IBM y Verizon, entre otras empresas especializadas en seguridad, demuestran que el 85% de los ataques son de “ingeniería social”, de los cuales el 36% se realizan utilizando la técnica “phishing”. Por tal motivo es que creo importante adentrarnos en este tipo de ataques y profundizar en el porqué el phishing es el principal vector de ataque y el alto impacto que tiene en las organizaciones.
En principio, es importante aclarar que el phishing es una técnica inicial para generar un mayor impacto o rédito en base a un ataque de mayor complejidad. Es decir, a través del phishing busca una puerta de entrada a nuestros sistemas.
¿Por qué es tan utilizado el pishing?
Lo primero que debemos entender es que, a diferencia de lo que se cree y de lo que nos muestran en las películas donde vemos “hackers” que descifran algoritmos de encripción super complejos, los atacantes siempre van a buscar el camino más sencillo. En el caso del phishing, intentan engañar al usuario con una herramienta lícita, como el correo electrónico, dado que al ser una herramienta aceptada, las tecnologías de protección no toman ningún tipo de acción, vulnerando las barreras fácilmente.
Dicho esto, cabe destacar que el phishing suele tener dos tipos de objetivos:
1 – Robar datos o contraseñas
2 – “Contagiar” la máquina del usuario con un virus o, como se lo suele llamar, malware
En el primer caso, el mail va a intentar engañar o pescar al usuario buscando que el mismo ingrese a un link que lo va a dirigir a una página web, gestionada por el atacante, en la que, por ejemplo, se le va a solicitar que ingrese el usuario y contraseña del servicio o deje datos personales. Si la persona realiza la acción, la página web del atacante suele redirigir la conexión a la web correcta para que el usuario no perciba que ha sido hackeado.
Por otro lado, si el objetivo es propagar su virus a la máquina del usuario, el correo electrónico va a contener un archivo adjunto y el cuerpo del mail buscará persuadir a la persona para que lo abra o ejecute. De esta manera, el virus embebido dentro del adjunto ingresará a la máquina para realizar distintas acciones.
Hasta aquí podemos observar que el phishing fue una técnica para realizar la primera movida del atacante.
En una segunda instancia, si pensamos en la opción 1, robo de una contraseña, el atacante utilizará la misma para ejecutar un fraude que podría ser robar dinero de un banco digital o tomar control del mail de la persona. Como es normal que, por comodidad, uno repita una contraseña en varios servicios, el impacto de la fuga de este dato puede ser aún mayor del que consideramos.
Analizando ahora la opción 2, si el atacante logró que su virus o malware se ejecute dentro de la máquina, el mismo tomará control del equipo para luego propagarse por la red de la organización hasta que llegue a su objetivo final.
¿Cómo es el proceso completo de ataque?
Para poder comprender en mayor profundidad cómo piensa y actúa un atacante analizaremos el proceso de inicio a fin, o lo que se puede llamar Killchain.
Este proceso posee, a grandes rasgos, 4 etapas. La primera, llamada Reconocimiento, es en la cual el atacante estudia las distintas formas de llegar a su objetivo, intentando reconocer qué personas y qué puestos son interesantes. Recolectará emails, teléfonos u otros canales de comunicación, analizará los perfiles de redes sociales, sus gustos y contactos, qué servicios digitales utiliza y qué interacciones tuvo con los mismos, entre otras cosas.
Por ejemplo, si descubre qué servicio de internet o banco utiliza debido a que encontró una queja por redes sociales, podría intentar engañar a la persona respondiendo con un mail o perfil de red social apócrifo, que tenga el look and feel y un mensaje acorde a este caso.
Terminado su análisis pasará a la segunda fase, la de ingreso, en la cual podría enviar un correo electrónico fraudulento o contactar a la víctima por otro canal intentando engañarla para robar una contraseña o instalar un malware en su equipo. En definitiva, busca tomar control del activo o ingresar a un sistema de la organización.
Habiendo ingresado y con un objetivo mayor en mente, entrará en la tercera fase, la de persistencia. En esta etapa comenzará un proceso de análisis profundo de la organización a fin de descifrar cuál es el mejor camino para llegar al objetivo final. El atacante buscará obtener mayores privilegios, tanto en el equipo en el que se encuentra como en los sistemas de la empresa. A su vez, se moverá lateralmente dentro de la misma, conectándose a máquinas o servidores vecinos, siempre con su objetivo en la mira y utilizando distintas técnicas de ocultamiento para no ser descubierto.
Una vez logrado su destino final y habiendo entendido cuándo conviene ejecutar el ataque, entrará en la última fase, la de explotación. Es decir, robará los datos que le interesan, realizará el fraude objetivo o propagará otro tipo de virus o malware. Por ejemplo, puede utilizar uno llamado Ransomware que encriptará los datos de la organización, dejando a la misma fuera de servicio, para luego extorsionarla doblemente. Pedirá un rescate en cripto monedas para liberar los datos rehenes e incluso amenazará a la organización con publicarlos en la darkweb o mercado negro de internet.
En resumen, perderemos disponibilidad a nivel de negocios y, por otro lado, podemos ser víctimas de un fraude transaccional o ser impactados a nivel reputacional, y hasta incluso quedar expuestos legalmente si los datos robados resultan sensibles.
Para concluir, analizando el ataque en todo su ciclo de vida, podemos observar que el phishing es solo una técnica dentro de un proceso más profundo, en el que incluso se utilizan otras herramientas, y que el impacto puede ser exponencial.
Es por esto que la ciberseguridad debe ser abordada con una mirada holística que considere la cultura de ciberseguridad, las metodologías corporativas y el stack tecnológico con el que se cuenta para proteger a la organización, entre otros aspectos; además se debe implementar un modelo de gobierno eficiente que asegure el correcto funcionamiento en forma constante de las distintas técnicas de identificación de activos y riesgos, la prevención y protección contra estos, la detección temprana de amenazas y que mantenga siempre evolucionando nuestro esquema de continuidad de negocios y ciber resiliencia.
En @Teetech contamos con servicios que te pueden acompañar a entender y definir tu stack de capacidades de ciberseguridad y definir un modelo de gobierno acorde a tus necesidades.
Para saber más contactanos y recordemos que “La seguridad la hacemos entre todos”