Joaquín Pi, periodista freelance que colabora habitualmente en merca2, me escribía hace como cosa de tres semanas al hilo de una pieza que estaba preparando sobre ingeniería social preguntándome algunas dudas que le habían quedado tras ver mi participación en uno de los debates realizados por Yolanda Corral en Palabra de Hacker, cuyo vídeo puede ver al completo en este enlace.
Poco después ocurrió lo de WannaCry, así que fueron publicando varios artículos al respecto hasta este fin de semana pasado, que tras el hackeo a uno de los foros de la Guardia Civil (ES), retomamos la entrevista incluyendo este nuevo suceso.
El artículo ya está disponible en la página de merca2.es, pero dejo por aquí mis respuestas a las preguntas que me fue lanzando. En ellas intenté hacer hincapié en que más que una nueva tipología de ataques, la ingeniería social no deja de ser una extrapolación de todos esos recursos sociales que utilizamos a diario en nuestras interacciones con el resto de humanos, y que han acabado por profesionalizar todos aquellos cuyo cargo esté de cara al público (vendedores, periodistas, escritores, políticos… y como es el caso, cibercriminales).
Por aquí las preguntas, con sus respectivas respuestas:
1. Supongo que te has enterado y la has leído al respecto, pero me gustaría saber si podrías hacer una valoración de los métodos de ingeniería social utilizados para engañar a la Guardia Civil
El ataque en este caso ha tenido dos partes:
- El foro: ACABGang (EN), que es así como se hacen llamar este grupo de hacktivistas, comprometió la seguridad de la web Foro del Guardia Civil (ES), uno de los foros más visitados por aquellas personas que son o están preparándose para formar parte de este cuerpo. El foro estaba desarrollado bajo tecnología vBulletin, y presumiblemente no estaba actualizado. Los atacantes encontraron una manera de vulnerar su seguridad y hacerse con el control del mismo para, entre otras cosas, meter pornografía (solo por trollear, vamos), robar el listado de emails de los usuarios, y usurpar la identidad de alguno de sus administradores.
- La campaña de phishing: Es aquí donde entra la ingeniería social. En nombre de uno de los administradores publicaron un anuncio en el foro de que la herramienta de Webmail que utiliza, al parecer, la guardia civil, había sido actualizada, y que todos aquellos que quisieran seguir utilizándola tendría que entrar con sus credenciales. ¿Te suena de algo?
El resultado es el esperable. Aunque el foro es un foro no oficial, seguramente para muchos guardia civiles es una de las herramientas principales de información sobre todo lo que compete al cuerpo. Y en el momento en el que vieron que un administrador (ni siquiera cualquier otro usuario, uno de los administradores, que ya goza de por sí de la reputación esperable) informaba de un cambio en la dirección del webmail, corrieron raudos y veloces a probarlo. Tan pronto metieron sus credenciales, el ataque ya había tenido éxito.
ACABGang hizo un volcado de todos sus correos y por ahora asegura que los mantendrá a buen recaudo por si a la Guardia Civil se les ocurre armarles alguna.
Es decir, el ataque ha tenido un componente inicial puramente técnico (comprometer la seguridad de un portal frecuentado por las víctimas), y otro puramente de ingeniería social (argumento de autoridad proveniente de uno de los administradores del foro pidiendo que se entrase en una página bajo el control de los hacktivistas).
Controlar algo como esto en una organización es muy muy complicado. Es lo mismo que si tu jefe o el departamento técnico te escribe un email pidiéndote que le pases X información. Lo más probable es que en efecto sean ellos… Pero, ¿y si no?
Y claro, ahora lo fácil sería decirte que lo que deberían hacer los guardia civiles, y en definitiva, todos nosotros ante cualquier petición, es cerciorarse por otro canal (llamada de teléfono, ir hasta el departamento encargado, consultar a un superior…) de que en efecto la fuente es quien dice ser. E implantar un doble factor de autenticación en todos aquellos productos y servicios que nos lo permitan, ya que así, aunque una pata de nuestra identidad ha sido ya comprometida (hemos caído en el anzuelo), aún falta la otra pata, que es que el atacante tenga acceso a nuestro dispositivo de segundo factor para poder entrar en la cuenta.
2. Mencionas en ese debate que existen ataques informáticos donde se emplea la ingeniería social que pueden ser de dos tipos: los ataques masivos y los dirigidos. ¿Habría alguna posibilidad de que una persona susceptible de recibir un ataque dirigido empleando la ingeniería social pueda anticiparse al posible ataque protegiéndose precisamente con conocimientos en esa misma ingeniería social? ¿Cómo debe hacerlo?
Sí y no. Me explico.
Realmente hay que entender que a la hora de realizar un ataque, sea dirigido o masivo, se pueden optar por dos vías:
- Atacar a la máquina: Lo que significa comprometer la seguridad de alguno de los sistemas informáticos que nos permitirían acceder a la información que estamos buscando (credenciales de acceso a cuentas, archivos y documentos, permisos dentro del sistema operativo…). Realizar esto sin la “ayuda” de la víctima, máxime en los sistemas operativos actuales, es verdaderamente difícil y costoso. Hablamos de ser capaces de aprovechar un error en un software que seguramente está más que testado, que la víctima no lo tenga convenientemente parcheado, y que esa vulnerabilidad para colmo opere sin que esta última se de cuenta de ello. A sabiendas de que esto rara vez se cumple, lo más fácil es atacar al elemento de la cadena más débil, que como ya sabrás, es el usuario.
- Atacar al usuario: El grueso de la sociedad desconoce cómo funciona la tecnología que usa a diario, tanto de forma personal como profesional. Tú (y yo) sabemos que cuando le damos al grifo sale agua, pero ni de lejos entendemos ni una décima parte de los sistemas que hacen posible que ese agua llegue a nuestros hogares. Y pasa exactamente lo mismo con nuestros smartphones, con nuestro correo y con las aplicaciones que instalamos. De ahí nace la ingeniería social. El aprovechar ese desconocimiento, y algunos factores extra puramente sociales (confiamos por defecto en algo que no entendemos lo suficientemente complejo, los argumentos de autoridad siguen funcionando, la inmediatez y la urgencia dilapidan la mayoría de defensas que en una situación pausada tendríamos alerta…), se ha demostrado que es la mejor opción para engañar a una víctima. Lo mismo que hacen a diario los comerciales, los políticos, o incluso los periodistas :).
Siendo conscientes de esto, la principal defensa ante un ataque basado en ingeniería social es contrarrestar esas señas identitarias que tiene y utilizar el sentido común: Si esa oferta que nos hacen es demasiado buena…, quizás es que es porque en efecto es demasiado buena para ser verdad. Si este email, supuestamente enviado por nuestro proveedor de servicio, nos insta a loguearnos inmediatamente ya que sino borrarán nuestra cuenta…, habría que pensar por qué nuestro proveedor, que ya tiene nuestros datos, iba a volver a pedírnoslos. Si esa persona que nos quiere vender/comprar algo, nos dice que nos va a ingresar primero parte del dinero y que luego nosotros tenemos que ingresar el resto por un canal tan poco habitual como es Western Union, ¿de verdad que nuestro sentido común no debería mostrar una alerta?
Y te decía que sí y que no porque aunque sentido común (presumiblemente) tenemos todos, lo solemos tener atrofiado, y hay que reeducarlo convenientemente. Conocer los riesgos, que no dejan de ser una extrapolación de los riesgos que hemos corrido con los fraudes de toda la vida, solo que detrás de una pantalla, e intentar siempre dedicarle el tiempo necesario para pensar si lo que tenemos que hacer tiene sentido. Si lo haríamos si en vez de ocurrir en el mundo digital, nos lo plantease un completo desconocido por la calle.
3. Al hilo de la primera pregunta, ¿hay particulares que por su situación sean conscientes de que pueden ser objeto de un ataque dirigido y soliciten los servicios de un profesional en ciberseguridad para anticiparse?
Claro que los hay. Sin ir más lejos un servidor está trabajando hoy en día con un particular que tiene previsto sacar adelante un negocio (fase previa al propio negocio, por tanto), y también llevo tiempo ayudando a directivos de algunas empresas del IBEX35 tanto a nivel profesional (por su cargo son objetivos claros del cibercrimen) como personal (muchos de los ataques se realizan a sus cuentas personales, y de ahí dan el salto a lo que les interesa, que es su perfil profesional).
En la Comunidad que hemos montado alrededor de mi página ofrezco la posibilidad de trabajar con un máximo de cuatro miembros a los que les realizaría una consultoría personal mensual sobre el tema que quieran. hoy en día tengo tres de las cuatro plazas cubiertas (ES), y precisamente una de ellas es de una chica blogger a la que ayudo en este aspecto.
4. ¿Por qué en los ataques dirigidos, por ejemplo contra cargos de empresas del IBEX35 primero tratan de colarse en su perfil personal cuando en realidad buscan información de su posición profesional? ¿Porque en el email personal tiene la guardia más baja? ¿Para desestabilizarlo si es posible emocionalmente antes del ataque definitivo a la info de su vida profesional?
Y no solo eso. Ten en cuenta que las cuentas profesionales están habitualmente monitorizadas por el equipo IT de la compañía. Aunque haya veces que las medidas de seguridad que ha implementado el propio trabajador son insuficientes (si yo te contara…), lo más probable es que por detrás una intrusión fuera rápidamente localizada por el equipo azul (los expertos en seguridad que se dedican a proteger activos de la organización), terminándose así el ataque.
Por contra, las cuentas personales suelen estar desatendidas, suelen depender exclusivamente del trabajador, y es probable que tengan puntos en común con las profesionales (misma contraseña, correo de recuperación…). Además son un camino muchísimo más directo para engañar a la persona. En un entorno corporativo, y presumiblemente después de todos los seminarios de concienciación que habrás pasado, las alertas estarán un poco más activas. En tu cuenta personal, que seguramente utilizas por placer y por estar en contacto con tu gente, aunque el riesgo es exactamente el mismo, tendemos a bajar más la guardia.
5. De los seis pilares de la ingeniería social en los que se apoya un atacante para ser exitoso mencionados por ti en el debate de Palabra de Hacker (la urgencia, la reciprocidad, la consistencia, la confianza, la autoridad, la validación social) ¿En cuál de esos seis hay que incidir más cuando se trata de formar al personal de una empresa para que no caigan en ellos?
Deberíamos hacer hincapié en los seis, ya que definen de una forma bastante simplificada la mayoría de estrategias que siguen los ataques basados en ingeniería social.
Una vez tenemos el apartado técnico más o menos cubierto (lo que me gusta denominar tener una presencia digital saneada), la siguiente fase pasa por implantar una metodología de trabajo apoyada en las herramientas digitales, y por supuesto, dar a conocer al cliente las técnicas que utilizan los malos para realizar sus fechorías.
En ese punto es donde entran esos seis pilares de la ingeniería social que mencionaba en la charla:
- Nada es tan urgente como para que no tengas tiempo para pensar en ello.
- Aunque supuestamente vayamos a obtener un rédito muy superior por algo que nos piden hacer, hay que ser conscientes de que puede que esa promesa jamás se cumpla.
- Aunque seamos animales de costumbres y una vez empezado algo como que nos da cosa no seguir, una huida a tiempo puede evitarnos males mayores, como perder muchísimo más dinero en un fraude.
- Solemos asociar identidad digital con identidad física, cuando realmente ese que te escribe un email o un whatsapp desde la cuenta de tu amigo/a puede que no sea tu amigo.
- Por lo mismo que en el punto anterior, puede que tu jefe haya sido víctima de un robo de identidad, y realmente quien se ponga en contacto con nosotros desde su cuenta sea un cibercriminal.
- Por último, el que en un email con una petición un tanto particular vayan varias personas del equipo no valida dicha petición. Puede que esas personas estén exactamente igual de confusas que tú, y basta con que uno de el primer paso para que el resto lo sigan como corderos.
No es fácil defenderse de un ataque dirigido. De hecho ahí radica su éxito. Pero consiguiendo que el cliente sea capaz de como mínimo encender alguna señal de alerta en su cabeza cada vez que está ante algo ligeramente sospechoso, y trabajando con él para que comprenda cómo funciona la tecnología que utiliza y qué aspectos son los que habitualmente entran en juego en un fraude, minimizamos muchísimo el riesgo a que esa persona o esa organización sea víctima de un ataque exitoso. Lo que es, a fin de cuentas, el objetivo buscado.
Lol