Entrevista con un hacker: lo que necesitas saber para protegerte

NUEVA YORK, 25 de septiembre de 2018 (Newswire.com) – Las estadísticas cuentan la historia: el informe “Estado del Phishing” de Wombat Security indica que el 76 por ciento de las empresas informaron haber sido víctimas de phishing el año pasado, y Webroot Threat Report revela que cada mes se crean casi 1,5 millones de nuevos sitios de phishing. Además, de acuerdo con el Informe de investigación de violaciones de datos de Verizon 2018, 30% de los correos electrónicos de phishing enviados por correo electrónico son abiertos por usuarios específicos, y 12% de estos usuarios hacen clic en enlaces maliciosos dentro de estos correos electrónicos.

Con esto en mente, se realizó una entrevista exclusiva con un “hacker ético”, un experto en seguridad de la información que, con el permiso de las empresas, intenta penetrar los sistemas para evaluar vulnerabilidades que podrían ser explotadas por hackers malintencionados.

P: ¿Qué métodos usan los piratas informáticos para comprometer los sistemas de las organizaciones?

R: La ingeniería social y el phishing son los más comunes; es mucho más fácil que buscar vulnerabilidades de red cuando el objetivo es infiltrarse en el sistema de una compañía. En algunos casos, los piratas informáticos se involucran en ingeniería social y phishing enviando un correo electrónico masivo a un grupo de empleados, pidiéndoles que hagan clic en un enlace a una página donde proporcionarán información que les permitirá ingresar al sistema de una compañía. Pero más comúnmente y para el mismo propósito, utilizarán la información que se encuentra en otros lugares, en los sitios de redes sociales como Facebook, Instagram y Twitter, para crear correos electrónicos personalizados para ataques de phishing personalizados. Las personas tienden a abrir estos correos electrónicos más fácilmente porque parecen provenir de una fuente legítima, una fuente cuya información los hackers han encontrado utilizando las redes sociales. En ambas situaciones, los hackers crearán una sensación de miedo y urgencia, utilizando frases como “¿Puedes mirar a ___?” o “Ayúdenme haciendo clic en este enlace”.

Los hackers también usan el truco del miedo y la urgencia en la ingeniería social que ocurre por teléfono. Aquí, utilizan la información que se encuentra en las tarjetas de visita, LinkedIn y otras redes sociales para contactar a un empleado de la compañía objetivo y posan como otro empleado o gerente que busca asistencia para acceder al sitio web o sistema de la organización. A menudo preguntan qué puede ver el empleado por su parte o en qué está trabajando para pedir “ayuda” para acceder al sistema. Luego, está el ataque de “phishing en el medio”. Para llevarlo a cabo, los piratas informáticos crean un correo electrónico falso de una entidad externa -que no se parece a los correos electrónicos de phishing descritos anteriormente- y lo envían a un individuo en una empresa específica: el “intermediario”, por así decirlo, haciendo clic en un enlace en ese correo electrónico genera un correo masivo de phishing a otros empleados de la compañía que parece provenir del “intermediario”, pero que realmente es una entrada de los hackers al sistema de la compañía. Otro método aprovechado por los piratas informáticos para infiltrarse en los sistemas de las empresas implica el uso de un correo electrónico falso que dirige a los empleados a un curso de “capacitación de seguridad en línea obligatoria”. Una vez que se completa el curso, los empleados son dirigidos a una encuesta sobre el curso o a instalar un programa para certificar que lo han tomado; estos tienen la intención de “agarrar” las credenciales de los empleados para que el hacker en cuestión pueda ingresar al sistema.

Otros esquemas de suplantación de identidad incluyen el envío de correos electrónicos informando a los empleados que sus credenciales han sido cambiadas o que nuevos paquetes de acciones o beneficios están disponibles y solicitando que hagan clic en un enlace para ver su nombre de dominio y contraseña actualizados o los nuevos beneficios. Al hacerlo, coloca las credenciales de los empleados directamente en bandeja de plata a los hackers.

P: ¿Cómo aprovechan los hackers Facebook, Instagram y otras redes sociales para alcanzar sus objetivos?

R: Los hackers usan Facebook, Instagram y otras redes sociales para obtener una gran cantidad de información personal que pueden usar para apuntar a los empleados, así como también para adaptar correos electrónicos de phishing a individuos particulares. También confían en las redes sociales, especialmente Instagram, para encontrar imágenes que les brinden más información sobre sus objetivos, por ejemplo, qué les gusta hacer en su tiempo libre, qué tipo de mascotas tienen e incluso imágenes de insignias de los objetivos. Además, las redes sociales son una buena fuente de imágenes de compañías. A partir de ahí, los hackers pueden averiguar mucho sobre las empresas, específicamente sobre los tipos de sistemas que utilizan y la forma en que se diseñan sus instalaciones. Les facilita planear infiltraciones virtuales y físicas.

P: ¿Cuáles son las cosas específicas que los hackers buscan en las redes sociales?

R: Además de fotografías, los hackers buscan información sobre el lugar de trabajo, nombres de amigos y conexiones comerciales, números de teléfono, direcciones de correo electrónico, cumpleaños, aniversarios, nombres de miembros de la familia, detalles de actividades y afiliaciones grupales, cualquier cosa que se pueda usar para obtener acceso a los esquemas descritos anteriormente. En LinkedIn, específicamente, intentan encontrar la cadena de mando dentro de las compañías a las que apuntan, de modo que un correo electrónico de un “gerente” o superior parece legítimo.

P: Para los piratas informáticos, ¿cuál es lo más accesible que los hackers intentan elegir, en la que quizás no hayan pensado?

R: Cualquier información que se publique en los perfiles de las redes sociales lo es, porque como se describió anteriormente, puede usarse tan fácilmente para dar a los piratas informáticos una ventaja. Esto incluye cumpleaños, aniversarios, nombres de niños, cumpleaños de niños y nombres de mascotas, así como la información relacionada con el trabajo que se encuentra en LinkedIn. Las empresas no siempre pueden decirles a los empleados lo que pueden y no pueden publicar; pueden pedir que su nombre no aparezca en la página de Facebook de los empleados, pero probablemente no puedan decir nada sobre revelar cumpleaños. Sin embargo, pueden sugerir usar precaución.

P: ¿Cómo los hackers ganan credibilidad con las personas con las que se están comunicando?

A: Es fácil. Tal como describí anteriormente, exploran las redes sociales, como LinkedIn, para descubrir a quién apunta la persona a la que apuntan. Luego se refieren a esa persona en la conversación. Por ejemplo, si han descubierto que el gerente de un empleado se llama Bill y quieren ingresar al sistema de una compañía, escribirán en un correo electrónico: “Trabajo con Bill. ¿Pueden verificar este enlace por mí?” O bien, verán en qué departamento caen las responsabilidades de un empleado y descubrirán en las redes sociales quién está a cargo de ese departamento, y usarán su nombre en la comunicación.

P: ¿Qué hay de infiltrarse físicamente en una instalación? ¿Qué métodos comunes de infiltración suelen funcionar?

R: Los hackers siempre se ven y actúan como si pertenecieran al lugar donde pretenden hacer el hack. Por ejemplo, si entran al vestíbulo de una instalación, simplemente siguen a la multitud, sin titubear y mirando al frente. Si hay algún tipo de seguridad física en su lugar, como una puerta o una entrada que solo se puede abrir pasando una tarjeta o una placa, se ejecutará con otra persona. Esto es fácil, porque la mayoría de la gente es educada y tendrá una puerta, e incluso trabaja en agencias gubernamentales y grandes compañías que no han puesto una medida adicional en su lugar, como mirar las identificaciones de cerca.

Es importante señalar que requerir que los empleados usen tarjetas de identificación en todo momento no es infalible. Los piratas informáticos son muy buenos en la fabricación de insignias falsificadas, que pueden hacer fácilmente mediante el uso de imágenes de insignias de empleados publicadas en las redes sociales. Todo lo que es necesario es cambiar el nombre del empleado por su propio nombre.

P: ¿Qué técnicas utilizan los piratas informáticos cuando hablan en persona con una recepcionista o empleado de una empresa?

R: Tratan de crear una relación con la persona, posiblemente utilizando la información que han encontrado en las redes sociales. Por ejemplo, intentarán hablar de deportes si han visto en las redes sociales que la persona disfruta de los deportes. Esto les ayuda a ganar la confianza de la persona y lograr que haga lo que quiera, ya sea proporcionando acceso físico al sistema de una empresa, revelando una contraseña u otra cosa.

Los hackers también pueden intentar generar un sentido de urgencia o miedo, de la misma manera, lo hacen por teléfono. En este caso, se harán pasar por un empleado de otra oficina, o como una persona de servicio externo, y dicen que necesitan ayuda para acceder al sistema de la compañía o algo por el estilo.

P: ¿Cuál es el método más fácil utilizado por los hackers para infiltrarse en un centro de datos?

R: El hacker actuaría como lo haría un técnico, obteniendo acceso físico diciendo que son de una empresa de informática y están allí para verificar la temperatura en el centro de datos o para ver las conexiones a equipos secundarios, cualquier tontería que haga referencia al equipo y suene real. Si se les pregunta, usarán un nombre de empresa falso, generalmente uno que incluya una referencia a la tecnología, como “Servicio Técnico”. Esta estrategia funciona el 99 por ciento de las veces.

P: ¿Cuáles son algunas de las cosas más simples que las compañías pueden hacer para frustrar a los piratas informáticos, pero que quizás no piensen en hacerlo?

R: La capacitación adecuada sobre la conciencia de la seguridad es fundamental para evitar las infracciones de datos. Enseñe a los empleados a qué se parecen los correos electrónicos maliciosos y los ataques de phishing y qué cosas buscar, como errores gramaticales obvios y errores ortográficos o menciones de asociación con otros empleados o gerentes cuyo nombre no reconocen. Indíqueles que no hagan clic en ningún enlace.

Establecer prácticas de seguridad de contraseña de la compañía también es importante. Las contraseñas deben tener entre 10 y 12 caracteres, con una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Nunca deben contener el nombre de la compañía o la temporada (por ejemplo, “otoño 2018”). Si los empleados eligen sus propias contraseñas, pídales que no usen la información que se puede encontrar en las redes sociales (como un cumpleaños, aniversario o nombre de una mascota), que no deberían estar allí, en primer lugar. Cuantas más empresas de empleados tenga, más difícil será garantizar una adecuada capacitación en concientización de seguridad, pero de todos modos es una obligación.

Asegurar que los empleados tengan acceso solo a los datos que necesitan para hacer su trabajo también es importante, así que asegúrese de segmentar los datos en silos que no puedan ser “tocados”, excepto por los empleados que lo requieran. Los empleados del departamento de marketing, por ejemplo, no deberían poder acceder a la base de datos de personal.

P: ¿Qué deben hacer las empresas primero si saben o sospechan que se está produciendo una violación de datos o está a punto de ocurrir?

R: Si se trata de una violación remota, comience a desconectar todos los sistemas y reporte las sospechas o ocurrencia a la seguridad. Intente averiguar quién recibió un correo electrónico sospechoso y quién hizo clic en él y aíslelo antes de que se propague. Si las credenciales han sido infectadas y es imposible detectar quién hizo clic en un enlace sospechoso, puede ser una buena práctica restablecer las credenciales de todos inmediatamente. Cualquiera sea la situación, es imperativo trabajar muy rápido.

Si se trata de una infiltración física, pregúntele a la persona quién es y por qué están allí. Sígalos por todos lados. En caso de duda, pídales que se vayan.