El organismo de command financiero de Nueva York pide un regulador de ciberseguridad en las redes sociales después del hackeo de Twitter de las cuentas de Biden y Obama


El Departamento de Servicios Financieros del Estado de Nueva York dijo que plataformas como Twitter y Facebook ahora son «sistémicamente importantes» y necesitan supervisión de la seguridad cibernética.

twitterdev.jpg

Código de programa y teclado de computadora

scyther5, Getty Photos / iStockphoto

Es posible que las empresas de redes sociales más grandes del mundo tengan que dar más prioridad a la seguridad ahora que un organismo de command financiero del estado de Nueva York está pidiendo la creación de un regulador designado encargado de monitorear su defensa cibernética.

El Departamento de Servicios Financieros del Estado de Nueva York tomó la determinación en un extenso informe sobre el hackeo de Twitter en julio después de que el Departamento de Justicia dijera que dos adolescentes y un joven de 22 años se hizo cargo de más de 100 cuentas de Twitter destacadas, incluidos los relatos del ex presidente Barack Obama y del ex vicepresidente Joe Biden.

«El hecho de que Twitter fuera vulnerable a un ataque sencillo muestra que la autorregulación no es la respuesta», dijo la superintendente de servicios financieros Linda Lacewell en un comunicado. «A medida que nos acercamos a una elección en menos de 30 días, debemos comprometernos con una mayor supervisión regulatoria de las grandes empresas de medios sociales. La integridad de nuestras elecciones y mercados depende de ello».

VER: Política de protección contra robo de identidad (TechRepublic Top quality)

Si bien los adolescentes utilizaron las adquisiciones de cuentas para impulsar las estafas relacionadas con bitcoins, la facilidad con la que pudieron infiltrarse en el sistema de Twitter utilizando los problemas de VPN relacionados con el teletrabajo de los empleados alarmó a los investigadores financieros de Nueva York. El informe señala que varios líderes mundiales, sobre todo el presidente de Estados Unidos, Donald Trump, ahora utilizan sitios de redes sociales como Twitter como comunicación oficial, lo que significa que cualquier toma de cuenta podría tener implicaciones drásticas en la seguridad nacional y los mercados internacionales.

A pesar de su importancia y uso diario por parte del presidente, el informe señala que Twitter no tenía un CISO en el momento del ataque y no había tenido uno desde diciembre de 2019, un lapso de más de siete meses.

«El truco de Twitter demuestra la necesidad de una ciberseguridad sólida para frenar el potencial armamentismo de las principales empresas de medios sociales. Los riesgos que plantean las redes sociales para nuestros consumidores, la economía y la democracia no son menos graves que los riesgos que plantean las grandes instituciones financieras. La escala y el alcance de estas empresas, combinado con la capacidad de los actores adversarios que pueden manipular estos sistemas, requieren un enfoque regulatorio igualmente audaz y asertivo «, dijo el informe.

«Al igual que en otras industrias críticas, se necesita la supervisión pública de las redes sociales. Si bien existen varias propuestas para mejorar la supervisión pública de las grandes empresas de redes sociales o empresas de tecnología de manera más amplia, se centran principalmente en los problemas de antimonopolio / competencia o moderación de contenido. Nosotros necesitan una regulación integral de ciberseguridad y un regulador apropiado para las grandes empresas de redes sociales. Hay mucho en juego para dejarlo solo al sector privado «.

El informe analiza los detalles del ataque y destaca el importante papel que jugó la pandemia de coronavirus en los planes de los ciberatacantes. Los investigadores notaron que el ataque no involucró ninguna técnica sofisticada que se ve típicamente en ataques de este tamaño. Fue un easy ataque de phishing que utilizó un sitio falsificado para robar las credenciales de un empleado.

Según las autoridades, los presuntos piratas informáticos, Graham Ivan Clark, de 17 años, Mason Sheppard, de 19, y Nima Fazeli, de 22, ignoraron las herramientas de ataque tradicionales como el malware, los exploits y las puertas traseras simplemente pretendiendo trabajar para Departamento de Tecnología de la Información de Twitter.

Desde que empezaron a trabajar de forma remota en marzo, los empleados de Twitter habían tenido problemas con sus conexiones VPN a la red, según el informe. Clark, Sheppard y Fazeli llamaron a los empleados que pretendían ser parte del equipo de TI que aborda los problemas de VPN «y luego persuadieron a los empleados para que ingresaran sus credenciales en un sitio website diseñado para que pareciera idéntico al sitio internet de inicio de sesión de VPN genuine».

«Las afirmaciones de los piratas informáticos fueron mucho más creíbles, y finalmente exitosas, porque todos los empleados de Twitter estaban usando conexiones VPN para trabajar y experimentaban rutinariamente problemas de VPN que requerían la ayuda de TI», dijo el informe, agregando que Twitter no implementó ningún command para tratar el mayor riesgo que enfrentan los trabajadores remotos.

«El hack de Twitter ocurrió en tres fases: ataques de ingeniería social para obtener acceso a la crimson de Twitter hacerse cargo de cuentas con nombres de usuario deseables y vender acceso a ellos y apoderarse de docenas de cuentas de Twitter de alto perfil e intentar engañar a la gente para que envíe a los hackers bitcoin. Todo esto sucedió en aproximadamente 24 horas «.

Desde entonces, Twitter contrató a un CISO, brindó capacitación adicional en ciberseguridad a los empleados e implementó una autenticación multifactor mejorada. Los piratas informáticos solo terminaron robando alrededor de $ 118,000 en bitcoins y solo pudieron acceder a los mensajes directos de aproximadamente 30 de las cuentas que robaron.

Pero el informe cuestiona qué habrían hecho los sitios de redes sociales como Twitter frente a ataques sofisticados y sostenidos de adversarios con más recursos y mano de obra. Twitter tiene un total de 330 millones de usuarios activos mensuales y más de 186 millones de usuarios activos diarios, incluidos más de 36 millones en Estados Unidos, según el informe.

Las autoridades dijeron que los atacantes también pudieron apoderarse de cuentas de alto perfil de Elon Musk, Invoice Gates, Warren Buffet, Uber y Apple. Los investigadores criticaron a Twitter por no proporcionar actualizaciones en tiempo serious y por bloquear unilateralmente todas las cuentas que habían cambiado una contraseña dentro de los 30 días posteriores al ataque. El sitio restringió la posibilidad de tuitear a varias instituciones públicas, incluido el Servicio Meteorológico Nacional, que no pudo tuitear una advertencia importante sobre tornados.

El informe explain las regulaciones que se han establecido para las telecomunicaciones, los servicios públicos, así como la industria de servicios financieros y dijo que sería un marco igualmente útil para los gigantes de las redes sociales. Según la ley del estado de Nueva York, las instituciones financieras deben «evaluar sus riesgos de seguridad y luego desarrollar políticas para el gobierno de datos, controles de acceso, monitoreo del sistema, seguridad de terceros y respuesta y recuperación ante incidentes».

Asimismo, se necesitaba orientación regulatoria para un puñado de importantes empresas de redes sociales que ahora eran «sistémicamente importantes», una designación creada por el Congreso para los grandes bancos e instituciones financieras a raíz de la disaster financiera de 2007-2008, según el informe. La «Institución Financiera de Importancia Sistémica» no debería aplicarse también a ciertas empresas de redes sociales que pueden tener efectos legítimos y descomunales en los mercados y la estabilidad política, agrega el informe.

Actualmente, no existe un regulador estatal o federal dedicado que esté a cargo de obligar a las empresas de redes sociales a tener incluso las reglas de ciberseguridad más básicas. En 2016, Nueva York fue el primer estado en aprobar una regulación de ciberseguridad para las instituciones financieras y ahora las obliga a informar cualquier incumplimiento que ocurra. Al menos otros 11 estados siguieron su ejemplo y aprobaron leyes similares.

Algunos de los temores de los investigadores del estado de Nueva York ya se han manifestado en la vida genuine. El informe señala que en 2013, los piratas informáticos se apoderaron de la cuenta de Twitter de Related Push y tuitearon falsamente que dos bombas habían explotado y herido al entonces presidente Barack Obama, lo que provocó que el S&P 500 perdiera 136.500 millones de dólares de valor en minutos.

A lo largo de los años, los atacantes han utilizado las redes sociales en estafas de «bombeo y descarga» que buscan aumentar el precio de las acciones para que puedan vender en un punto alto antes de que vuelva a caer, según el informe, y agregó que otros estudios han demostró que los tweets a menudo influyen en la actividad del mercado.

Los expertos en ciberseguridad opinan

Los expertos en seguridad estaban mezclados con la perspectiva de un regulador de ciberseguridad designado para las principales empresas de redes sociales. Muchos sintieron que un regulador no sería suficiente para detener el tipo de ataque que se aprovechó contra Twitter y simplemente agregaría otra capa de burocracia.

Karen Walsh, directora de Allegro Options y experta en ciberseguridad desde hace mucho tiempo, dijo que antes incluso de abordar el tema de cómo se regularían estas empresas, las agencias tendrían que averiguar cómo determinar qué empresas de redes sociales son lo suficientemente grandes como para garantizar un mayor escrutinio.

Pero lo que es más importante, dijo que ningún requisito de cumplimiento normativo realmente responsabilizará a las organizaciones porque el cumplimiento no es igual a la seguridad.

«Si bien la supervisión regulatoria brinda comodidad a las personas a través de la transparencia y la supervisión, hace poco para proteger mejor las plataformas», dijo Walsh.

El director ejecutivo de Gurucul, Saryu Nayyar, se hizo eco de ese sentimiento y describió varios desafíos inherentes a la regulación de las empresas de medios en Estados Unidos.

Si bien tiene sentido exigir controles de seguridad adecuados y proporcionar supervisión para asegurarse de que se implementen de manera correcta y efectiva, las regulaciones deberían ser cuidadosamente diseñadas para enfocarse en los aspectos de seguridad del negocio sin desviarnos a regular el contenido, señaló.

Roger Grimes, evangelista de la defensa basada en datos en KnowBe4, estaba completamente en contra de la idea y dijo que period «una capa reguladora innecesaria».

«Ya existen múltiples regulaciones federales y estatales que requieren la seguridad necesaria para proteger la identidad, las cuentas y los datos de las personas. El problema no es que nos falten regulaciones. Es que las empresas tienen múltiples vulnerabilidades que se utilizan para comprometer cuentas y datos», dijo. dijo.

El vicepresidente de internet marketing de K2 Cyber ​​Security, Timothy Chiu, fue aún más lejos y dijo que designaciones como las que se están proponiendo pueden convertir a estas empresas en un objetivo para los ciberdelincuentes, equivalent a «pintar un objetivo en la propia empresa».

«Dicho esto, si la designación vino realmente con requisitos de seguridad específicos como el uso de IAST y RASP, como se indica en el último marco de seguridad NIST SP800-53 Revisión 5, eso podría ayudar a mejorar su seguridad, especialmente si aún no están siguiendo Pautas del NIST «, agregó Chiu. «Varias industrias, específicamente aquellas que manejan dinero, por supuesto, ya se rigen por pautas de seguridad más estrictas, incluido PCI, y muchas incluso requieren certificaciones de tipo FIPS para sus plataformas y seguridad».

Algunos analistas, como la vicepresidenta de estrategia de Issue3 Protection, Chloé Messdaghi, dijeron que era una buena plan tener un regulador, pero cuestionaron cómo tener uno habría ayudado a Twitter en este caso específico.

Cualquier regulador de ciberseguridad debería impulsar la capacitación práctica sobre el phishing, la representación de la comunidad de piratas informáticos en la junta, las medidas para que todas las organizaciones tengan políticas de divulgación de vulnerabilidades y estrategias de cumplimiento que impulsen a las organizaciones a mejorar con su SGSI, dijo.

Pero señaló que poco se puede hacer para abordar los problemas subyacentes más sistémicos que permiten que la ciberseguridad caduque.

«Los consejos reguladores no pueden evitar el elemento humano de los fallos de seguridad que surgen cuando se generate el phishing y no contribuirán de manera significativa a corregir la apatía de nuestra sociedad desde hace mucho tiempo sobre la ciberseguridad», dijo Messdaghi.

«Tenemos que ser honestos: los humanos caerán en los ataques de phishing. Gran parte del entrenamiento sobre phishing es demasiado fácil y es fácilmente aceptable para la mayoría de los usuarios. Pero no nos prepara para el impacto emocional que contienen los ataques de phishing exitosos».

Ver también



Enlace a la noticia unique