Quién es quién? (II)

Ingeniería social

En el post anterior #04. Quién es quién?, hicimos una pequeña introducción a la ingeniería social, su impacto, y el marco de evolución cronológica de este fenómeno.

La situación a nivel ciberseguridad a causa de este fenómeno es grave, hasta el punto de que se ha acuñado la manida frase de que el ser humano es el eslabón más débil de la cadena de la ciberseguridad.

Podemos establecer barreras electrónicas muy potentes, pero el agujero en la fortaleza está a un clic de distancia en un enlace malicioso por parte de un usuario (por ejemplo). Y por desgracia, ya no podemos afirmar que los objetivos y agentes causales son usuarios inexpertos o poco concienciados, dado que las técnicas de ataque en algunos casos, se han sofisticado enormemente.

Herramientas

Las herramientas automáticas, como se indicó en la última etapa de la evolución histórica de la ingeniería social en el post relacionado, han simplificado enormemente la ejecución de ataques.

El ejemplo paradigmático es el Social-Engineering Toolkit (SET). Entre otras cosas, permite realizar ataques de spear-phishing incluso clonando sitios web de forma trivial, para simulando ser páginas legítimas, llevar a cabo el robo de credenciales. Es una suite de ingeniería social para automatización de tareas, muchas de las cuales provienen del framework Metasploit, sospechoso habitual del sector. En Kali Linux, vienen ambos instalados por defecto.

El menú de ataques de ingeniería social de SET, cubre lo siguiente:

  • Spear phishing attack vectors. Ataques email dirigidos. Masivos a un objetivo, permiten falsificar el email del emisor.
  • Website Attack Vectors
    • Java applet attack method. Falsifica un certificado Java y carga un payload de Metasploit en un applet.
    • Metasploit Browser Exploit Method. Carga los exploits mediante una web creada/clonada.
    • Credential Harvester Attack Method. Clona una web para capturar users/passwords.
    • Tabnabbing Attack Method. Carga la web maligna cuando cambias de pestaña, para que pase inadvertida.
    • Web Jacking Attack Method. Muestra un aviso de redirección web, y te lleva a un sitio falso.
    • Multi-attack web method. Combina varios de los anteriores, para ver si alguno es efectivo.
    • Full-screen attack method. Falsifica poniendo a pantalla completa una captura, con un enlace desde otro sitio fraudulento. Hay diferentes capturas disponibles en función del Sistema Operativo. Se pueden usar para robar user/pass.
  • Infections Media Generator. Crea USB, CD, DVD con Metasploit ejecutado en autorun.inf, para infectar el equipo al ser conectado.
  • Create a payload and listener. Payload de Metasploit, con servidor a la escucha.
  • Mass-mailer attack. Emails masivos a grupos o individuos.
  • Arduino based attack vector. Emplea un Arduino como teclado USB, se salta la protección de USB autoejecutable, y carga un payload en el dispositivo.
  • Wireless Access Point Attack Vector. Crea un punto de acceso con un servidor DHCP, y DNS falsos, para redirigir el tráfico a la máquina del atacante, interceptar paquetes falsos, ó forzar la ejecución de un applet Java malicioso.
  • QRCode generator attack vector. QR para una URL cualquiera, como un applet Java mailicioso.
  • Powershell attack vector. Ataques específicos de Powershell, consola windows mucho más potente que CMD.

Otra herramienta útil sería Maltego. Permite mediante técnicas de OSINT (Open Source Intelligence), recabar información de la víctima para poder preparar ataques personalizados.

Propuestas de mitigación

Por parte de organismos o entidades oficiales, ya sea públicas o de participación privada, los más relevantes son los siguientes.

CSA (Singapur)

Sede de uno de los centros de INTERPOL, Singapur es un polo tecnológico fundamental en el continente asiático, y como tal el nivel de concienciación en materia de Seguridad en la región es elevado. En 2015 se funda la Cyber Security Awareness Alliance de Singapur, para promover la concienciación y la adopción de buenas prácticas en el ámbito de la ciberseguridad.

Entre los materiales a disposición de particulares y empresas, se encuentran: handbooks, relatos de historias de cibercrimen, libros electrónicos interactivos, flyers, password checkers para verificar cuánto tardaría un criminal en averiguar contraseñas con una composición determinada, una sección completa dedicada a la privacidad de datos, un conjunto de proveedores de servicios de ciberseguridad de confianza, otros enlaces de interés, y un kit de ciberseguridad del empleado.

Éste último, se centra en un cuestionario inicial para conocer el grado de concienciación actual de una organización, y a partir de ahí sugerir un programa de entrenamiento teórico, con presentaciones y materiales auxiliares de utilidad.

CDSE (USA)

El CDSE (Centre for Development of Security Excellence), se crea en 2010 como una escisión del Servicio de Seguridad y Defensa (DSS) dentro del Instituto de Seguridad del Departamento de Defensa (DoDSI), establecido en 1972 en Virginia (USA).

Esta institución gubernamental se centra en proporcionar educación en Seguridad de la Información mediante educación, entrenamiento y certificaciones, para el DoD y la industria americana en general.

Entre los recursos que proporcionan, se encuentra información relativa a casos reales estudiados, soporte y buenas prácticas para diferentes posiciones dentro del ámbito de la ciberseguridad, decenas de cursos de awareness gamificados, posters, píldoras multimedia, artículos cortos, webinares, y toolkits de herramientas.

Dentro de estos toolkits, existe una sección entera, dedicada a SETA (Security Education Training and Awareness). Ésta, contiene multitud de materiales y guías sobre cuatro aspectos primordiales:

  • Cómo crear un programa de entrenamiento.
  • Cómo generar de manera efectiva la concienciación en Seguridad.
  • Cómo formarse (cursos y certificados oficiales) para convertirse en un profesional en este ámbito.
  • Cómo crear adecuadamente los briefings de Seguridad y otros materiales.

NCSC (UK)

El NCSC (National Cyber Security Centre) es un organismo creado en 2016 en Londres con profesionales de los centros de Aseguramiento de Información y Evaluación de Amenazas, y del Centro para la protección de Infraestructuras Nacionales. Su objetivo es proporcionar respuesta temprana a incidentes de Seguridad, siendo punto de contacto para sector público, industria, PyMEs y particulares en general.

Si bien es cierto que su web está llena de contenidos útiles en muchos frentes, no se ha encontrado como tal ningún programa de cyber awareness más allá de artículos concretos referidos a situaciones generadas a raíz del COVID-19 y una guía acerca de la problemática del phishing, en la que exhaustivamente se describe dicha técnica y cómo mitigarla.

NICE (USA)

NICE, National Initiative for Cybersecurity Education. Es una iniciativa del NIST americano a raíz de un partnership entre gobierno, centros educativos y sector privado para fomentar la educación, el entrenamiento y el desarrollo de carreras profesionales dentro del mundo de la Ciberseguridad.

La cantidad de recursos que ponen a disposición del público es ingente. Se listan literalmente decenas de opciones de material y contenidos para aprendizaje y concienciación tanto gratuitos como de coste contenido, segmentados en desarrollo profesional, entrenamiento para instructores, juegos educacionales, y entrenamientos de concienciación.

En este último apartado, concienciación de Ciberseguridad, los ítems disponibles son:

  • El enlace a todos los recursos del CDSE vistos anteriormente.
  • Juegos educacionales para el ámbito familiar.
  • Cursos de bajo coste no técnicos para trabajadores remotos.
  • Cursos de concienciación en aspectos de privacidad y seguridad en gestión de correo electrónico.
  • Cursos de concienciación en gestión de la Información y el uso de la tecnología.
  • Curso de Wizer security gratuito de concienciación, con vídeos, cuestionarios, reportes de progreso y certificados acreditativos.
  • Enlace a un servicio comercial para gestión de phishing awareness mediante cuestionarios online. Curso con coste asociado (15 libras/usuario, impuestos no incluídos).

Adicionalmente, se incluyen otros recursos adicionales internos, de otros organismos oficiales, o proveedores de servicios de Seguridad, además de una lista de proveedores de servicios de formación y entrenamiento de las que las empresas pueden disponer (pagando las tarifas correspondientes).

INCIBE (España)

El Instituto Nacional de Ciberseguridad fue creado en 2006, y se enfoca exclusivamente en temas relativos a la Seguridad de la Información desde 2014. Ofrece servicios y desarrolla tecnologías en este ámbito, apoya al Ministerio de Industria, y presta soporte directo a ciudadanos y empresas.

INCIBE también pone a disposición de particulares y tejido empresarial gran cantidad de activos para mejorar el grado de concienciación en Seguridad y frente a ataques de ingeniería social. En este aspecto, destacaríamos:

  • El blog de concienciación, con multitud de posts de gran valor, relevantes y actualizados conforme a las nuevas amenazas que van surgiendo.
  • Un PDF con Políticas de seguridad para las PyMEs, con una checklist de controles en lo relativo a concienciación y formación en ciberseguridad.
  • Lo más potente desde mi punto de vista: el kit de concienciación. Un archivo comprimido de unos 500Mb, autocontenido. Incluye el manual de implantación de un plan de concienciación para una organización, cubriendo todos y cada uno de los aspectos básicos: cronograma, recursos formativos, trípticos, posters, herramientas para ejecutar ataques de ingeniería social dirigidos (phishing, malware y USB infectados), y plantillas para cuestionarios y encuestas de satisfacción. La duración del plan es de unos 50 días, aproximadamente.

Existen muchas otras soluciones, principalmente para simulación de campañas de phishing y/o realizar labores de concienciación, tanto de:

Actores relevantes del sector IT como Google, IBM, Microsoft, etc.,

Otros jugadores del sector ciber como Check Point, Cisco, Fortinet, McAfee, Proofpoint, RSA, Sophos o TrendMicro.

Proveedores especialistas, como Cofense, Hoxhunt, Ironscales, Mimecast, Phishingbox o Phriendlyphishing.

Soluciones open-source como Gophish, HiddenEye, King Phisher, Lucy, Phishing Frenzy, SecurityIQ PhishSim, Simple Phishing Toolkit (sptoolkit), SpearPhisher BETA, SpeedPhish Framework (SPF) o Veraphish, esta última desarrollada por mí 😉

Técnicas y consejos frente a ingeniería social

A continuación, veremos una serie de buenas prácticas para mitigar en cierto modo los ataques de esta tipología.

Generales

  • Zero trust. Desconfianza siempre por defecto.
  • Cuidar la información pública subida a Internet. Delimitar adecuadamente lo público y privado.
  • Concienciación. No compartir contraseñas ni información con desconocidos.
  • No dar nunca información confidencial o de contacto por teléfono. Sospecha incluso de voces conocidas desde números desconocidos (voice deepfakes comienzan a proliferar en ataques de whaling).
  • Separar correo profesional y personal.
  • No interacciones con correos/SMS de procedencia o aspecto dudoso.
  • No acceder a servicios mediante links de fuentes no confiables, sino directamente desde enlaces directos o la barra de navegación.
  • Utilizar servicios de protección y detección de amenazas que puedan ayudarnos, como antimalware, DNS seguro, etc.
  • Ponte a prueba con herramientas como el Phishing Quiz de Google.
  • Si escaneas códigos QR, intenta validar la URL antes de acceder a ella.

A nivel corporativo

  • No utilizar el correo profesional para uso personal.
  • Servidor de email interno con filtros antispam.
  • Descentralización de la empresa. Definición de segmentos de red, y procesos independientes.
  • No dejar colarse nunca a desconocidos en los control de acceso físico de la empresa, porque “se han olvidado la tarjeta”.
  • Limpiar documentos públicos de metadatos.
  • Formación y concienciación continua.

Consejos anti-phishing (INCIBE)

  • Precaución ante correos que aparentan ser de entidades bancarias o servicios conocidos (Dropbox, Facebook, Google Drive, Apple ID, Correos y Telégrafos, Agencia Tributaria, etc.) con mensajes que no esperabas, que son alarmistas o  extraños.
  • Sospecha si hay errores gramaticales en el texto, pueden haber utilizado un traductor automático para la redacción del mensaje trampa. Ningún servicio con cierta reputación enviará mensajes mal redactados.
  • Si recibes comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, es un indicio que te debe poner en alerta.
  • Si el mensaje te obliga a tomar una decisión de manera inminente o en unas pocas horas, es mala señal. Contrasta directamente si la urgencia es real o no directamente con el servicio o consultando otras fuentes de información de confianza: la OSI, Policía, Guardia Civil, etc.
  • Revisa si el texto del enlace que facilitan en el mensaje coincide con la dirección a la que apunta, y que ésta corresponda con la URL del servicio legítimo.
  • Un servicio con cierto prestigio utilizará sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo tipo @gmail.com, @outlook.com o cualquier otro similar, sospecha.
  • Aplica la ecuación: solicitud de datos bancarios + datos personales = fraude.

Espero que haya resultado interesante. Alguna otra idea, consejo o experiencia vivida? Usa los comentarios!


Suscríbete sin compromiso para recibir nuevos posts, y recibirás acceso gratuito a una Masterclass acerca de qué es la ciberseguridad, por qué es tan importante, y cómo acceder a un puesto en dicho sector. Si estás pensando en formarte en ese ámbito o reciclarte, te vendrá estupendamente.



Comparte esto con quien consideres que puede estar interesado!

Si quieres contactar por privado: oscar.iglesias@daferrasecure.com.

Gracias por leerme. Stay secure!

Óscar

Deja un comentario