Ser proactivo evaluando los riesgos y lleve a cabo pruebas de penetración
Una vez formé parte del equipo de evaluación de un actor famoso. Él había instalado muchos dispositivos de seguridad digitales y estaba confiado de que su vida en internet era a
prueba de hackers. Pero no lo era.
Como primer paso, le pedí a uno de los miembros del equipo llamar al área de soporte técnico de Amazon. Le dijo al trabajador que quería añadir una tarjeta de crédito a la cuenta de Amazon del actor. El empleado solicitó la respuesta a la pregunta de seguridad: ¿Cuál fue su compra más reciente? El miembro de mi equipo sabía que el actor era fan de Game of Thrones, así que respondió: “El DVD de la Temporada 1 de Game of Thrones”, el empleado respondió: “correcto”, y después le dijo: “restableceremos su contraseña”.
Este simple movimiento le dio acceso a mi equipo a muchos detalles personales del actor. Nos permitió hackear su cuenta de Twitter y luego su e-mail. Cambiamos las constraseñas de prácticamente, todas las cuentas que tenía.
En cuestión de días, nos habíamos infiltrado en toda su vida digital. No es necesario decir que el actor estaba en shock.
Aquí hay una importante lección para las empresas: muchas responden a sus vulnerabilidades solo después de una fuga. Eso no es suficiente. Mi punto es que la mentalidad en la defensa corporativa debe volverse proactiva.
A continuación, les presento tres de los retos más grandes en seguridad electrónica para las empresas que operan en el ámbito digital:
«Este simple movimiento le dio acceso a mi equipo a muchos detalles personales del actor.»
- Ingeniería Social. La mayoría de las violaciones a corporaciones inician mediante e-mails con phishing, con llamadas, o con el delincuente entrando al edificio afirmando que trabaja ahí. A esto se le llama Ingeniería social porque el delincuente se aprovecha del deseo natural del ser humano de confiar.
Desde la perspectiva de seguridad de una computadora, esto es un vector de ataque peligroso. Es el mismo que usó mi equipo para hackear a nuestro amigo actor. Me consterna lo fácil que es explotar el factor humano.
- Vulnerabilidad de las aplicaciones. Las aplicaciones de red son el front end de la mayoría de las empresas y la manera en que muchas de ellas hacen dinero. En años recientes, nuevas capas de complejidad han sido introducidas tras bambalinas para permitir que las aplicaciones trabajen en la nube. Con la complejidad, viene el error humano. Con frecuencia encuentro que las empresas no se toman el tiempo adecuado para instalar sistemas de seguridad en la infraestructura de sus aplicaciones o para realizar las pruebas apropiadas de seguridad desde un inicio. Esto es verdad, incluso hoy en día, cuando la seguridad es una de las prioridades de la mayoría de los ejecutivos.
«Simule sus propias pruebas de ingeniería social para que sus empelados conozcan cómo son estos ataques y qué deben hacer en caso que ocurran»
- Malas configuraciones de sistemas. Esto también, por lo general es ignorado. Las consolas para administración de redes, incluso los sistemas de producción, con frecuencia permanecen con sus configuraciones de fábrica, accesibles a través de contraseñas predeterminadas. Al fortalecer los códigos de las aplicaciones y la infraestructura donde residen, se debe invertir tiempo en esta pieza. Como delincuente, si puedo acceder a su consola de administración de red usando una contraseña predeterminada, ya no me importaría la aplicación. Puedo acceder a todo desde su servidor.
La moraleja es simple: vigilar. Eduque continuamente a sus empleados. Contrate consultores externos para evaluar los riesgos y que lleven a cabo pruebas de penetración. Esté preparado para escuchar cosas que no quisiera oír, como que ya fue hackeado. Simule sus propias pruebas de ingeniería social para que sus empelados conozcan cómo son estos ataques y qué deben hacer en caso que ocurran.
Mucho de lo que llamamos seguridad de redes, es solo cuestión de tener conciencia.
Autor: Tom Eston
Parte del libro «Asegurando su infraestructura de red y aplicaciones» de Fortinet.
Tom Eston es gerente de Pruebas de Penetración en Veracode. En años anteriores su trabajo se enfocó en la investigación para la seguridad. Lideró proyectos en la comunidad de la seguridad, mejoró metodologías de pruebas y el manejo de equipos. También es un bloguero de seguridad y fue co-conductor del podcast Shared Security. También es orador frecuente en grupos de usuarios de seguridad y en conferencias internacionales como Black Hat, DEFCON, DerbyCon, Notacon, SANS, InfoSec World, OWASP AppSec y ShmooCon.
Newsletter Semanal
Lo más relevante de ciberseguridad y tecnología.
Síguenos en las redes