por Vladimir Amarante
Ataques direccionados basados en ingeniería social - técnica que busca conocer los hábitos de los colaboradores para facilitar la entrada de malwares o ganar acceso privilegiado - son una práctica creciente en todo el mundo. Ellos son formulados con foco en compañías específicas, centrando esfuerzos en grupos de usuarios determinados y utilizan como base el comportamiento de navegación en Internet y de comunicación para facilitar la invasión. Dos muy comunes son el spear-phishing y el watering hole.
Evitar ese tipo de acción es un trabajo complejo, porque el invasor invierte tiempo y foco en la elaboración de una estrategia certera y discreta, basada en mucha investigación y persistencia. Sin embargo, eso no significa que sea una tarea imposible. Es importante, entonces, conocer bien al enemigo, para poder combatirlo.
¿Qué es spear-phishing?
Por el spear-phising, el usuario recibe un correo electrónico que lo invita a pinchar un enlace malicioso. La diferencia en relación a las acciones masivas es que por el spear-phishing tanto el mensaje como la oferta son direccionadas para su perfil de actuación en la empresa. Un departamento de Recursos Humanos, por ejemplo, difícilmente va a negarse a abrir un currículo enviado en adjunto a un correo electrónico, de la misma forma que a un vendedor no le parecerá raro bajar una presentación institucional de un potencial cliente. En 2014, el mundo lidió con un promedio diario de 73 spear-phishing, según el Reporte de Amenazas de Seguridad en Internet, producido por Symantec con datos referentes a 2014.
¿Qué es watering hole?
En ataques del tipo watering hole, los cibercriminales conocen el comportamiento de navegación en Internet de un grupo de usuarios e infectan los sitios web más visitados con enlaces o contenido maliciosos. La posibilidad de éxito aumenta, ya que las amenazas quedan "escondidas" en un ambiente aparentemente seguro.
¿Qué motiva las invasiones?
Hay dos grandes motivaciones por tras de un ataque direccionado: o se trata de ganancia financiera - obtenida con el robo de informaciones contables, campañas de marketing, base de clientes, propiedad intelectual en general - o el foco es el ciberactivismo, sea porque el invasor quiere causar un perjuicio para la empresa o para ganar visibilidad.
¿Quiénes son los blancos?
El estudio de Symantec muestra que colaboradores individuales (27%), pasantes (26%), directores (19%) y gerentes (6%) fueron blanco de al menos un ataque del tipo spear-phishing el año pasado. Por sector de actividad, manufactura (20%); servicios no tradicionales (20%); finanzas, seguros e inmuebles (18%); servicios profesionales (11%); y mayorista (10%) son las industrias más visadas por los invasores.
¿Cuáles son las puertas de entrada más comunes?
Se puede entrar en la infraestructura corporativa mediante fallas de seguridad convencionales, no corregidas por falta de actualizaciones o configuraciones adecuadas, por ejemplo, pero vemos crecimiento del uso de la vulnerabilidad del tipo día cero, o zero-day - aquellas totalmente desconocidas por el mercado, todavía no catalogadas por los creadores del software o empresas de seguridad. Symantec identificó 24 vulnerabilidades de ese tipo en 2014, mientras las cinco principales llevaron, en promedio, 59 días en ser resueltas por los fabricantes y, quizás, más tiempo aún, por las empresas vulnerables.
¿Cómo evitar?
Obviamente, hay softwares de seguridad desarrollados para proteger las empresas y dar las alertas en casos de comportamiento sospechoso o vulnerabilidades, pero queda la pregunta: ¿el equipo de seguridad de la información está entrenado y en número suficiente de colaboradores para atender todas esas demandas? Considerando que el blanco del ataque son los colaboradores, ¿ellos están conscientes acerca de los riesgos y preparados para evitar los riesgos de esos dos tipos de ataque direccionado?