Como prevenir ataques de Ingeniería Social

passwordPostItEn este post trataremos el tema de ingeniería social (social engineering).  El mismo se centrara en algunos de los peligros de la ingeniería social y principalmente se enfocara en como una empresa o compañía puede ayudar a preparar mejor a sus empleados para este tipo de situaciones.

Capacitación sobre Seguridad

Lo mas importante y que es algo que no hacemos lo suficiente es la formación básica en concientización sobre Seguridad. Los empleados se debe concientizar sobre ciertas situaciones que ven raras, los mantienen arraigados con la compresión de que, incluso si ellos no quieren o no les gusta, son también parte del equipo de Seguridad. Todos los empleados sin importar cual es su función – también tiene la obligación de proteger la empresa y los activos de la misma. Eso es parte de su trabajo. Si la empresa quiebra debido a información comprometida, ya no tendrán empleo. Esta es la mejor forma para asegurarse esta asegurada de modo que puedan seguir ganando plata y seguir pagando el salario a sus empleados.

Motivaciones

Cuando nos referimos a Seguridad, somos muy buenos para hablar de lo mal que pueden ser las cosas y lo malo que es y cuando alguien ha hecho algo malo, pero cuando estamos tratando de dar formación sobre seguridad a un empleado, esta no es la mejor forma de llegar. Los gerentes tienen que empezar a educar a sus empleados y darles motivaciones. Cuando un empleado hace algo bien, como preguntarle a alguien que esta intentando entrar a un lugar restringido quien es – se les recompensa, le hacemos notar de que “Hiciste un buen trabajo”, es como “Vamos a escribir en el boletín de la empresa que ud fue reconocido por ser consciente de la seguridad”

Si, los empleados reaccionan a eso. Las personas reaccionan a las motivaciones. Y también se vuelven competitivos, porque ahora Florencia reconoce que vio como Carlos que es una persona consciente en materia de Seguridad, obtuvo un reconocimiento. Bueno, ahora ella va a querer tener el mismo reconocimiento, así que va a mantenerse alerta de atrapar a alguien o de no hacer algo que no sea seguro. Es importante centrarse que este tipo de competencia, es importante para capacitar al personal que trata de ser segura y consciente de la seguridad.

Reforzar constantemente la Cultura de Seguridad

No siempre tiene que haber un PenTest. De verdad lo digo, los PenTests no van a salvarte. Reforzar constantemente la cultura de seguridad y las practicas de seguridad son lo que van a mantenerte a salvo. Es mejor tener alguien caminando a través de las diferentes áreas asegurándose que las “políticas de escritorio en orden” (Clean Desk Policy) se estén aplicando, asegurándose que no hay contraseñas escritas debajo del teclado, no estén publicadas en el monitor o ese tipo de cosas.

Porque incluso si no se encuentra nada, los empleados ven eso y en ese caso se darán cuenta y dirán” Oh!, están mirando para asegurarse de que se cumplen las normas. Tengo que asegurarme de que mi zona de trabajo cumple con las políticas, porque no quiero que me llamen la atención diciendo que yo estaba haciendo algo inseguro, porque terminaran reportandolo a mi gerente o supervisor”

Incluso si no se encuentra nada, estarán promoviendo de manera pasiva concientización sobre seguridad y creando un entorno consciente de seguridad. Estas no son cosas pequeñas cosas que pueden hacerse una vez por semana cada mes. Tiene que ser una concientización constante, se tiene que generar un ambiente donde se vea esto constantemente.

Igualdad

Y lo que es bueno para los empleados de correspondencia de nivel mas bajo, el personal de limpieza, los empleados principiantes – Debe ser también para los directores generales y el gerente de sistemas también. Los altos ejecutivos y directores también con este tipo de cultura.

Si la compañía se ve comprometida, esto ocurre con mayor frecuencia desde los altos directivos.Porque cuando delincuentes informáticos va tras una empresa, ellos no van tras la oficina de correo, no van tras el secretario o un empleado principiante, ellos irán tras un CEO o un CIO ¿Por que? Porque por lo general los altos directivos creen que merecen una excepción a las políticas de seguridad. Creen que no necesitan un antivirus actualizado todo el tiempo porque les tilda el sistema y se ejecuta demasiado lento. Ellos no quieren utilizar tokens de autenticación de dos factores, solo quieren usar una contraseña simple. Ellos no quieren tener políticas de longitud de contraseñas, caracteres especiales, etc como todos los demás en la empresa lo hacen. Ellos quieren que sea algo simple como su nombre para que sea mas fácil recordar y entrar.

Y cuando la seguridad de la empresa sea comprometida no van a venir y decir: Oh, mala mía” Ellos van a decir: “¿Por que no me proteges de mi mismo? ¿Por que no estabas haciendo el trabajo de proteger que le haga daño a mi empresa?. Así que esa es una de nuestras responsabilidades, es también decirle a los ejecutivos las cosas que no quieren escuchar. Esto es lo que tenemos que hacer, porque estamos intentando proteger la empresa del factor humano.

Hacer Ingeniería Social a los Empleados

Básicamente haremos ingeniería social a los empleados y el entorno para proteger la compañía de ataques de ingeniería social. Hacer a los empleados mas conscientes, cambiar de repente algo en el entorno para que los empleados sean mas perspicaces, que sean mas cuestionadores de lo que esta pasando. Deben cuestionarse las cosas que pueden estar fuera de lo común

Por lo general tras comprometerse una red o la seguridad en la empresa, la mayoría de los profesionales de seguridad ven y se dan cuenta por las expresiones faciales de las personas, por su lenguaje corporal que ellos sospechaban algo pero igualmente dejaron entrar al intruso. Mas tarde, tras los profesionales de seguridad dicen: “Si, yo sabia que había algo que no estaba bien, pero me dijo que tenia que hacerlo, y no quería desafiarlo”

Esto garantiza que la próxima vez si desafiaran. Esto es parte de una “inoculación”, se los esta estimulando, dándoles confianza y coraje para que la próxima vez digan “Ey! Esto no me parece bien, voy a interrogarte”. Los empleados tienen que entender que tienen que hacer algo en este tipo de situaciones, llamar a personal de seguridad, llamar a la policía, llamar a alguien, reaccionar de alguna manera y no simplemente ignorarlo. Esta es una de las cosas claves que los empleados tienen que entender. No necesariamente tienen que enfrentarse y resolver la situación, pero es un imperativo y parte de su responsabilidad reportar la situación.

¿Que es día cero?

En Seguridad Informática, se habla de día cero al mencionar el momento en que se descubre un nuevo virus o vulnerabilidad en una aplicación. Se dice día cero porque hasta ese momento ni siquiera los desarrolladores eran conscientes de determinada vulnerabilidad, por lo tanto el día cero marca la primera aparición de una amenaza informática puntual.

La aparición de una vulnerabilidad 0-day implica que no habrá parche ni solución instantánea para cerrar el agujero de seguridad encontrado. Cada tanto aparecen exploits que aprovechan estas vulnerabilidades y pueden ser verdaderamente dañinas ya que la ausencia de una solución implica que tienen tiempo suficiente para causar destrozos hasta que se encuentre una forma de reparar la vulnerabilidad.

coding

En el mundo del malware, hablamos de día cero cuando todavía no hay firmas existentes para detectarlo o eliminarlo. Estas vulnerabilidades solamente pueden ser detectadas a través de técnicas no reactivas que deben ser realizadas por personas con experiencia en informática, los usuarios casuales poco podrán hacer para descubrir que están infectados.

El concepto día cero es relativamente simple, es aquel día en que una amenaza informática es descubierta y recién a partir de ese momento empezarán a realizarse actividades intentar detener su avance y daños.

A diferencia de muchos productos que intentan vender supuestas soluciones inmediatas, lo cierto es que no existen formas de detectar mediante software tradicional las vulnerabilidades día cero, ya que se denominan cero porque hasta el momento no hay forma de conocerlas.

Lo que sí hay son programas que analizan los comportamientos de los programas y sistemas operativos en busca de rutinas extrañas, de esta forma se puede saber si nuestro ordenador tiene algún comportamiento fuera de los parámetros que pueda considerarse una amenaza.

En seguridad informática las vulnerabilidades tipo día cero son las más temidas, pero tampoco hay que ser paranoicos. Muchas veces son vulnerabilidades que no terminan de convertirse en virus o que son selladas al instante y no generan mayores inconvenientes. Siempre hay que tener cuidado, pero sin ponerse paranoicos.