"Como ocurre con el miedo, el riesgo no puede eliminarse; solo puede mitigarse". – Desconocido
La cita anterior es realmente poderosa en el contexto de la ciberseguridad. Para los que son muy conscientes de ello, el hecho es que la variedad de riesgos que existe no es algo que pueda eliminarse por completo cuando se pretende equilibrar el soporte técnico que se brinda a diversos tipos de dispositivos, comportamientos de usuarios y necesidades organizacionales únicas contra el escenario de un panorama de amenazas en evolución, sino que sirve para motivar a los equipos de seguridad y de IT a emplear estrategias de seguridad sólidas que sean tan potentes para mitigar las amenazas que ya son lo bastante flexibles para adaptarse a los cambios sutiles (y no tan sutiles) introducidos.
Una de las claves para hacer exitosos malabares con todas estas variables al mismo tiempo con el fin de mantener a salvo endpoints, usuarios y datos de la empresa empieza cuando usted se percata de sus niveles de riesgo, de dónde proceden y los distintos vectores de ataque que los actores de las amenazas podrían aprovechar para comprometer la postura de seguridad de sus dispositivos y organización.
Y ése es el objetivo de esta serie de blogs. Basado directamente en el informe Security 360 de Jamf: Informe Anual de Tendencias sobre Amenazas, cada blog de esta breve serie se centrará en una tendencia específica de las amenazas, analizando, entre otras cosas:
- Cuáles son las diferentes formas de cada amenaza
- Por qué son tan críticos para la seguridad de endpoints
- Cómo evoluciona cada una de las amenazas a lo largo del tiempo
- Cuáles son los mejores métodos para mitigarlas
Empecemos por este camino con la ingeniería social y el phishing, ¿le parece?
¿Por qué la ingeniería social es tan eficaz?
La ingeniería social requiere pocos recursos, reconocimiento o planificación por parte del actor de la amenaza, pero la recompensa es impresionantemente alta. En pocas palabras: a cambio de un esfuerzo relativamente pequeño, los atacantes obtienen un nivel de éxito comparativamente alto.
Además, no requiere conocimientos expertos en ciberseguridad, ni siquiera de nivel intermedio. Solo un truco para hacer que la amenaza parezca lo bastante convincente como para que las víctimas realicen las acciones que se les piden.
Principal amenaza de ingeniería social: Phishing
En caso de elegir, ¿quién no preferiría trabajar menos y ganar más en vez de trabajar más para ganar lo mismo?
Pues bien, el mismo proceso de pensamiento impulsa la ingeniería social, lo que significa que los actores de amenazas persiguen la cantidad, buscando lanzar una red lo más amplia posible para dirigirse a tantos usuarios como potencialmente puedan. Sin embargo, ahí radica el problema, ya que existen diversos tipos de ataques de phishing (hablaremos de ello más adelante) que, aunque similares, presentan ligeras variaciones en sus ataques.
Dependiendo de lo que los atacantes pretendan conseguir, los ataques de phishing se han modificado para abarcar objetivos de forma más granular. No solo se ataca a los puestos de alto perfil, sino que también se suplanta su identidad para que los empleados realicen determinadas acciones administrativas, como el phishing ejecutivo (también conocido como CEO Fraud o fraude a los directivos) utilizado para engañar a los usuarios para que envíen transferencias bancarias desde las cuentas de la empresa. Otras variantes de ataques de phishing pueden dirigirse a un miembro del departamento informático, o a un conjunto específico de usuarios, como los de las redes sociales, a diferencia de los mensajes generales que suelen utilizarse para dirigirse a usuarios en masa.
Algunos ejemplos de los tipos más comunes de ataques de phishing son:
- Correo electrónico: los mensajes de correo electrónico se envían a personas que simulan proceder de una fuente confiable y acreditada.
- Smishing: los mensajes SMS se vinculan con enlaces o archivos adjuntos para comprometer a los usuarios de dispositivos móviles.
- Redes sociales: Los atacantes se hacen pasar por personal del servicio de atención al cliente con cuentas de perfiles falsos en servicios de redes sociales para captar a víctimas que necesitan ayuda.
- Spear: Un enfoque granular y más selectivo al phishing por correo electrónico que se enfoca en personas concretas dentro de una organización para obtener información, datos y/o credenciales específicas.
Detenga en seco los ataques de ingeniería social
Lo hemos dicho antes y seguiremos insistiendo en las ventajas de una estrategia de defensa en profundidad que se base en múltiples controles de seguridad que funcionen conjuntamente para atrapar amenazas y detener diversos tipos de ataques. Cuando se trata de ingeniería social, un ejemplo de los controles que pueden utilizarse para la protección por capas son:
- Administración de dispositivos móviles (MDM) para:
- administrar y estandarizar de forma centralizada las configuraciones de los dispositivos
- realizar un seguimiento automático del inventario de equipos
- aprovisionar dispositivos sin contacto para ponerlos en manos de los usuarios finales con mayor rapidez
- proteger y rastrear dispositivos perdidos o robados, permitiendo el bloqueo/borrado en remoto
- implementar apps administradas y reforzar la configuración de seguridad de apps/servicios, como el cifrado de volúmenes y la configuración de las entradas del cortafuegos
- llevar a cabo la administración de parches para mantener actualizados todos los dispositivos, sistemas operativos y apps
- integrar las soluciones MDM y de seguridad en los endpoints para compartir de forma segura los datos de salud de los dispositivos y desarrollar flujos de trabajo de mitigación automatizados
- administrar dispositivos de forma holística a través de los ciclos de vida de la aplicación y el dispositivo
- Integración del proveedor de identidad en la nube (IdP) para:
- proporcionar identidades a los usuarios junto con permisos para dispositivos y recursos de la empresa
- exigir la MFA (autenticación multifactor) para verificar los intentos de autenticación y las solicitudes de recursos
- integrarse con datos de telemetría de seguridad de endpoints para verificar el estado de salud del usuario y del dispositivo antes de conceder el acceso a los recursos solicitados, como parte de un marco Zero Trust Network Access (Acceso a la red de confianza cero, ZTNA).
- alinear y aplicar políticas de contraseñas y credenciales de usuario para minimizar el riesgo de contraseñas débiles o cuentas comprometidas, restringiendo al mismo tiempo el acceso a los datos de la empresa
- Uso de software de seguridad de endpoints que protege dispositivos al:
- prevenir el malware y los ataques que se producen en los dispositivos mediante la asignación de las amenazas y vulnerabilidades conocidas a los análisis de comportamiento
- proteger las conexiones en remoto mediante microtúneles cifrados sobre todas las conexiones de red
- emplear el aprendizaje automático (ML) para ayudar a automatizar la respuesta a incidentes y detectar amenazas desconocidas mediante la caza de amenazas
- monitorear de forma activa la salud de los dispositivos
- generar notificaciones en tiempo real de cambios en los dispositivos
- crear flujos de trabajo automáticos para poner en cuarentena, mitigar y remediar amenazas
- proporcionar controles dentro de la red para hacer frente a las amenazas, como bloquear las URL de phishing y los ataques de intermediario (Man-in-the-Middle)
- recolectar datos telemétricos de endpoints, proporcionando información sobre el estado de salud de los dispositivos en tiempo real
- La alineación de los planes de ciberseguridad con marcos conocidos, como NIST, CIS y MITRE, adhiriéndose a las mejores prácticas para todos los dispositivos y sistemas operativos de su infraestructura.
- Obligar el cumplimiento al sacar el máximo partido de la administración basada en políticas para satisfacer los requisitos normativos de su organización.
- Limitar las fugar o filtraciones de datos al exterior restringiendo el acceso a los datos categorizados y a los medios permitidos para almacenar los datos protegidos, como impedir que se guarden en unidades externas o exigir que estén cifrados.
- Obligar a que los dispositivos utilizados para acceder a los recursos de la empresa cumplan ciertos requisitos mínimos, incluyendo la administración y aplicación de una MDM y la presencia de seguridad en los endpoints.
- Tener una solución MDM flexible que pueda aplicar protecciones para mantener los datos seguros en cualquier modelo de propiedad de dispositivos (BYOD/CYOD/COPE).
- Preservar la privacidad del usuario dirigiendo el uso personal directamente a Internet, manteniendo los datos y apps de la empresa almacenados en un volumen separado y seguro, y cifrando las comunicaciones.
- Transmitir los datos de registro a una solución SIEM centralizada para clasificar, categorizar y reportar los estados de salud, las tendencias y los datos necesarios para garantizar que los dispositivos y los datos permanezcan seguros.
- Establecer procedimientos de desmantelamiento para borrar de forma segura los datos de los dispositivos marcados para ser retirados de la flota.
- Implementar y probar periódicamente soluciones de recuperación ante desastres múltiples para realizar copias de seguridad críticas, verificar que las copias de seguridad sean válidas y que se puedan restaurar los datos
- Que las integraciones de Primeros y Terceros compartan de forma segura los datos de telemetría a través de API, lo que permite que todas las soluciones se mantengan actualizadas con los últimos datos de salud de los dispositivos.
- Administrar grupos de datos en dispositivos móviles que utilicen redes celulares para limitar la responsabilidad por contenidos ilegales o inapropiados, garantizando al mismo tiempo que todos los usuarios tengan acceso al ancho de banda necesario para seguir siendo productivos.
- Garantizar que todas las protecciones de dispositivos, usuarios y datos se extiendan por toda la infraestructura y se puedan administrar desde cualquier lugar, en cualquier momento y en todos los dispositivos compatibles.
- Alinear los requisitos regulatorios con las políticas de la empresa mediante una Política de Uso Aceptable (PUA) que describa las expectativas de la empresa sobre el comportamiento de los empleados al utilizar equipos propiedad de la empresa y/o al trabajar con datos y recursos propiedad de la empresa.
Y, sin embargo, incluso con un plan de seguridad integral, los actores de las amenazas siguen encontrando formas de eludir las protecciones descaradamente. La razón es que, mientras los usuarios sigan siendo presa de las amenazas de ingeniería social y simplemente entreguen sus credenciales u otra información sensible, estos tipos de amenazas seguirán siendo el método preferido de los actores de amenazas que buscan recoger los "frutos maduros" de innumerables víctimas.
A pesar de su ubicuidad y su éxito como amenaza crítica para la seguridad de los endpoints, la seguridad de los usuarios y la salvaguarda de los datos, la ingeniería social tiene un fallo flagrante y posiblemente fatal: depende de que la víctima realice las acciones necesarias del ataque para que éste consiga su objetivo. Permítame repetirlo, la responsabilidad de llevar a cabo con éxito una campaña de ingeniería social recae en el usuario final, no en el actor de la amenaza.
Ésta es, quizás, la mayor debilidad de los ataques de ingeniería social, ya que requiere que la víctima participe activamente durante el proceso ejecutando las peticiones del atacante. Pero, ¿qué ocurre cuando el objetivo no es una víctima, es decir, el usuario final reconoce el intento y no hace nada más que reportarlo a IT?
El ataque se detiene en seco mientras se alerta a los informáticos de su existencia, lo que les permite implementar controles compensatorios para mitigar la amenaza.
"El conocimiento en sí mismo es poder". – Sir Francis Bacon
Esta capacidad de identificar los ataques de ingeniería social, o al menos de sospechar de ellos lo suficiente como para hacer reflexionar a los posibles blancos, es la clave para derrotar los ataques de ingeniería social de diversos tipos y formas. En una palabra: capacitación. La capacitación en concientización sobre seguridad que sirve para informar a los usuarios sobre las amenazas existentes y las que están evolucionando, basándose en la inteligencia sobre amenazas y en las tendencias, propicia un gran avance al facultar a los usuarios para detectar y detener este tipo de amenazas antes de que se conviertan en ataques formales que crezcan hasta convertirse en incidentes de seguridad.
¡Obtenga más información sobre éstas y otras tendencias de amenazas crecientes que afectan la ciberseguridad!
Suscribirse al Blog de Jamf
Haz que las tendencias del mercado, las actualizaciones de Apple y las noticias de Jamf se envíen directamente a tu bandeja de entrada.
Para saber más sobre cómo recopilamos, usamos, compartimos, transferimos y almacenamos su información, consulte nuestra Política de privacidad.