Uber y Rockstar caen ante ataques de la ingeniería social
Los profesionales en este sector suelen decir que la seguridad en ingeniería social es un proceso y un sistema, no un destino. Las recientes noticias de Uber y Rockstar Games son un ejemplo más. Los detalles aún están apareciendo. Para poder analizar estas brechas a un alto nivel y aplicar estas lecciones a nuestros propios programas de seguridad de la información.
Al igual que en el ataque de Lapsus contra Electronic Arts en julio de 2021. Parece que los atacantes compraron credenciales robadas a los ciberdelincuentes de acceso inicial (IAB). En la IAB se recopilan credenciales en masa a través de ataques de phishing. Por medio de correo electrónico e infectando dispositivos con troyanos que roban información por diversos métodos. Utilizan el malware para recopilar todas las contraseñas eliminadas, las cookies de sesión e incluso las carteras de criptomonedas. Así que se encuentran en el PC de la víctima y ponen todo a la venta en la dark web.
A medida que las organizaciones siguen adoptando la autenticación multifactor, los atacantes de ingeniería social están mejorando en el aprendizaje de cómo eludirla. Uber había desplegado Duo, un servicio de notificaciones push de Cisco, para proteger su servicio de acceso remoto VPN, lo cual es una gran noticia. Los delincuentes han aprendido que, si bombardean repetidamente a un objetivo con alertas, la mayoría de las veces el objetivo puede ceder y pulsar Aceptar.
¿Qué se puede hacer? Bueno, en un mundo perfecto, todos utilizaríamos la autenticación FIDO2. De tal manera, requiere un token de hardware o un teléfono inteligente que debe estar físicamente cerca del dispositivo que se autentifica.
Sin embargo, no todo el mundo está preparado para adoptar esta tecnología. Por lo que los servicios multifactoriales como Duo también ofrecen un enfoque híbrido para el push.
Para la autentificación, la aplicación pide brinda un código de 6 dígitos. Así, en lugar de tocar “Aceptar” en tu dispositivo, debes introducir el código secreto. Esto requeriría que el delincuente en ingeniería social interactuará con la víctima y la convenciera de introducir el código en su nombre. No es imposible, pero es una barrera mucho mayor que la simplemente pulsar el gran y brillante botón verde.
Con el tiempo suficiente. Casi siempre hay una forma para que el usuario autorizado obtenga privilegios en una cuenta a la que no debería tener acceso. La clave para defenderse de este tipo de ataques es hacer que tarden lo suficiente. Por lo cual poder detectar sus huellas y desalojarlos antes de que tengan éxito.
El atacante de ingeniería social alega que encontró la contraseña del administrador. Se encontró la solución de gestión de acceso privilegiado, de Uber en un archivo PowerShell, en un recurso compartido de archivos accesible para el usuario. Está claro que esto no es lo ideal, pero plantea la pregunta: ¿Cómo puede ser que fuera suficiente para causar tantos estragos?
Sin conocer todavía los detalles del sistema afectado de Uber, la mayoría de nosotros nos preguntaríamos por qué no se había implantado la autentificación multifactorial. ¿Requiere autentificación multifactorial para iniciar sesión en los sistemas internos? Para funciones tan críticas como la gestión de privilegios, el código fuente, los recursos humanos o las finanzas. Debería aplicar las mismas medidas de seguridad que se requieren cuando se autentifica a los usuarios para el acceso a la propia red. Así, nunca se debería conectar cualquier persona en la red autorizada para acceder a los sistemas sensibles solo porque autenticado en la red en general.
Realizar una prueba de penetración externa de forma semestral, es una buena práctica hacer una auditoria del entorno interno precisamente para este tipo de cosas. Puede que haya sido una solución temporal o una práctica heredada que se haya olvidado, pero estas cosas surgen en casi cualquier red razonablemente compleja.
La idea detrás del acceso a la red de confianza cero (ZTNA) es que solo debes tener acceso a lo que necesitas. Para que cuando lo necesitas y nunca se debe confiar en que eres quien dices ser. Autentifica permisos de cada usuario en el momento del acceso para asegurarse de que todo está en orden. Uno de los beneficios del enfoque es, eliminar el perímetro por completo (o al menos puedes dejar de depender de las soluciones de tipo VPN). Reducir las capas de protección de los activos que viven detrás del firewall y WAF. Tus activos estarán envueltos en menos capas de “protección”. De tal manera verificar con firmeza y cuidado que cada solicitud de acceso está autenticada y autorizada. De hecho, una mejor administración de los activos, y es más fácil detectar los problemas cuando llegaron. Tu rojo no debe parecerse a una barra de caramelo con una cáscara dura y un centro blando y pegajoso. Como le comenté a Paul Ducklin en nuestro breve pódcast, cuando la noticia de Uber se hizo pública por primera vez, las redes mejor gestionadas tienen un supuesto incumplimiento. No debería haber nada peligroso por ahí que, en manos de alguien con intenciones maliciosas, pudiera perjudicarte.
Me parece una buena práctica. Se encuentran titulares de noticias de seguridad, que extraen algunas lecciones e imaginar cómo podría actuar mi propio equipo para enfrentar a un adversario similar. La defensa exitosa de la red es difícil, pero al usar estas lecciones para afilar tus herramientas, se vuelve un poco más potente.
El propósito de nuestras capas de defensa a ingeniería social no debe ser esperar eliminar la amenaza. Si no que debe ser vista como una oportunidad más para ganar tiempo.
Ese tiempo permite al equipo que supervisa tus sistemas tomar nota de la anomalía y empezar a investigar. Ese tiempo permite al equipo que supervisa tus sistemas tomar nota de la anomalía y empezar a investigar. Encontrar el punto de entrada, cerrarlo y desalojar a los atacantes de ingeniería social antes de que alcancen sus objetivos.
Cuando el objetivo del atacante es introducir malware, robar propiedad intelectual específica o incluso desencadenar un ataque de ransomware/extorsión. Normalmente, se necesitan unos pocos días y eso debería ser suficiente para detenerlos en su camino.
Por desgracia, como en el caso de Uber, Rockstar y otras víctimas de Lapsus, en ingeniería social aparece en titulares y causar problemas. El atacante tarda muy poco tiempo en conseguirlo y requiere que la red y la monitorización estén en plena forma para evitarlo. El atacante tarda muy poco tiempo en conseguirlo y requiere que la red y la monitorización estén en plena forma para evitarlo.
El dolor de estos incidentes será temporal, y espero que al final todos podamos beneficiarnos de ellos para mejorar nuestros propios procesos y arquitecturas. La seguridad es un campo de evolución y esperar a trabajar juntos, aprender de nuestros errores y seguir subiendo el listón para los ciberdelincuentes.
Si deseas conocer más sobre datos de ciberseguridad, visita nuestro sitio de blogs cointic seguridad informática.
Fuente: Wisniewski, C. & Wisniewski, C. (2022, 7 octubre). Uber y Rockstar caen ante ataques de la ingeniería social ¿y tú? Sophos News. https://news.sophos.com/es-419/2022/10/07/uber-y-rockstar-caen-ante-ataques-de-la-ingenieria-social-y-tu-2/