Cómo atacarte mejor en 2021



Las pruebas de penetración de ingeniería social son solo un paso para evitar que los empleados sean víctimas de los ciberdelincuentes.

No es cuestión de Si – su Cuándo un empleado recibirá ese correo electrónico o llamada «urgente» pidiéndole que transfiera dinero a un lugar seguro, inicie sesión en su red corporativa o instale un troyano de acceso remoto. La ingeniería social siempre ha sido una forma segura para que los ciberdelincuentes garanticen una alta tasa de éxito. Pero el aumento del trabajo remoto impulsado por la pandemia convirtió las técnicas de ingeniería social en una herramienta de creatividad y prosperidad ilimitadas como nunca antes.

Cuando trabajan desde casa, los empleados no tienen la protección a gran escala que ofrecen las soluciones de seguridad corporativa y, en cambio, deben confiar en su instinto, que es la peor pesadilla de un equipo de ciberseguridad. Después de darse cuenta de la magnitud de la catástrofe, muchas empresas se apresuraron a educar a sus empleados.

Para evaluar el alcance del problema, Group-IB llevó a cabo un proyecto de pruebas de penetración de ingeniería social en una empresa de logística. La prueba utilizó un pretexto relacionado con COVID-19 y demostró el incansable interés de los empleados en el asunto. Usó un correo electrónico de phishing bien elaborado enviado desde una dirección de correo electrónico falsa que supuestamente pertenecía al departamento de TI de la empresa. Más de la mitad (51%) de los sujetos de prueba enviaron sus credenciales en la página de inicio de sesión del portal VPN falso.

Algunos ataques de ingeniería social son más efectivos que otros
Nuestros proyectos de pruebas de ingeniería social también han demostrado que algunas técnicas de ataque son más efectivas que otras. De los más de 100 proyectos de prueba de ingeniería social que llevamos a cabo en 2020, descubrimos que las llamadas de voz («vishing») eran más efectivas que los correos electrónicos de phishing con enlaces a recursos falsos o archivos adjuntos ejecutables. Vishing, que tuvo una tasa de éxito del 37%, es particularmente eficaz porque las víctimas no suelen esperar estas llamadas. Además, los actores de amenazas pueden ajustar el guión para que coincida con los cambios en el comportamiento de la víctima y aprovechar sus emociones.

Además de obtener información personalized o confidencial, los ataques vishing también se pueden utilizar para obtener acceso a la infraestructura. Durante un caso reciente, nuestro pen tester logró convencer a 23 empleados para que se autenticaran en el portal de respaldo (un recurso de phishing) con el pretexto de realizar una investigación de incidente de seguridad.

Vishing combinado con phishing (con un enlace a un recurso falso y un archivo adjunto ejecutable) brindó la máxima eficiencia: el 75% de nuestros ataques de prueba de ingeniería social tuvieron éxito en 2020. Cuando se trata de pretextos, los más eficientes fueron los cambios en el sistema de bonificación (20,6% de éxito), seguido de cambios en los sistemas de TI (17,8%) y anuncios sobre eventos corporativos clave (16,3%).

Más pruebas no son necesariamente la respuesta
Dadas estas estadísticas, podría pensar que hacer más pruebas de penetración de ingeniería social ayudaría a aumentar la conciencia del particular sobre no ser víctimas. Bueno, no, porque la prueba de la pluma no es efectiva cuando se united states of america sola. Si decides atacarte a ti mismo, debes hacerlo sabiamente.

Aquí hay un ejemplo. De vez en cuando, la Compañía X realizaba pruebas de ingeniería social a sus empleados. Sin embargo, el conocimiento de los conceptos básicos de ciberseguridad no mejoró los empleados continuaron haciendo clic en enlaces maliciosos y cumpliendo con las solicitudes de los atacantes.

La empresa decidió formalizar su programa de pruebas realizando cuatro pruebas de ingeniería social al año en el mismo formato pero con diferentes pretextos. Los resultados fueron similares a las pruebas más casuales: los empleados aún hacían clic en URL maliciosas, se comunicaban con los probadores de penetración y revelaban información confidencial.

Por el contrario, la eficacia de una prueba estaba determinada en gran medida por la relevancia del pretexto. Aunque la efectividad aumentó de prueba en prueba, en el tercer trimestre, un pretexto basado en COVID-19 hizo que los empleados se olvidaran por completo de cualquier capacitación, orientación y recomendación que hubieran recibido. Resultó que la empresa no llevó a cabo ninguna otra actividad de sensibilización solo lo probó.

Lo que falta a la formación en ciberseguridad
También descubrimos que los empleados no saben qué hacer después de identificar un ataque de ingeniería social. Necesitan saber no solo cómo reconocer un ataque, sino que también necesitan que se les enseñe cómo responder. Se debe capacitar a los empleados para que no se comuniquen con el atacante (o el probador de penetración legítimo) bajo ninguna circunstancia, sino que notifiquen inmediatamente al equipo de seguridad. Desafortunadamente, los usuarios (especialmente en las pequeñas empresas) a menudo no son conscientes de esto.

La conclusión es que atacarte a ti mismo no debería ser un ejercicio de combate sencillo. Sí, es importante capacitar a los empleados sobre posibles métodos de ingeniería social con regularidad, implementar la autenticación obligatoria de dos factores para todos los servicios perimetrales externos y utilizar herramientas efectivas de detonación de malware. Sin embargo, lo más importante es que la capacitación y las pruebas de ingeniería social deben tener como objetivo garantizar una comunicación efectiva dentro de la empresa. Es necesario enseñar a los empleados cómo detectar ataques y responder de manera eficaz y oportuna. Necesitan instrucciones claras y pautas interactivas (por ejemplo, páginas wiki, videos, etc.).

Ser creativo. Aporta un elemento de gamificación a la experiencia de aprendizaje para motivar y maximizar el compromiso. Por ejemplo, en las recientes pruebas de penetración internas de Team-IB, aquellos que detectaron e informaron adecuadamente los ataques de ingeniería social recibieron insignias de logros que se pueden canjear por recompensas corporativas.

También hemos descubierto que es importante realizar una reunión retrospectiva después de cada prueba de penetración para recopilar comentarios. No se puede mejorar el aprendizaje y el rendimiento sin discutir qué salió mal y cómo mejorar.

Cambie su enfoque de los ejercicios regulares y la memorización de instrucciones para detectar ataques de ingeniería social. En su lugar, explique de dónde provienen los ataques modernos y por qué todos los empleados deben participar en su detección. Sin un enfoque consciente y creativo de las pruebas de penetración social, ninguna formación tendrá éxito.

Pavel Suprunyuk es un líder técnico del equipo de auditoría y consultoría en Group-IB, una empresa de ciberseguridad con sede en Singapur. Tiene más de 10 años de experiencia en seguridad de redes, pruebas de lápiz, administración de sistemas, programación y automatización de tareas. Pavel ha completado … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial