La ingeniería social no es un concepto nuevo, incluso en el mundo de la ciberseguridad. Solo las estafas de phishing han existido durante casi 30 años, y los atacantes constantemente encuentran nuevas formas de atraer a las víctimas para que hagan clic en un enlace, descarguen un archivo o proporcionen información confidencial.
Los ataques de compromiso de correo electrónico comercial (BEC) reiteraron este concepto al hacer que el atacante obtuviera acceso a una cuenta de correo electrónico legítima y se hiciera pasar por su propietario. Los atacantes razonan que las víctimas no cuestionarán un correo electrónico que proviene de una fuente confiable y, con demasiada frecuencia, tienen razón.
Pero el correo electrónico no es el único medio eficaz que utilizan los ciberdelincuentes para realizar ataques de ingeniería social. Las empresas modernas dependen de una variedad de aplicaciones digitales, desde servicios en la nube y VPN hasta herramientas de comunicación y servicios financieros. Además, estas aplicaciones están interconectadas, por lo que un atacante que puede comprometer una también puede comprometer otras. Las organizaciones no pueden permitirse el lujo de centrarse exclusivamente en el phishing y los ataques BEC, no cuando el compromiso de las aplicaciones empresariales (BAC) va en aumento.
Orientación del inicio de sesión único
Las empresas usan aplicaciones digitales porque son útiles y convenientes. En la era del trabajo remoto, los empleados necesitan acceso a herramientas y recursos críticos desde una amplia gama de ubicaciones y dispositivos. Las aplicaciones pueden optimizar los flujos de trabajo, aumentar el acceso a información crítica y facilitar que los empleados hagan su trabajo. Un departamento individual dentro de una organización puede usar docenas de aplicaciones, mientras que elempresa promedio utiliza más de 200. Desafortunadamente, los departamentos de seguridad y TI no siempre conocen, y mucho menos aprueban, estas aplicaciones, lo que hace que la supervisión sea un problema.
La autenticación es otro problema. Crear (y recordar) combinaciones únicas de nombre de usuario y contraseña puede ser un desafío para cualquiera que use docenas de aplicaciones diferentes para hacer su trabajo. El uso de un administrador de contraseñas es una solución, pero puede ser difícil de aplicar para TI. En cambio, muchas empresas optimizan sus procesos de autenticación. a través de soluciones de inicio de sesión único (SSO), que permite a los empleados iniciar sesión en una cuenta aprobada una vez para acceder a todas las aplicaciones y servicios conectados. Pero debido a que los servicios SSO brindan a los usuarios un fácil acceso a docenas (o incluso cientos) de aplicaciones comerciales, son objetivos de alto valor para los atacantes. Los proveedores de SSO tienen características y capacidades de seguridad propias, por supuesto, pero el error humano sigue siendo un problema difícil de resolver.
Ingeniería Social, Evolucionada
Muchas aplicaciones, y ciertamente la mayoría de las soluciones SSO, tienen autenticación multifactor (MFA). Esto hace que sea más difícil para los atacantes comprometer una cuenta, pero ciertamente no es imposible. MFA puede ser molesto para los usuarios, que pueden tener que usarlo para iniciar sesión en las cuentas varias veces al día, lo que genera impaciencia y, a veces, descuido.
Algunas soluciones MFA requieren que el usuario ingrese un código o muestre su huella digital. Otros simplemente preguntan: "¿Eres tú?" Este último, si bien es más fácil para el usuario, brinda a los atacantes espacio para operar. Un atacante que ya obtuvo un conjunto de credenciales de usuario podría intentar iniciar sesión varias veces, a pesar de saber que la cuenta está protegida por MFA. Al enviar spam al teléfono del usuario con solicitudes de autenticación MFA, los atacantes aumentan la fatiga de alerta de la víctima. Muchas víctimas, al recibir una avalancha de solicitudes, asumen que TI está intentando acceder a la cuenta o hacen clic en "aprobar" simplemente para detener la avalancha de notificaciones. Las personas se enojan fácilmente y los atacantes están usando esto para su beneficio.
En muchos sentidos, esto hace que BAC sea más fácil de lograr que BEC. Los adversarios que participan en BAC solo necesitan molestar a sus víctimas para que tomen una mala decisión. Y al apuntar a los proveedores de identidad y SSO, los atacantes pueden obtener acceso potencialmente a docenas de aplicaciones diferentes, incluidos los servicios de recursos humanos y nómina. Las aplicaciones de uso común, como Workday, a menudo se acceden mediante SSO, lo que permite a los atacantes participar en actividades como el depósito directo y el fraude de nómina que pueden canalizar fondos directamente a sus propias cuentas.
Este tipo de actividad puede pasar fácilmente desapercibida, por lo que es importante contar con herramientas de detección en la red que puedan identificar comportamientos sospechosos, incluso desde una cuenta de usuario autorizada. Además, las empresas deben priorizar el uso de llaves de seguridad Fast Identity Online (FIDO) resistentes al phish
cuando se utiliza MFA. Si los factores exclusivos de FIDO para MFA no son realistas, lo mejor que puede hacer es deshabilitar el correo electrónico, los SMS, la voz y las contraseñas de un solo uso basadas en el tiempo (TOTP) en favor de las notificaciones automáticas y luego configurar las políticas de proveedor de identidad o MFA para restringir el acceso. a los dispositivos administrados como una capa adicional de seguridad.
Priorizando la prevención de BAC
Entradas recientes la investigación indica
que las tácticas BEC o BAC se utilizan en el 51% de todos los incidentes. Si bien es menos conocido que BEC, BAC exitoso otorga a los atacantes acceso a una amplia gama de aplicaciones comerciales y personales asociadas con la cuenta. La ingeniería social sigue siendo una herramienta de alto rendimiento para los atacantes de hoy, una que ha evolucionado junto con las tecnologías de seguridad diseñadas para detenerla.
Las empresas modernas deben educar a sus empleados, enseñándoles cómo reconocer las señales de una posible estafa y dónde denunciarla. Dado que las empresas utilizan más aplicaciones cada año, los empleados deben trabajar mano a mano con sus equipos de seguridad para ayudar a que los sistemas permanezcan protegidos contra atacantes cada vez más engañosos.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
