Whitepapers – Mexis https://www2.mexis.net/v2 Seguridad informática Fri, 15 Nov 2019 16:43:37 +0000 en-US hourly 1 https://wordpress.org/?v=5.2.20 WHITEPAPER: "MECANISMOS DE DEFENSA ACTIVA CONTRA INTELIGENCIA DE AMENAZAS" https://www2.mexis.net/v2/whitepaper-mecanismos-de-defensa-activa-contra-inteligencia-de-amenazas/ Tue, 02 Oct 2018 22:33:19 +0000 https://revista.mexis.net/?p=1843
Conforme a lo mostrado en el informe anual del estado de la ciberseguridad en el mundo publicado por ISACA a principios de 2018, uno de los puntos a resaltar es la adopción en una gran cantidad de empresas de algún tipo de mecanismo de defensa activa contra amenazas, lo que conocido también como aplicación de inteligencia de amenazas (threat intelligence o cyber threat intelligence son los términos que suelen utilizarse en inglés para referirse a ello).
La inteligencia de amenazas, de forma general consiste en un conjunto de elementos como son componentes tecnológicos, procesos, conocimiento y prácticas que van más allá de analizar la actividad que se presenta en los activos tecnológicos de una organización, sino que dan una visibilidad amplia, temprana y de fácil comprensión, acerca de la existencia de amenazas informáticas que pueden causar daño en el patrimonio intelectual, continuidad operativa, reputación o cumplimiento regulatorio, entre otros aspectos, logrando todo esto ya sea que exista actividad de la amenaza manifestada ya dentro de la organización, o no; y lo más importante, la inteligencia de amenazas debe resulta en acciones.
Un caso de uso particular que suele ser asociado con la inteligencia de amenazas es el de la defensa activa, consistente generalmente en la construcción de anzuelos -esto es falsos ambientes tecnológicos implementados justamente para ser atacados y permitir analizar de manera segura las actividades de ataque- para atraer a los agentes de amenazas y poder entonces aprender acerca de sus métodos, herramientas, hábitos y comportamientos.  En este caso, la organización toma una postura activa para obtener conocimiento acerca del entorno de amenazas en el cual se desenvuelve.
Algunos ejemplos de esquemas que se pueden implementar son los mencionados a continuación.
Honeypot: se puede interpretar como un sistema señuelo, que básicamente es una combinación de hardware o software que se instala como una trampa con la intención de que reciba ataques informáticos.  Conforme los recibe, el administrador del señuelo tiene la posibilidad de analizar los métodos, herramientas y hábitos de ataque y usar esta información para proteger su infraestructura real.
Sandbox: en el contexto de la seguridad, se refiere a un entrono aislado para la ejecución de procesos, mismo que se utiliza generalmente para verificar el comportamiento que muestra un archivo al ser abierto o ejecutado con la finalidad de determinar si se trata de algún tipo de ataque.
La inteligencia de amenazas abarca toda aquella práctica que proporciona información relevante y oportuna que permite comprender y anular una amenaza antes de que se manifieste en la práctica, o minimizar su impacto al detectarla en etapas iniciales de su actividad.  Esto incluye conocer aspectos diversos de los potenciales atacantes, como son sus motivaciones -económica, política, ideológica o incluso lúdica-, postura ante la organización si se trata de una amenaza dirigida o general-, métodos, herramientas y hábitos; prácticamente trata de permitir a la empresa observarse como lo haría un atacante.  El resultado es que la organización se vuelve más inteligente acerca de las amenazas informáticas que realmente enfrenta conforme a su propio contexto.
Una de las tareas relacionadas con la estrategia de seguridad de la información en las empresas que de mejor manera se resuelve por medio de prácticas de ciber inteligencia es la exploración de la red oscura -darknet o darkweb- buscando información que haya sido robada o extraída, discusiones en grupos de hacktivismo que busquen llevar a cabo ataques dirigidos, así como otros tipos de exposiciones al riesgo.  En el informe titulado “The Darknet” (ISACA, 2018) se menciona un dato crítico, el 100% de las empresas que aparecen en el Fortune 500 de 2017 sufren algún tipo de exposición en la red oscura.  Por supuesto, explorar esta red oscura manualmente en busca de estas amenazas o información expuesta de la organización no resulta deseable o viable para ser realizado salvo por expertos en la materia o utilizando herramientas especializadas para tal fin. Hacerlo sin el conocimiento, herramientas y métodos adecuados significa abrir la puerta a un sinfín de ataques informáticos.
Cada empresa, dependiendo de sus recursos financieros y tecnológicos, de su nivel de conocimiento, su postura ante el riesgo y del tipo de exposición que tenga ante las amenazas, podrá implementar este tipo de prácticas de manera distinta.
El informe ya referido de ISACA arroja datos significativos acerca de la adopción de la inteligencia de amenazas:

  • El 53% de los encuestados indica que en su organización tienen implementada alguna forma de defensa activa, como honeypots.
  • El 87% de los participantes comentaron que en sus empresas cuentan con alguna forma de inteligencia de amenazas, de los cuales, el 50% lo hace con recursos internos y el 37 utiliza un proveedor.
  • Acerca de los obstáculos que enfrentan para implementar, ampliar o robustecer su práctica, el 43% mencionó que tiene una problemática de falta de conocimiento o recursos, mientras que el 37% se enfrenta a restricciones de presupuesto. Algunos otros factores son implicaciones legales (34%) o técnicas (30%).
  • Del universo de organizaciones que cuentan con una práctica implementada, el 87% manifiesta haber tenido éxito en el cumplimiento de sus objetivos.

La más valioso de todos estos datos es que se puede concluir que el uso de la inteligencia de amenazas se está extendiendo y que, más allá de que ocurra por modo, es porque genera beneficios para las empresas.  En términos generales, estos beneficios surgen de un hecho simple, las empresas logran optimizar los recursos que utilizan en cada una de las etapas en su gestión de la ciberseguridad.
La figura 1 muestra el clásico ciclo propuesto por el NIST en su Framework de Ciberseguridad.

Figura 1: Ciclo para Gestión de Ciberseguridad, NIST Framework 1.1

Conforme a este ciclo, se puede identificar algunos de los beneficios más directos en la administración y operación de la seguridad que surgen al aplicar una práctica de inteligencia de amenazas.

Etapa

Beneficios
Identificación
  • Provee información acerca del contexto de amenazas y riesgos de la organización.
  • ¿Se está mencionando a la empresa en foros de hacktivismo?
  • ¿Alguna de la tecnología que se utiliza tiene vulnerabilidades importantes?
  • ¿Alguien puede estar planeando un ataque dirigido a la organización?
  • Alimenta el modelo para la evaluación de riesgo.
  • Proporciona insights acerca de aquellos riesgos cuyo tratamiento debe ser prioritario.
  • Permite a la organización identificar agentes de amenaza que puede no tener identificados.

Protección
  • Genera evidencia clara y contundente que sirve como material de apoyo para los eventos o materiales de entrenamiento y concientización.
  • Evidencia real de equipos vulnerados, credenciales y documentos de la empresa que han sido robados y publicados o puestos a la venta en la dark web.
  • Muestra brechas de seguridad, revelando aquellos puntos donde deben mejorarse los mecanismos de seguridad.
  • Vectores de ataque que han sido utilizados exitosamente contra la organización, como troyanos, backdoors, rootkits, key loggers, entre otros.

Detección
  • Identifica de forma temprana la existencia de amenazas a la organización.
  • Credenciales o datos de tarjetas de crédito robados a empleados o clientes, aun antes de que sean utilizados.
  • Sitios web o aplicaciones móviles que de forma fraudulenta explotan el nombre, la imagen o propiedad intelectual de la organización.
  • Encuentra las amenazas explorando fuera del perímetro de la organización.
  • Redes sociales, dark web, servicios de compartición de documentos, redes P2P, entre otros.

Respuesta
  • Captura y protege la evidencia de los hallazgos para su uso en esta etapa.
  • Permite iniciar la respuesta cuando la afectación ha sido mínima o ninguna, con lo cual se pueden planear y llevar a cabo acciones sin un factor adicional de emergencia.
  • Proporciona información que permite a los equipos de operaciones de TI y Seguridad identificar los puntos de corrección y mejora.

Recuperación
  • Habilita a la organización para comenzar las acciones de recuperación cuando la afectación ha sido mínima.

A partir de estos beneficios para las funciones propias de ciberseguridad, se observan otros muy claros para el negocio.

  • Se reduce el impacto financiero de los ataques informáticos, en términos de costos por reembolsos o compensaciones a clientes, multas, inversión en campañas de comunicación para reestablecer la imagen de la organización, primas de pólizas de seguros contra fraude, jornadas de trabajo adicionales para los equipos de operaciones de seguridad, entre otros.
  • Se mejora la protección de propiedad intelectual de la organización, identificando usos fraudulentos, abusivos o no permitidos de su nombre, marcas, nombres de productos y servicios, documentos, procesos, entre otros.
  • Se guía la inversión tecnológica en controles de ciberseguridad a aquellos aspectos que generan los mayores beneficios.
  • Se cuida la experiencia del cliente al minimizar la posibilidad de que este se vea afectado por el uso fraudulento, abusivo o criminal de su relación con la empresa por medios como contraseñas robadas, sitios web o aplicaciones móviles fraudulentas; así como incrementando la disponibilidad de los servicios que recibe de la organización.

Entendiendo el valor que aporta a las empresas el adoptar prácticas de inteligencia de amenazas, lo siguiente es determinar la manera de hacerlo y en este sentido es indispensable reconocer que no existe una receta que aplique para todas las empresas, sino que cada una, dependiendo de sus prioridades estratégicas, así como de su nivel de exposición al riesgo, deberá elegir una combinación a la medida de implementación interna y por medio de un proveedor de servicios.
Para aquellos aspectos de la ciber inteligencia que tienen más que ver con la tecnología, como puede ser integrar una fuente de información de amenazas de seguridad con la tecnología de seguridad existente la empresa -firewalls, IPS, IDS, antimalware, etc.- puede ser suficiente con adquirir un software, sus respectivas licencias y suscripciones y usar sus mecanismos de integración ya probados -out of the box- para comenzar a tener información que agilice y simplifique la labor de las áreas operativas de TI y seguridad.  Lo mismo puede aplicar cuando la organización cuenta ya con un sistema de gestión de seguridad de la información maduro, que puede fácilmente proveer los parámetros para configurar una plataforma comercial de inteligencia de amenazas.
Por otro lado, el valor que puede entregar un proveedor de servicios se mide en referencia con su capacidad, primeramente para cerrar las brechas que existan en la implementación actual de la gestión de seguridad de la información en la organización como puede ser llevar a cabo un análisis de impacto al negocio y de riesgo, así como la evaluación del entorno de amenazas, incluyendo aquellas exógenas y previamente desconocidas, todo ello con la finalidad de establecer una línea base adecuada para comenzar a aplicar ciber inteligencia; y en segunda instancia, para soportar las tareas operativas como son el mantenimiento de los parámetros de exploración y búsqueda, los criterios y umbrales de alertamiento, los niveles de impacto y urgencia para los hallazgos generados, la evaluación de los mismos, el descarte de falsos positivos y lo más importante, la respuesta ante las amenazas confirmadas.
Un servicio administrado de inteligencia de amenazas debe tener la flexibilidad de adaptarse de forma muy específica a la exposición particular que cada organización tiene ante las amenazas informáticas.  Esta exposición dependerá de diversos factores como son la popularidad de su marca, el dominio que ejerza en su ramo, el tipo de tecnologías que utiliza para soportar sus procesos de negocio, el uso que hace de recursos como sitios web públicos y aplicaciones móviles, sus prácticas de desarrollo de software, su reputación, el nivel de integración que tenga como cliente o integrante de diversas cadenas de suministro y las restricciones de seguridad que aplique a sus sistemas y usuarios, principalmente.
Por ejemplo, una empresa que basa su modelo de negocio en la generación de capital intelectual en forma de patentes a partir de una labor intensiva de investigación y desarrollo está expuesta a amenazas informáticas muy distintas a una empresa de manufactura de piezas industriales que vende por medio de la visita a sus clientes y haciendo demostraciones presenciales.  Mientras que la primera debe ocuparse significativamente por proteger su información para que no sea expuesta desde los equipos de cómputo de los investigadores, al ser compartida por la red, al ser archivada o respaldada, la segunda está expuesta al delito tradicional de robo los vehículos y piezas de demostración.
Bajo esta realidad, para cada empresa será de mayor o menor prioridad el explorar distintas fuentes de inteligencia como son las redes sociales, la red oscura -darknet-, la red profunda -deep web-, los mercados legales e ilegales de aplicaciones móviles, los foros de hacktivismo o las bases de datos de vulnerabilidades de los fabricantes de tecnología.  Si bien puede resultar interesante en algún momento para una empresa explorar la mayoría de estas fuentes de manera inicial, para tener una línea base de exposición a amenazas, no resulta práctico ni viable financieramente hacerlo de manera permanente.
Por ejemplo, una empresa que haga un uso importante de aplicaciones móviles como canal de venta, seguramente podrá justificar el monitoreo constante en búsqueda de clones ilegales de sus aplicaciones.  Estos clones son una herramienta comúnmente utilizada por los cibercriminales para robar las credenciales de acceso de los usuarios, así como toda la información contenida en sus teléfonos móviles.  Para una empresa que no cuenta con aplicación móvil alguna, este tipo de monitoreo seguramente tendrá poco valor.
De esta manera el proveedor de servicios deberá contar con una oferta flexible, primero en cuanto a las distintas fuentes de inteligencia que cada uno de sus clientes pueda elegir, según los criterios antes mencionados y segundo, con respecto a la oferta de servicios complementarios que le permitan actuar en las distintas fases de identificación, protección, detección, respuesta y recuperación, ya sea llevando a cabo de manera total o parcial tareas operativas, de planeación o estratégicas en el ámbito de la seguridad de la información.
La figura 2 muestra el tipo de oferta de servicio que una empresa típicamente debe esperar de su proveedor seleccionado.  En el centro aparecen las funciones básicas relacionadas con la inteligencia de amenazas, como son la parametrización de la tecnología utilizada y lo que corresponde propiamente a las tareas de gestión de eventos, todo ello llevado a cabo con una estricta alineación al contexto que se conoce de la organización, tanto en términos de su exposición a amenazas, como de su estrategia.  El siguiente nivel muestra los distintos ámbitos de exploración e investigación, donde el cliente ya tiene la primera posibilidad de elegir modularmente dependiendo de la naturaleza de su negocio y la exposición al riesgo que de ella deriva.  Finalmente, en los costados se muestran servicios complementarios que el cliente podrá considerar según las capacidades con las que cuente internamente o ya entregadas por otros proveedores, del lado izquierdo se proponen servicios de índole consultiva para la estrategia de seguridad, mientras que en el derecho los que corresponden a operaciones de seguridad.

Figura 2: Oferta esperada de un proveedor de servicios de Inteligencia de amenazas

Como se observa, para realmente aprovechar una práctica de inteligencia de amenazas hace falta mucho más que solo la tecnología.  Se requiere el conocimiento fino de la organización para poder configurar adecuadamente la tecnología elegida, pero también se necesita saber de qué manera actuar cuando se presenten hallazgos, lo cual se fundamenta no solo en el conocimiento técnico experto, sino en la aplicación de una práctica basada en políticas, procesos, procedimientos y otras herramientas que facilite lograr el resultado.
Cuando se presenta un evento o detección es necesario tomar decisiones acerca de las acciones que deben llevarse a cabo en el ámbito de la seguridad de la información y la tecnología.  ¿Es suficiente con aplicar una medida puntual de remediación? ¿Es esto posible? ¿Se requiere establecer un plan de acción para evitar que este tipo de evento se repita en el futuro? ¿Cuánto costará a la organización blindarse contra este tipo de amenaza? ¿Cómo cambia el nivel de riesgo conocido de la empresa después de lo ocurrido? ¿Es necesario hacer ajustes en la estrategia de seguridad?
Cada amenaza que es detectada puede tener ramificaciones muy variadas que van más allá de la organización misma, lo cual se traduce en un proceso complejo de toma de decisiones de negocio donde las interrogantes son del tipo ¿Quién está en riesgo además de nuestra empresa? ¿Qué tanta información de la amenaza detectada debemos compartir y con quién? ¿Cuál es el impacto potencial sobre la reputación de nuestra marca? ¿Podemos ser acreedores a algún tipo de sanción?
En el primer nivel de cuestionamientos se busca que el proveedor de servicios tenga una participación mucho mayor, que analice el impacto de una amenaza detectada, tome acciones relacionadas con la respuesta y la recuperación y también que proponga planes para la protección a partir de ese momento.  En el segundo nivel, se espera que asuma el rol de asesor, proporcionando información de alto nivel para que los ejecutivos de la empresa tomen decisiones.
Como conclusión, la inteligencia de amenazas contempla todas aquellas medidas que permiten a una organización detectar de manera temprana una amenaza informática relevante y le proveen información detallada que le permite responder de manera efectiva y eficiente, minimizando el impacto; se puede afirmar que el uso de prácticas de inteligencia de amenazas está volviéndose más frecuente y está generando beneficios para quienes las utilizan, sin embargo, aprovecharlas de manera que se obtenga el máximo beneficio de ellas no es tarea fácil, requiere contar con una variedad de funciones en la organización en los niveles operativo, de planeación, gerenciales y estratégicos, así como un amplio conocimiento tanto de la empresa como del entorno de amenazas informáticas en general y el específico conforme al perfil de esta, de manera que siempre será benéfico combinar la responsabilidad entre áreas funcionales internas y un proveedor especializado que pueda brindar la amplitud en cobertura del espectro de amenazas y la profundidad en la ejecución de tareas de operación, planeación y estrategia de seguridad que sea más conveniente.

Autor: Jorge Rubén Macías López Gerente de Innovación Tecnológica Mexis

ISACA. (2018). State of Cybersecurity.
ISACA. (2018). The Darknet.
Opacki, J. (2017 Volumen 4). Building a Security Culture: Why Security Awareness Does Not Work and What to Do Instead. ISACA Journal.

Descargar archivo en PDF

]]> WHITEPAPER: "EVITANDO ATAQUES DE INGENIERIA SOCIAL Y PHISHING" https://www2.mexis.net/v2/whitepaper-evitando-ataques-de-ingenieria-social-y-phishing/ Wed, 12 Sep 2018 16:25:08 +0000 https://revista.mexis.net/?p=1830
A principios de 2018, ISACA publicó los resultados anuales de su encuesta acerca del estado de la ciberseguridad en el mundo, y aunque la encuesta arroja algunas buenas noticias relacionadas con una mayor disponibilidad de especialistas que comienzan a reducir el déficit de talento orientado a la ciberseguridad, por otro lado confirmó un problema que genera dolores de cabeza en todas las organizaciones, el elevado nivel de riesgo que resulta del comportamiento humano, específicamente de los comportamientos de las personas que laboran en la empresa o que de manera indirecta tienen acceso a su información.  Conforme a los resultados de la encuesta, la ingeniería social se ubica como el tercer vector de ataque más frecuente con el 28% -contra 29% observado en 2017- mientras que el Phishing se consolida como el número uno en este rubro, creciendo de 40 a 44%.
Phishing: ataque informático basado en la suplantación de la identidad de una persona u organización legitima, busca aprovecharse de la confianza de la víctima para inducirlo a seguir instrucciones que lo llevan a sufrir un robo de información como puede ser su contraseña de acceso a algún sistema o servicio, o a ver su equipo de cómputo o dispositivo móvil infectado con un programa malicioso que puede causar aún mayor daño a la persona u organización.
Ingeniería Social: es una práctica no automatizada que tiene por objetivo establecer un contacto directo con la víctima y manipularla por medio de habilidades de convencimiento para que comparta información personal o de la organización.  La información obtenida sirve al atacante para complementar una estrategia de ataque informático más robusta, por ejemplo, para construir un ataque de phishing dirigido.  En el peor escenario, la persona divulgará claves de acceso a sistemas informáticos, sistemas bancarios, entre otros.
Si bien el Phishing es un vector de ataque que se basa en medios tecnológicos -generalmente un correo electrónico, aunque también suelen utilizarse memorias USB u otro tipo de dispositivos removibles para ataques focalizados, así como variantes que usan mensajes de voz o SMS- la realidad es que su efectividad depende totalmente de la reacción que tenga la persona que es objetivo del ataque, ya sea abriendo un archivo adjunto o siguiendo un vínculo en el correo electrónico malicioso, insertando en su equipo de cómputo el dispositivo que contiene el ataque, o acatando cualquier otra instrucción que el atacante proporcione.  Bajo esta perspectiva, se pueden sumar los porcentajes, resultando en un 72% de ataques que buscan explotar el exceso de confianza o el nivel de conocimiento inadecuado en términos de ciberseguridad que puede llegar a tener cualquier persona en una organización típica.
Smishing: tipo de ataque informático que deriva del phishing, pero en vez de utilizar un mensaje de correo electrónico, usa el servicio de mensajes de texto de telefonía celular para lograr los mismos objetivos.  Al infectar dispositivos móviles, el código malicioso que se puede instalar tiene la capacidad de acceder a información confidencial de los usuarios que muchas veces no está disponible en su equipo de cómputo, como son credenciales bancarias, bóvedas de contraseñas o acceso a tomar el control de las cuentas de correo personales del usuario afectado.
Vishing: es una técnica de ataque que combina la automatización del phishing con la ingeniería social tradicional.  El atacante utiliza un sistema de marcación telefónica para mandar grabaciones que “notifican” a las víctimas alguna situación urgente, como un cargo fraudulento a su tarjeta de crédito.  La grabación proporciona un número telefónico al cual se debe comunicar el usuario, y simulando las opciones típicas del menú de las instituciones bancarias y de servicio reales, induce a la persona a ingresar sus claves de atención telefónica.
Estos riesgos se pueden intentar mitigar invirtiendo grandes cantidades de dinero en tecnologías diversas que buscarán anular las amenazas aun cuando la persona sea engañada; algunas de ellas pueden bloquear los puertos USB de los equipos de cómputo para que no activen dispositivos de almacenamiento pero permitan el uso de otro tipo de periféricos requeridos para la actividad cotidiana, otras aplicarán complejos mecanismos de vieja o nueva generación para detectar los correos de Phishing y evitar que lleguen al usuario, y seguramente habrá quienes cuenten con tecnologías de antimalware diversas que protejan la ejecución de procesos no reconocidos, resguarden la navegación de los usuarios e impidan la descarga de archivos dañinos.
Sin embargo, toda tecnología llega a un punto en el cual pierde su efectividad.  El usuario de negocio que necesita urgentemente insertar esa memoria USB en su computadora, con la advertencia de perder un negocio de gran valor para la empresa si no se le permite; existe también el denominado usuario VIP a quien es impensable ponerle restricciones a aquello que puede o no hacer con su equipo de cómputo.  Por un lado, la propensión de las tecnologías de seguridad a generar bloqueos en falso, y, por otro lado, la inercia de las personas que buscan mantener sus métodos ya probados para realizar actividades cotidianas, son ambas fuentes muchas veces de cantidades inmanejables de excepciones en los sistemas de seguridad.  Porque, después de todo, si ya se le otorgó a ese usuario el permiso de usar un dispositivo USB en este momento, ¿Para qué quitárselo si después lo volverá a pedir?
Bajo este panorama, la herramienta más efectiva que tienen las organizaciones para dar tratamiento a estos riesgos asociados a la acción humana es lograr modificar los comportamientos de las personas hacia aquellos considerados como seguros, comportamientos que deben darse por convencimiento, mismo que debe nacer del aprendizaje y entendimiento de las amenazas, la manera de detectarlas y las acciones a tomar ante ellas.  De aquí la importancia de que las empresas cuenten con programas adecuados de entrenamiento -para los aspectos técnicos que les permitan detectar una amenaza- y concientización -para convencerlos de la importancia de aplicar ese conocimiento técnico adquirido.  Programas de entrenamiento adecuados. Tenerlos resulta más complicado de lo que parece.
¿Qué se requiere para que un programa de entrenamiento y concientización resulte adecuado? Joseph Opacki hace un planteamiento muy acertado en ese sentido en su publicación de 2017 en el Journal de ISACA, “Construyendo una Cultura de Seguridad: ¿Por qué la concientización en seguridad no funciona y qué hacer en su lugar?”.  Básicamente, se requiere un programa que parezca todo menos el típico programa de concientización en seguridad.  Esto es, las empresas pueden olvidar la idea de llevar a todo su personal en pequeños o grandes grupos una vez al año a escuchar recomendaciones genéricas de seguridad durante dos horas y cumplir así con un lineamiento de seguridad interno o de regulación externa.
Se necesita un entrenamiento que cumpla con las mismas características que el entrenamiento especializado que toda persona recibe para su función laboral específica.  Partiendo de evaluar la situación inicial de conocimiento de la persona y los comportamientos que resultan de éste, identificar las condiciones a las cuales está expuesto conforme a sus funciones específicas, poner a su disposición el conocimiento que resulta relevante con base en los dos puntos anteriores, proveerle los escenarios para aplicar el conocimiento adquirido, evaluar el avance logrado en cuanto a sus comportamientos y comenzar de nuevo.  Esto es, no todas las personas deben recibir el mismo entrenamiento, primero porque sus conocimientos iniciales son distintos, segundo porque su exposición a las amenazas de seguridad puede no ser la misma y tercero porque cada persona responderá de manera distinta ante cada una de las herramientas de aprendizaje.
Una de las herramientas más útiles que permiten evaluar el nivel de conocimiento de cada persona, así como observar sus comportamientos ante diversos escenarios de riesgo, es la simulación.  Conforme a los vectores de ataque antes mencionados, podemos diferenciar entre dos casos, la simulación de phishing y el hackeo ético de ingeniería social.
En el primer caso, se seleccionan grupos de personas con un perfil de exposición a amenazas común, se construye un correo cuya estructura es equivalente a la de un mensaje de phishing real, se les envía y se identifica quienes de ellos tienen un comportamiento adecuado -eliminan el correo y lo reportan a su área de soporte de TI, por ejemplo- o inadecuado -siguen las instrucciones del correo, ya sea para visitar una página web, ingresar sus credenciales de acceso, descargar y ejecutar un archivo o cualquier otro escenario que se haya simulado.
Mientras que el segundo caso es una tarea más demandante ya que la ingeniería social se debe llevar a cabo de manera individual, una persona objetivo a la vez.  Se puede usar una llamada telefónica, o una interacción en persona en una circunstancia inesperada.  En cualquier caso, el objetivo es inducir a que la persona revele de viva voz información de la organización que pueda permitir a un atacante avanzar en su objetivo de causar un daño a la misma  El tipo de información que se puede obtener va desde nombres de personas en puestos clave, descripción de mecanismos de seguridad utilizados, horarios en los cuales se lleva a cabo algún proceso -como un cambio de turno, cuando existe un grado mayor de distracción que puede explotarse- , hasta elementos más puntuales como contraseñas o incluso convencer a la persona de entregar su tarjeta de acceso a las instalaciones.
Por su naturaleza masiva, la simulación de Phishing puede usarse continuamente en toda la población, usando campañas dirigidas a segmentos específicos; mientras que la ingeniería social puede reservarse para personas que ocupan posiciones estratégicas en la organización, ya sea por tener un puesto alto en el organigrama, por tener acceso a información sensible, o por trabajar de manera cercana con los anteriores -asistentes o colaboradores directos. También se puede aplicar la ingeniería social ética a aquellas personas cuyos resultados en las simulaciones de phishing determinen un mayor nivel de riesgo.
Las herramientas de simulación mencionadas servirán para registrar los comportamientos de las personas ante los escenarios de amenaza, el siguiente paso es proveerles el entrenamiento adecuado según estos comportamientos.  Aquellas personas que no fueron engañadas e incluso notificaron la actividad sospechosa a las instancias adecuadas en la empresa, claramente no requerirán mayor entrenamiento, sino al contrario, pueden recibir reconocimiento por su aportación a la cultura de seguridad.  En el otro extremo se encuentran quienes de manera constante logran ser engañados por las simulaciones, y en consecuencia deben recibir entrenamiento por métodos diversos como lecturas, seminarios por internet, cursos interactivos, clases grupales y hasta sesiones de trabajo individuales con un especialista del equipo de seguridad.
Para que estas herramientas generen los beneficios esperados, es importante que los resultados que se van obteniendo al utilizarlas, se ingresen en modelos de evaluación de riesgos, en los cuales se pueda observar la variación de éstos en función de las acciones ejercidas, conforme se realizan simulaciones, las personas van completando sus tareas asignadas de entrenamiento y se observan los cambios de comportamiento, el nivel de riesgo debe ir disminuyendo tanto para los segmentos específicos de personal, como en general.  Por otro lado, si las personas no cumplen con sus tareas de entrenamiento o no se observan cambios positivos de comportamiento, el riesgo debería incluso aumentar.
El modelo planteado no es algo nuevo en su mecánico, sino que se trata de implementar un programa que se base en la aplicación del Ciclo de Mejora Continua de Deming, conocido como PDCA por sus siglas en inglés (Plan-Do-Check-Act).
Enfoque del Ciclo de Deming para el tratamiento de riesgos informáticos por medio de la simulación
Planear: entender la situación actual y plantear un objetivo de mejora.  Para fines prácticos se puede establecer como “lograr una reducción en el nivel de riesgo presente en la organización y asociado a la posible pérdida de información como resultado de ataques de ingeniería social y phishing”.  Se debe complementar el estatuto con datos específicos del contexto de la organización, por ejemplo, el historial de este tipo de ataques que la hayan afectado directamente, que sucedieran en su sector, que tuvieran impacto en su cadena de suministro o incluso que sean de impacto global como fue la crisis por ataques de Ransomware en 2017.  Conforme al objetivo, se establece un plan de trabajo para realizar campañas de simulación, preferentemente dando prioridad a las áreas, funciones y personas de mayor impacto en la organización con respecto a su acceso a información confidencial o sensible.
Hacer: se lleva a cabo la ejecución de las campañas de simulación, incluyendo sus componentes de entrenamiento y concientización.  En esta etapa es necesario que en la organización se perciban el apoyo y la participación de los altos ejecutivos, así como de los líderes informales reconocidos.
Evaluar: se recopila la información de ejecución de la campaña, con sus resultados – personas que fueron víctimas de los ejercicios de simulación, que atendieron sus actividades de entrenamiento, quienes no lo hicieron, quienes contactaron a sus jefes o al área de soporte de TI o de seguridad para reportar las actividades sospechosas, etc- y se ingresan al modelo de evaluación de riesgo, observando de qué manera cambia el mapa de riesgos global, por área o por función.
Actuar:  con base en los resultados obtenidos, se debe planear el siguiente ciclo de trabajo.  Cada ciclo subsecuente puede ser enfocado en segmentos más específicos de la población, aquellos que siguen representando un nivel de riesgo significativo.  Mientras que, para quienes demostraron los comportamientos óptimos se pueden utilizar algunos mensajes de reforzamiento, o incluso se les puede “reclutar” para tener una función de mentores en temas de seguridad informática.
Si el trabajo se realiza de forma adecuada, los ciclos de mejora pueden resultar en alcanzar eventualmente un nivel de riesgo residual que ya no pueda ser disminuido, posiblemente porque hacerlo signifique ya un costo financiero o en otros recursos que no se pueda justificar.
Llegar a este punto dependerá de muchas circunstancias, como son la tasa de rotación de personal en la organización -a mayor rotación, mayor necesidad de continuar el ciclo de mejora-, la exposición que la empresa tenga a las amenazas informáticas -que tan probable sea que existan ataques dirigidos en su contra, o que solamente reciba ataques genéricos-, que existan cambios significativos en el entorno tecnológico de la organización -nuevos sistemas de información, cambios en las herramientas de colaboración, implementación de nuevos procesos- o si se requiere la alineación a nuevos marcos regulatorios, estándares o buenas prácticas.
En este caso, lo recomendable es ejecutar algunos ejercicios de simulación periódicos, para monitorear que los comportamientos siguen estando alineados con las prácticas de seguridad de la información requeridas.
Asumiendo que la organización ha llegado al convencimiento de adoptar estas prácticas para dar tratamiento a los riesgos derivados de ataques de phishing e ingeniería social, ¿Cuáles son las alternativas que existen para hacerlo?
Específicamente para el caso de phishing existe siempre la opción de adquirir una herramienta, configurarla y comenzar a ejecutar campañas de simulación. Surgen algunas preguntas ¿Cuál elegir? ¿Por qué? ¿Quién la va a configurar? La oferta tecnológica es muy diversa, aunque con modelos de licenciamiento generalmente rígidos.  Las tecnologías reconocidas como Top por los analistas de la industria manejan esquemas de licenciamiento perpetuo con usuarios nombrados que pueden representar inversiones cuantiosas.  Y eso sin considerar todo el trabajo experto que se requiere, primero para definir cómo se utilizará la herramienta y segundo para ejecutar el ciclo de mejora aprovechándola.
La realidad es que la tecnología es el factor menos importante en este caso.  De la misma manera que el objetivo es reducir el riesgo que se deriva del elemento humano de las organizaciones, es también el elemento humano el que resulta clave para la implementación de un programa exitoso.  Aspectos clave como el perfilamiento de los grupos de audiencia para dirigir los ejercicios de simulación, la creación de escenarios de simulación que realmente pongan a prueba los criterios para tomar decisiones y actuar de las personas, la generación de contenido de entrenamiento y concientización adecuado para los distintos segmentos de audiencia y la toma de decisiones con base en los resultados observados, no son sujetos para la automatización tecnológica.
Es entonces que adquiere valor y relevancia optar por un servicio consultivo que acompañe a la organización en cada etapa de sus ciclos de mejora.  Uno de los principios que se cuidan es no distraer a la organización de las actividades inherentes a su negocio y dejar que el proveedor de servicio se haga cargo de todas las tareas especializadas que se requieren para gestionar un programa exitoso, planteado con su alcance correcto.  No se trata de implementar un “programa de simulación” o “programa de entrenamiento”, sino que se debe contemplar como un Programa de Gestión de Riesgos Informáticos Asociados al Comportamiento Humano, mismo que debe estar alineado con el Plan Maestro de Seguridad existente en la organización.
Un servicio consultivo integral debe considerar la generación del modelo de evaluación de riesgos, su actualización continua, el perfilamiento de los grupos de usuarios, el diseño y la ejecución de las simulaciones de phishing y los eventos de hackeo ético de ingeniería social.  También debe apoyar a la organización en el desarrollo de los contenidos de entrenamiento y concientización y en la interpretación de los resultados de las distintas acciones.  Todo esto, dentro del contexto de la evaluación de riesgos y gestión de la seguridad de la información global de la organización.
En Mexis contamos con el conocimiento experto apoyado en la tecnología, combinación que nos permite ofrecer un servicio modular que puede configurarse a la medida de cada uno de nuestros clientes.  Evaluamos la exposición del cliente ante las amenazas de ingeniería social y phishing, analizamos el historial de eventos de seguridad que han afectado a la organización, proponemos, diseñamos, construimos y ejecutamos campañas de simulación que generan información de gran valor para la evaluación de riesgos y la toma de decisiones.  Trabajamos con el cliente para implementar un programa de entrenamiento y concientización tan específico como su situación presente lo requiera.

Autor: Jorge Rubén Macías López Gerente de Innovación Tecnológica Mexis
ISACA. (2018). State of Cybersecurity.
Opacki, J. (2017 Volumen 4). Building a Security Culture: Why Security Awareness Does Not Work and What to Do Instead. ISACA Journal.

Descargar archivo en PDF

]]>