Engaño: el mayor agujero de ciberseguridad

En los últimos 2 años, hemos visto tantas vulnerabilidades que afectan a grandes organizaciones que provienen de problemas de software e incluso errores con el protocolo SSL. A pesar de eso, el factor humano sigue siendo el principal problema de seguridad.

¿Por qué forzaría a un sistema a obtener algo si puede obtenerlo usando la puerta principal?

Cuando hablamos de piratas informáticos que rompen los sistemas para obtener datos confidenciales, las personas normalmente piensan que encontraron una vulnerabilidad en un sistema. Esa vulnerabilidad les permitió entrar, mediante el uso de técnicas avanzadas o habilidades de codificación.

La realidad es que la mayoría de los casos ocurren como resultado de la «ingeniería social». Al aprovechar las personas para obtener el acceso que requieren para obtener la información y sin el uso de la tecnología.

Necesitamos comenzar diferenciando a los hackers. Hacker no es lo mismo que un vándalo, pero hay hackers vándalos. Normalmente, estas personas son personas sin interés en la tecnología, pero usan sus computadoras simplemente como una herramienta para ayudar a otros y robar dinero, bienes, servicios o información valiosa.

¿Qué es el engaño? ¿Y cómo se usa?

El engaño se puede definir como una interacción entre dos partes, un engañador y un objetivo, en el que el engañador hace que el objetivo acepte como verdadero una versión específica incorrecta de la realidad, con la intención de hacer que el objetivo actúe de una manera que beneficie al engañador. Debido a que los conflictos de intereses son casi inevitables cuando los humanos interactúan, muchos engaños se encuentran comúnmente en la vida cotidiana.

Los ataques generalmente explotan fallas en el software, y una vez que se encuentran las fallas, se solucionan y los ataques correspondientes ya no funcionan. Si un empleado es engañado y otorga acceso al sistema, ninguna actualización podrá eliminar el acceso, a menos que cambie las credenciales, por lo que siempre es una buena idea forzar y renovar las credenciales periódicamente.

Cualquier canal de comunicaciones puede transmitir información falsa y, por lo tanto, ser utilizado para el engaño.

Miller & Stiff, 1993

Engaño en las organizaciones

Las organizaciones deben considerar seriamente la seguridad. Las medidas de seguridad estándar reducen el riesgo de ser una víctima. Si su organización no sigue las mejores prácticas de seguridad, hay más posibilidades de ser atacado.

Si desea mantener su organización segura, debe tener en cuenta todos los elementos de su organización: personas, redes, dispositivos conectados a la red local, aplicación de software y sitio(s) web.

El sitio web es normalmente el primer objetivo. Es el activo más importante para muchas empresas y también es la cara para las personas externas. Es el lugar donde las empresas construyen una reputación, y donde en muchos casos, se construye una Intranet con información confidencial. Un competidor malicioso podría intentar robar información, eliminar el sitio o simplemente usarlo como un canal para ingresar a la red. Dependiendo de qué tan seguro sea su sitio web, se podría cargar un script malicioso e instalar malware en el servidor y obtener el control del servidor o incluso de la infraestructura de la organización.

Por otro lado, se puede contactar a las personas por correo electrónico, por teléfono o incluso en persona, y las personas simplemente pueden proporcionar lo que necesitan sin siquiera darse cuenta.

Sabiendo eso, necesitamos enfocar la seguridad y seguir las mejores prácticas de seguridad en 2 áreas:

Consideraciones tecnológicas de seguridad

• Mantenga las organizaciones actualizadas.
• Instalar software antivirus actualizado para máquinas.
• Implemente políticas estrictas de autenticación.
• Otorgue acceso a los archivos e infraestructura de la organización solo a través de VPN.

Seguridad con las personas

• La educación sobre seguridad básica es clave.
• Haga que los procesos clave dependan de varias personas.
• Implementar autenticación de 2 factores.

¿Cuál es la mayor amenaza para la seguridad de un negocio? Un ingeniero social. Un mago que te está mirando con su mano izquierda mientras que su mano derecha está robando tus secretos.

Kevin D. Mitnick, 2002

Una persona malintencionada no necesita tener conocimientos avanzados de redes para acceder a su computadora. El atacante solo necesita encontrar una manera de engañar a un usuario confiable para que revele información o truco para proporcionar acceso. Ninguna tecnología en el mundo puede proteger una empresa si un empleado de confianza es engañado, manipulado, influenciado para revelar información confidencial. Aquí es donde se trata de la importancia de la educación. ¡Los empleados necesitan ser entrenados!

Algunos de los temas clave que un empleado debe conocer son:

• Phishing: los empleados deben entender que existe y que es muy fácil confundir un sitio web auténtico con uno falso. Es importante que sepan reconocer un correo electrónico o sitio web falso: URL, certificados, entre otros.
• Hábitos seguros de Internet: los sitios web de fuentes desconocidas pueden poner en riesgo la información del empleado. Las cookies pueden ser fácilmente ocultas o se puede introducir Malware en la máquina.
• No descargue archivos o software de fuentes no confiables: para ahorrar algo de dinero, podría estar instalando una puerta para los hackers. ¡Siempre instale aplicaciones de la fuente original!
• ¡No todo se trata de computadoras! Valide sus llamadas e incluso las personas con las que está hablando. Para las grandes organizaciones, puede suceder que alguien finja ser alguien que no conoce y obtener información valiosa de usted con información que se recopiló de alguna investigación básica.

Podríamos continuar con una lista interminable de ejemplos porque la creatividad humana no tiene un final. El engaño es un arte. La tecnología facilita el trabajo y la comunicación, pero al final, la seguridad es solo una cuestión de personas. Personas que no siguieron las mejores prácticas o personas engañadas con una combinación de tecnología y psicología. Siga adelante y verifique sus hábitos de seguridad, nunca es demasiado tarde.