Investigación

Acciones ante ataques de ciberseguridad por Covid-19

No comments

Con la propagación del COVID-19 el mundo ha visto un fuerte aumento en los ataques cibernéticos. Principalmente, estas amenazas han afectado los sistemas de atención médica mediante el uso de spear phishing y ransomware. Sin embargo, debido al aumento del trabajo remoto, los criminales están aprovechando las vulnerabilidades cibernéticas, para lanzar ataques de suplantación combinados que comprometen el correo electrónico comercial (BEC) dirigido a los sistemas financieros; ataques a la cadena de suministro centrados en operaciones de fabricación y ataques de denegación de servicio (DDoS) en las industrias de energía, hotelería y viajes.

Al darse cuenta de que 40 % o más de las vulnerabilidades cibernéticas están directamente relacionadas con el comportamiento de los empleados, según los más recientes estudios, es vital que las organizaciones se centren más en sus empleados a través de la conciencia de seguridad cibernética, educación, capacitación y uso de simuladores para crear un firewall humano más fuerte a fin de proteger sus activos digitales vitales. Después de todo, según los hallazgos de IBM Security, el costo promedio de una violación de datos cibernéticos asciende a USD$ 8.2M.

 Para reducir tanto la probabilidad de un ataque cibernético o una violación importante de datos y mitigar los impactos financieros y reputacionales negativos, BDO, recomienda las siguientes acciones aplicables a todas las industrias:

– Crea una cultura organizacional de ciberseguridad: asegúrese de que el C-Suite promueva y respalde de manera consistente a todos los empleados que practiquen políticas, procesos y procedimientos de ciberseguridad efectivos a través de un programa integral de concientización, educación y capacitación que incluye campañas de spear phishing y tablas clasificatorias ante la violación de datos cibernéticos.

– Implemente evaluaciones avanzadas de diagnóstico cibernético: haga evaluaciones de ciberataques por correo electrónico, evaluaciones de ciberataques de redes y puntos finales, evaluaciones de escaneo de vulnerabilidad, pruebas de penetración y campañas de phishing.

– Establezca un plan rápido de respuesta a incidentes por ciberataque: desarrolle y pruebe periódicamente un plan de respuesta a incidentes del sistema de información bien coordinada en toda la empresa para identificar, contener, erradicar y recuperarse rápidamente de los ciberataques.

– Realice monitoreos, detección y respuesta (MDR) 24 x 7 x 365: es esencial monitorear, detectar y responder continuamente a todos los incidentes cibernéticos, incluidos: ataques al correo electrónico, red, aplicaciones de software y todos los puntos finales del sistema de información utilizando software para la gestión de eventos de información de seguridad (SIEM), herramientas de visualización de datos, automatización y capacidades de inteligencia artificial (IA).

– Asegure la resistencia del sistema de información: implementar y practicar pruebas periódicamente como un plan de continuidad comercial (BCP) y un plan de recuperación ante desastres (DRP) para toda la empresa.

COMPUTERWORLD

Andres Eduardo Sandoval LunaAcciones ante ataques de ciberseguridad por Covid-19
Leer más

9 signos de que estás expuesto a la ingeniería social

No comments

La ingeniería social y el phishing son la pareja de radares que representa la mayoría absoluta de los ataques contra su organización y su personal. Además, estos tipos de ataques son casi imposibles de proteger de cualquier otra forma que no sea la sensibilización de todos los empleados de la organización.

Todos pueden ser engañados; Es casi peor caminar y pensar que eres demasiado inteligente para dedicarte a la ingeniería social y al phishing. Los atacantes se han vuelto extremadamente expertos en el diseño de sus ataques, lo que dificulta la identificación de los legos, además de utilizar técnicas legítimas, como certificados inexactos y dominios “falsos”, para que sus métodos sean aún más creíbles. Aquí hay nueve signos de que está expuesto a la ingeniería social.

  1. Alguien necesita tu contraseña

Este es, con mucho, el signo más común de que está expuesto a la ingeniería social. Viene por correo electrónico, un sitio web que visita o por llamada telefónica. El principio a seguir es muy simple: nunca, nunca, nunca le des tu contraseña a nadie ni a nada. Punto.

Incluso si fuera su jefe, un técnico de TI en el trabajo, un correo electrónico increíblemente creíble o quien sea o lo que sea, es una parada. Ok? Realmente no necesita verificar la autenticidad de los correos electrónicos, las URL y los dominios, algo que apenas los expertos pueden hacer, es mucho más fácil simplemente decidir sobre el principio de nunca dar una contraseña sin importar qué.

Si no está seguro de si su cuenta es segura, inicie sesión de la manera habitual que siempre lo hace. Después de iniciar sesión, puede verificar si hay errores o eventos. Lo importante es que lo haga usted mismo abriendo la página web actual o similar, no yendo a la página haciendo clic en un enlace en un correo electrónico.

La mejor manera de contrarrestar este tipo de ataques, además de decir siempre que no, es mediante autenticación de dos factores y / o manejadores de contraseñas que aleatorizan contraseñas largas al azar; es difícil deshacerse de una contraseña que no conoce. Introduzca la autenticación de dos factores en su organización, hoy es simple y económico. Si ejecuta un servicio donde las personas necesitan iniciar sesión, haga lo mismo allí. Demuestre que es una organización moderna que piensa en la seguridad de sus empleados y clientes al usar contraseñas.

  1. Alguien quiere que ejecutes contenido

La siguiente forma más común de ser engañado es ejecutar contenido. Esto puede aparecer por correo electrónico o un sitio web, pero lo más común es a través de las redes sociales. Un ejemplo clásico es que una publicación en Facebook, por ejemplo, muestra un video. Parece muy divertido, el helado de bocadillos del mundo, pero desafortunadamente no puedes ver el video antes de instalar un códec de video. Otro ejemplo es un sitio web que no puede mostrar el contenido correctamente antes de instalar un pequeño complemento o similar. Inteligente, ¿verdad?

Lo que realmente instalará es una puerta trasera, un llamado “archivo cuentagotas” que intenta apoderarse de su computadora y “llamar a casa” para descargar código malicioso adicional.

Si realmente es que parece necesitar un códec o un complemento para una página web, lo que es muy poco probable ya que los navegadores modernos admiten prácticamente todos los diferentes formatos y tipos de contenido disponibles, instale el programa manualmente a través del sitio oficial para el programa en cuestión. Sin embargo, es mucho más probable que haya configurado ajustes duros en su navegador, lo que en sí mismo es bueno, o que el desarrollador del sitio web necesite un curso de programación.

  1. Nombres de dominio extraños, similares o falsos

Conectado al primer punto está el fenómeno de nombres de dominio extraños, mal escritos, similares o simplemente falsos y URL dudosas. Raramente tienen algo que ver con el dominio real, pero es bastante común que las grandes empresas compren todos los dominios similares al real para evitar el phishing. Si no hay peligro, solo se te redirige al dominio real si deletreas accidentalmente, pero es un mal seguro.

La mayoría de la gente entiende esto, pero tomamos algunos ejemplos solo para mostrar a qué prestar atención:

apple.annandoman.com <-> annandoman.apple.com – verifica el orden de los subdominios.

applr.com – r se encuentra cerca de la e en el teclado, fácil de deletrear.

apple.one: hay millones de sitios falsos que tienen el nombre real de la empresa, pero en otro dominio de nivel superior.

Tenga en cuenta que esto también se aplica a las direcciones de correo electrónico y, por ejemplo, a los sms. Es bastante fácil falsificar una dirección de remitente, incluso si parece que el correo electrónico proviene por usted.

  1. ¡Siempre tiene prisa!

El estrés hace que te confundas y liberes todo, al igual que los atacantes. Por lo general, si no actúa ahora, sucederá algo grave, como ser bloqueado de su cuenta o la empresa se arriesga a perder un trato. Esta categoría también incluye el estrés de la vergüenza, por lo que puede estar expuesto a algo vergonzoso que los atacantes han encontrado. Por supuesto que no. Y casi nunca tiene prisa por guardar una cuenta o cerrar un trato.

  1. La dirección del remitente que se muestra en un correo electrónico no es la misma que la dirección de devolución

Ciertamente no es del todo seguro, pero a menos que la dirección del remitente sea la misma que la del remitente, se debe tener cuidado. Este es un truco de phishing común, pero también ocurre en contextos de marketing o soporte. Además, busque los correos electrónicos que provienen de una persona que conoce, pero no de la dirección normal del remitente.

  1. Cuenta bancaria modificada o nueva información de pago

Los estafadores pueden intentar que les paguen facturas enviándoles información sobre una nueva cuenta bancaria u otra información de pago. Se encuentra un fraude particularmente difícil si piratearon la organización que normalmente recibe los pagos y le envía información sobre la cuenta modificada. Pueden pasar meses antes de que se descubran estas estafas. Todos los cambios en las cuentas bancarias u otra información de pago deben verificarse con una llamada a ellos que los estafadores fingen ser.

  1. ¿El remitente es poco formal o usa el tipo de nombre incorrecto?

El estafador puede revelar muchos correos electrónicos fraudulentos al no poder obtener los códigos informales (o formales) entre usted y el remitente normal. Por ejemplo, si su colega normalmente termina su correo electrónico con “Kalle” y ahora dice “Karl Olsson”, o viceversa, puede ser algo sospechoso. O, en casos normales, el remitente siempre escribe “Hola Lisa”, pero ahora es solo un “Gane”. Todas esas desviaciones de la rutina que debes tener en cuenta. Llame y consulte con la persona en cuestión.

  1. El remitente definitivamente no puede ser llamado

Un procedimiento común es que el atacante no quiere usar el teléfono, especialmente no quiere que lo llame para verificar algo. Quienquiera que diga ser, por lo general, nunca tiene problemas para ser llamado, pero ahora han dejado caer repentinamente el teléfono o tienen otro escape para no recibir llamadas. Curiosamente, por ejemplo, pueden chatear y usar las redes sociales tanto como sea posible, pero no conversaciones. La razón, por supuesto, es que inmediatamente escucharías que es la persona equivocada.

  1. Si es demasiado bueno para ser verdad, no lo es

Si un comprador está más que feliz de pagar su precio inicial algo elevado, más el envío, más muchas otras cosas que se pueden agregar, o si un vendedor tiene algo que desea a un excelente precio, tenga cuidado. Si es demasiado bueno para ser verdad, a menudo es algo complicado. Termine la conversación de inmediato.

En el futuro, muchos de estos métodos pueden volverse aún más difíciles de detectar. Se pueden usar varias formas de IA, por ejemplo, para representar voces y caras, algo que ya ha sucedido en la práctica. Pero hasta entonces, estos nueve consejos lo ayudarán a descubrir la ingeniería social. Sospechar y estar alerta no está mal en el entorno de red actual.

Andres Eduardo Sandoval Luna9 signos de que estás expuesto a la ingeniería social
Leer más

Ingeniería Social y Ciberseguridad.

No comments

 .

 El error humano es la puerta de entrada de la mayoría de los ciberataques.

En este sentido, la ingeniería social es la técnica más utilizada por los ciberdelincuentes, para conseguir perpetrar sus ataques.

Pero ¿qué es exactamente la ingeniería social y como afecta a la ciberseguridad?

La ingeniería social consiste en utilizar técnicas de manipulación de personas para convencerles de que actúen de determinada forma y sacar un beneficio. Nuestro comportamiento es predecible y los expertos en psicología saben qué teclas tocar para conseguir algo de otra persona.

No hay nada nuevo bajo el sol. Las estafas de toda la vida como el tocomocho, la estampita o la estafa nigeriana no dependen de la tecnología, dependen la facilidad con que se puede manipular el comportamiento de una persona.

Estas mismas técnicas se han reinventado y adaptado a los nuevos tiempos, utilizando nuevos canales y nuevas tecnologías.

En la ingeniería social interviene más la psicología que la tecnología y, por tanto, no existe ningún sistema informático que nos pueda proteger de un ataque de este estilo, porque es mucho más sencillo manipular a una persona que intentar romper la seguridad de un sistema informático. 

Por eso, la mayoría de los cibercriminales no invierten mucho tiempo en probar tecnologías complejas para sus ataques, sino que aprenden técnicas de ingeniería social. De hecho, existen páginas web con información valiosa donde aprender los métodos para engañar a las víctimas (desde Tecteco no vamos a hacer publicidad de estos espacios).

Principios en los que se basa la ingeniería social

Las técnicas de manipulación son más antiguas que la tos y, ya por los años 80, Robert Cialdini escribió un magnífico libro sobre los principios de la influencia, los cuales llevan años estudiándose y aplicándose desde entonces en marketing, publicidad y ventas.

Porque igual que convences a alguien para que te compre un producto puedes hacerlo para que realice otro tipo de acción, como, por ejemplo, para beneficio de un ciberdelicuente.

En su libro, Cialdini identificó los siguientes 6 principios básicos de la influencia:

Reciprocidad:

Cuando alguien nos regala algo o nos hace un favor, nos sentimos en deuda con esa persona y trataremos de devolverlo. Por ejemplo, en la venta callejera te regalan un pequeño objeto por el que luego nos sentimos obligados a comprarles algo a cambio.

Urgencia:

Todos hemos sido influenciados por esta técnica. En ella se apela a la caducidad de una oferta o a la escasez de un producto para movernos a actuar con rapidez y sin pensar demasiado si estamos haciendo lo correcto o lo que nos conviene.

Coherencia y compromiso:

Somos animales de costumbres y solemos actuar en función de cómo lo hemos hecho anteriormente con el fin de proyectar una imagen coherente de nosotros mismo. En este sentido, si consigues que alguien se comprometa con algo, hay muchas posibilidades de que sea coherente con dicho compromiso de manera automática. Por ejemplo, un ciberdelincuente que haya suplantado la identidad de un empleado puede pedirnos que realicemos determinadas tareas «normales» para que, en un momento dado, pedir otra que, por extraña que nos parezca, nos sintamos comprometidos a realizar para mantener nuestra coherencia interna.

Confianza:

Solemos hacer caso de las personas que nos caen bien. Los ciberdelincuentes buscan ganarse nuestra confianza previamente a un ataque. Se hacen pasar por otra persona, crean perfiles que se ajusten a tus preferencias para conseguir que actúes. Los ciberdelincuentes se aprovechan de las debilidades humanas (dinero, sexo, etc…) camelarse a sus víctimas.

Autoridad:

Nos han educado para ser obedientes con la autoridad, algo que se considera positivo. Cuando recibimos un mensaje de una autoridad legítima, tendemos a darle crédito y obedecer, sin preguntarnos si lo que se solicita tiene o no sentido. Por ejemplo, ante una petición del director general de que le facilitemos las credenciales de acceso, no se nos ocurre negarnos. En términos de ciberseguridad, la suplantación de identidad juega un papel clave en este tipo de engaños.

Validación social:

Como seres sociales que somos, buscamos la aprobación del colectivo. Ante situaciones de incertidumbre, recurrimos a saber qué comportamiento es correcto fijándonos en lo que hacen los demás. Es eficaz y reduce errores porque tendemos a pensar que cuanta más gente hace algo concreto, más acertado nos parece. Lo vemos constantemente en redes sociales, donde muchas veces compartimos o nos gusta algo por el simple hecho de que muchos lo hacen; o nos guiamos por las valoraciones que tiene un restaurante para decidirnos por uno u otro. En cuanto a ciberseguridad, podemos también actuar guiados por lo que hacen otros, sin plantearnos si es o no correcto.

Tipos de tácticas de ingeniería social

Los ciberdelicuentes que usan técnicas de ingeniería social se pueden clasificar en dos grandes grupos (curiosamente, esta clasificación se utiliza también para identificar los distintos tipos de vendedores):

Los cazadores:

Son los que van directos al grano. Buscan conseguir el mayor beneficio en el menor tiempo posible, por lo que suelen contactar con la víctima y conseguir su objetivo con la menor exposición posible, como haría un cazador acechando a su presa.

El ejemplo clásico de ataques de este corte es el phishing, donde, a través del correo electrónico u otros medios de comunicación (Whatsapp, Messenger, sms, etc…) se solicita, mediante engaño, que la víctima facilite información sensible como credenciales de acceso o le instala malware que permita tomar el control del dispositivo.

Los granjeros:

Son los que, por el contrario, prefieren ganarse a su víctima y mantener el engaño el mayor tiempo posible, para poder exprimir al máximo a ésta y aprovecharse de su conocimiento, información o posición dentro de una organización.

Este tipo de ciberdelicuentes se camelan a sus víctimas, utilizando información recopilada en redes sociales o robada directamente y consiguen ganarse su confianza hasta que consideran que está lista para recolectar sus frutos. Un ejemplo de este tipo de engaños es el de las novias rusas que se enamoran por Internet.

Cómo defendernos de la ingeniería social

Todos hemos picado en las técnicas de ingeniería social, no ya de acciones fraudulentas, pero sí cuando se utilizan como armas de venta (¿quién no ha caído alguna vez en una oferta irresistible?)

Por tanto, son difíciles de evitar y será necesario tener un gran entrenamiento para reconocerlas. Si la técnica es muy sofisticada puede que acabemos cayendo en la trampa, aunque, afortunadamente, la mayoría suelen ser bastante burdas.

Algunos consejos para poder identificarlas o, de al menos, mantener en alerta:

  • Si algo es demasiado bueno para ser verdad, es que seguramente lo es y, por tanto, tiene truco. O el viejo dicho de «nadie da duros a cuatro pesetas». Si te ofrecen una fortuna por tu cara bonita y todo es fácil de conseguir es que seguramente sea una estafa.
  • Evita ser compulsivo, porque la urgencia y las prisas son malas consejeras. Si te ofrecen algo que requiera una respuesta inmediata, piensa antes de actuar. A veces una simple búsqueda en Internet te sacará de dudas
  • Desconfía siempre de los correos que pidan datos personales. Si recibes uno de ese tipo, fíjate en el remitente del correo, la mayoría de las veces son dominios que no corresponden con empresas reales. Puedes buscar ese dominio en Internet y comprobarlo.
  • La mayoría de los mensajes están mal redactados, y aunque se han sofisticado y mejorado, muchas veces hay detalles sutiles o errores que a una empresa seria no se le debería de pasar.

Por último, una simple búsqueda en Internet puede ofrecer mucha información. Ante un mensaje sospechoso, hacer una búsqueda llevará poco tiempo y seguramente se obtenga la confirmación de que es una estafa.

TECTECO

Andres Eduardo Sandoval LunaIngeniería Social y Ciberseguridad.
Leer más