en contra del Área de Seguridad, ya que se sienten engañados. Por este motivo, los usuarios saltean las medidas que tomamos y no reportan incidentes. Además, por más que haga Simulaciones de Phishing, nunca alcanzo a una métrica de cero clics, y los usuarios seguro pasan 1 segundo en los momentos educativos. Mejor invertir el tiempo en configurar herramientas tecnológicas. Al fin y al cabo, con ellas se puede incluso calcular el retorno de inversión.”


Uno a uno, destrucción de los argumentos contra las Simulaciones de Phishing

Propongo desmenuzar juntos cada uno de los argumentos y revisar por qué no son válidos argumentando de manera objetiva cada punto.

Argumento: Las Simulaciones de Phishing no sirven para concientizar a los usuarios

Las Simulaciones de Phishing tienen diferentes propósitos, todos ellos complementarios entre sí:

Para lograr este último objetivo, se utilizan las Simulaciones de Phishing en conjunto con Momentos Educativos. Esta herramienta convierte a las simulaciones no sólo en una manera de concientizar, sino que permite detenernos a pensar en el mejor momento posible, cuando la probabilidad de aprendizaje y asimilación de un contenido por parte de los usuarios es más alta.

Argumento: Las Simulaciones de Phishing únicamente pone a los usuarios en contra del Área de Seguridad. Por este motivo, saltean las medidas que tomamos y no reportan incidentes.

Y claro. Si sólo lanzamos Simulaciones de Phishing sin dar ningún tipo de feedback a nuestros usuarios, o si damos feedback negativo destacando lo que el usuario hizo mal, lo que menos vamos a generar es una buena imagen del Área de Seguridad. Eso va a contribuir a una respuesta cada vez más pobre frente a las medidas del área. Tengamos un poco de sentido común ;).

¿Es esto culpa de las Simulaciones de Phishing? No, es culpa de que no sabemos usarlas. Seguramente la imagen del área no dependa únicamente de las simulaciones, ¿no?. De hecho, es gracias a las herramientas de concientización que esta imagen puede mejorarse, y esa mejora puede medirse de manera objetiva.

Argumento: Además, por más que haga Simulaciones de Phishing, nunca alcanzo a una métrica de cero clics.

¿Todavía crees en la seguridad al 100%?


Si es así, entonces no tenemos claro por qué simular, o bien, será que elegimos cerrar los ojos frente a la realidad. Y posiblemente, tengamos deseos o expectativas que no los pueda cumplir ni Papá Noel:


Argumento: Los usuarios seguro pasan 1 segundo en los momentos educativos.

Siempre es fácil suponer y hablar sin saber. Muchas veces, quienes enuncian estas afirmaciones nunca realizaron una medición y se basan sólo en su “infalible” olfato.

Por suerte para ellos, existen herramientas que presentan a los usuarios Momentos Educativos con preguntas de validación de lectura, que en lugar de medir cuánto tiempo dedica el usuario mirando un contenido, miden lo que realmente importa: si el usuario comprendió el mensaje.

Argumento: Mejor invertir el tiempo en configurar herramientas tecnológicas. Además, con ellas se puede calcular el retorno de inversión.

Sentencia común de quien cree en la seguridad al 100%: se apoya únicamente en herramientas tecnológicas y desconfía del usuario.

El argumento se cae a pedazos leyendo cualquier informe de ciberseguridad de la última década. En todos ellos, el Phishing se menciona como la puerta de entrada de más del 90% de los ciberataques. Si las herramientas tecnológicas realmente brindasen el nivel de seguridad que algunos creen que brindan, la estadística sería otra.

Además, en el año 2021, ya debemos tener claro que la seguridad se debe implementar en capas, y que depender sólo de una de ellas, al día de hoy es una irresponsabilidad.

Por último, la capa humana es esencial frente a los ataques de ingeniería social, los cuales suceden muchas veces fuera del perímetro de nuestra organización, en dispositivos personales de nuestros usuarios, y de maneras muy creativas.

El retorno de inversión, por otro lado, puede medirse de manera objetiva y expresarse en informes claros con indicadores gerenciales, respaldados por registros de auditoría inalterables.

Ideas finales

Eventualmente se pueden encontrar argumentos en contra de las Simulaciones de Phishing, que clasifican a esta herramienta como la causa de distintos males que enfrenta el Área de Seguridad. La realidad demuestra que la causa de estos males es en realidad producto de actitudes y conductas internas al área, y del desconocimiento sobre el uso correcto de las herramientas de simulación.

Esto no es únicamente una afirmación de SMARTFENSE. La publicación de Linkedin que motivó este post, tiene decenas de comentarios de responsables de seguridad con experiencia, que indican claramente al autor que su enfoque está lejos de ser correcto.



Leer Más

lunes, 14 de junio de 2021

OSINT para el bien y para el mal

OSINT para el bien y para el mal



Gran parte de nosotros (por no decir todos) utilizamos varios servicios en Internet y de seguro en algún momento compartimos, directa o indirectamente, distinto tipo información personal, como por ejemplo: lugares visitados, fotos, comentarios relacionados a afiliaciones religiosas o políticas, gustos, hobbies, entre tantos otros detalles. Toda esta información no siempre es utilizada con buenas intenciones. Sin ir más lejos, actualmente es más común de lo que pensamos advertir a ciberdelincuentes utilizando técnicas y herramientas de OSINT previo a un ataque de Ransomware. De esta manera, se aseguran un gran porcentaje de éxito sobre las organizaciones víctimas.

¿Qué es OSINT?

Antes de continuar, vamos a precisar el concepto de OSINT (Open Source Intelligence). Podemos definirlo como una disciplina encargada de la adquisición de información desde fuentes abiertas (públicas) para su posterior procesamiento, análisis y aplicación de inteligencia con un objetivo en concreto, como por ejemplo:
  • Investigaciones judiciales (por injurias, amenazas, extorsiones, etc.)
  • Seguridad pública
  • Monitoreo de amenazas
  • Monitoreo de eventos públicos
  • Investigaciones corporativas
  • Protección de ejecutivos
  • Reputación empresarial
  • Análisis de fraudes
  • Seguridad financiera
  • Inteligencia competitiva
  • Marketing
  • Recursos Humanos (por ejemplo, para estudios previos a la contratación de una persona)

Fuentes abiertas, una definición no tan certera

Es muy importante comprender lo que se define por “fuentes abiertas”, ya que aquí podemos encontrar diferencias entre algunos autores. En nuestro caso, concebimos las fuentes abiertas como todas aquellas fuentes a las que se pueda acceder sin ningún tipo de restricción y cuya información esté disponible públicamente.

Sin embargo (y es aquí donde muchas veces se generan discusiones y distintos puntos de vista), puede darse la situación donde sea posible acceder a información sin ningún tipo de restricción, pero la misma fue “publicada” de una manera ilegal, ilegítima y sin el consentimiento de la fuente original (por ejemplo: tarjetas de crédito, credenciales, datos personales, etc), como así también por errores u omisiones de configuración (por ejemplo: cámaras abiertas, archivos compartidos, computadoras accesibles sin restricción, etc).

A continuación presentamos algunos ejemplos de fuentes abiertas (públicas):
  • Medios de comunicación (diarios, revistas, televisión, etc)
  • Información gubernamental
  • Información financiera (pública)
  • Redes sociales, foros, etc
  • Eventos, papers y otras publicaciones institucionales

Los Selectores, claves en la búsqueda de información en fuentes abiertas

Si bien es habitual que una búsqueda lleve a resultados exitosos, el tiempo dedicado a esta tarea (así como la cantidad y diversidad de fuentes consultadas), suele ser uno de los factores determinantes: a mayor tiempo asignado, mayor posibilidad de ejecutar un “mapeo” consistente, y mayor cobertura de las distintas fuentes.

Toda búsqueda de información en fuentes abiertas suele iniciarse a partir del conocimiento de una o varias “claves de búsqueda”, que llamaremos “Selectores”:

Los Selectores Comunes pueden ser:
  • Nombre
  • Correo
  • Alias/Nick
  • Número de teléfono
  • Empresa
  • Documento de Identidad

Los Selectores Complejos pueden ser:
  • Foto
  • Video
  • Evento

Fases del ciclo OSINT

Hoy en día, podemos encontrar muchos sitios y herramientas. Si bien a simple vista esto puede parecer una ventaja, también puede llegar a ser una desventaja si no se lleva adelante un correcto orden.

Para poder realizar una tarea en forma metódica y ordenada, es importante respetar cada una de las fases que involucra el ciclo de OSINT:
  • Requisitos: definición de requisitos y objetivos concretos.
  • Fuentes de información: definición de las fuentes de información como así también los medios, recursos y herramientas a utilizar.
  • Adquisición: recolección y almacenamiento de la información.
  • Procesamiento: formato a la información obtenida, y preparación para su posterior análisis.
  • Análisis: análisis de la información recopilada y su procesamiento aplicando inteligencia, según el objetivo en concreto.
  • Presentación de inteligencia: generación de un informe comprensible, alineado con el objetivo del proyecto.

Los flujos de trabajo

Para realizar una tarea en forma metódica y ordenada, y por consecuencia, aumentar la probabilidad de éxito, es importante basarse en flujos de trabajo, partiendo desde un selector específico y recorriendo diferentes fuentes, para llegar a obtener más selectores y datos valiosos.

A modo de ejemplo, aquí vamos a presentar dos flujos de trabajo , desarrollados por Michael Bazzell (https://inteltechniques.com), uno de los máximos referentes en OSINT. Para una mejor comprensión, utilizaremos los documentos adaptados al español por Julián GL en su blog Ciberpatrulla (https://ciberpatrulla.com).


Flujo de trabajo “Nombre Real”



Flujo de trabajo “Nombre Usuario”



Caso de uso

Ahora que ya hicimos un breve repaso sobre los conceptos principales de OSINT, volvamos al ejemplo inicial. Supongamos que un grupo de ciberdelincuentes tienen como objetivo lanzar un ataque de Ransomware sobre la empresa donde trabajamos.

Para poder hacerlo, previamente necesitan hacerse de credenciales válidas que le permitan acceder a diferentes sistemas, las cuales pretenden obtener mediante campañas de Phishing enfocadas en determinados empleados. Sería una muy mala estrategia lanzar estas campañas con pretextos y escenarios genéricos, por lo cual, utilizarán técnicas y herramientas de OSINT para poder reconocer los objetivos y así, aumentar su eficacia. Una de las tareas más sencillas para poder saber quienes trabajan en una empresa determinada, podría ser una simple búsqueda en Linkedin, tal como se puede apreciar en la siguiente imagen:


A esta altura, ya se podría comenzar a utilizar el flujo de trabajo “Nombre real”. De esta manera, sería posible (siempre dependiendo de la exposición de la persona), obtener algunos datos como:
  • Correo electrónico
  • Redes sociales
  • Alias/Nickname
  • Dirección
  • Teléfono
  • Familiares

Con estos datos en poder de los ciberdelincuentes, les será mucho más fácil armar un pretexto con un gran porcentaje de éxito.

Conclusión

Como demostramos a lo largo de este artículo, existen muchas fuentes desde donde se puede llegar a obtener información, pudiendo atentar contra la privacidad y la seguridad.

Es verdad que no siempre vamos a poder controlar lo que se publica sobre nosotros, ya que algunos sitios gubernamentales, datos bancarios y otros, escapan a nuestro control.

Pero en muchos casos sí podemos actuar, por ejemplo, en publicaciones y comentarios generados por nosotros mismos, en el uso de nuestro correo corporativo para sitios públicos, entre otros muchos ejemplos. Y es allí donde debemos hacer foco: es muy importante entender que la información existe, y solo concientizándonos y concientizando a nuestro entorno podremos cuidar nuestra privacidad, la de nuestra empresa y la de nuestra familia.


Emiliano Piscitelli
Founder & CEO BeyGoo
Leer Más