Después de un ciberataque, la primera reacción de los ejecutivos suele ser la búsqueda introspectiva del "por qué". ¿Por qué los ciberdelincuentes me han elegido a mi, a nuestra organización, a esta cultura como objetivo? La verdad es que cuesta entenderlo. No hay duda de las motivaciones normales, tales como el beneficio económico, el robo de propiedad intelectual, el espionaje corporativo, el sabotaje, la fama o el activismo político. Pero, ¿por qué yo? ¿Por qué nosotros?
La mayoría de los ciberataques no son especialmente sofisticados en su uso de la informática avanzada o la mecánica cuántica. Pueden ser ingeniosos en su capacidad para parecer auténticos o conmover a los usuarios. Pero, en realidad, los ciberataques forman parte de una cadena de montaje rudimentaria, y puede que tu organización haya sido el último objetivo de una secuencia interminable.
Se puede constatar con frecuencia que en 9 de cada 10 ciberataques, la causa principal del daño puede estar relacionada con el phishing. En pocas palabras, el phishing es un intento de conseguir que alguien realice una acción que, sin darse cuenta, provoca daños. La configuración de estos ataques es fácil, y además, son rentables y eficaces. Para organizar campañas de phishing, los atacantes necesitan objetivos humanos, representados por direcciones de correo electrónico. Los atacantes adquieren estas direcciones, las cargan en una base de datos y, a continuación, comienzan a enviar ataques. El objetivo es conseguir clics.
El phishing es más un juego de volumen que de objetivos. Si estás incluido en la base de datos de ataques pasarás a ser un objetivo permanente de cualquier campaña de phishing de ese ciberdelincuente o grupo organizado. Mi experiencia en la Agencia de Seguridad Nacional, y la investigación de mi equipo sobre otros Estados nación, organizaciones delictivas y similares, ha demostrado que los ciberdelincuentes convierten sus operaciones en cadenas de montaje. Distintos equipos se encargan de la selección de objetivos, el lanzamiento y la ejecución, los métodos técnicos utilizados, las actividades sobre el objetivo, el análisis y la explotación posterior a la campaña. No se esfuerzan en optimizar estas cadenas de montaje a lo largo del tiempo, especialmente cuando los atacantes logran lo que buscan.
El equipo de Cloudforce One ha investigado a fondo cómo una campaña de phishing relativamente sencilla puede causar graves daños a numerosas organizaciones a largo plazo. Investigamos una campaña de ataque lanzada el día después de las elecciones presidenciales estadounidenses de 2016 por un grupo de espionaje ruso al que denominamos RUS2, cuyo objetivo son organizaciones políticas.
Mientras recomponíamos la base de datos de los objetivos, descubrimos que los objetivos de phishing incluían no solo a funcionarios gubernamentales actuales, sino también a antiguos funcionarios y asociados políticos. Los objetivos siguieron recibiendo correos electrónicos de phishing a través de sus direcciones de correo electrónico personales mucho después de cambiar de trabajo. Algunas personas llevaban en la base de datos casi 10 años en el momento del ataque de 2016, y siguen siendo objetivos en la actualidad.
Aquí es donde la cosa se pone interesante.
Los nombres, números de teléfono y direcciones de correo electrónico afectados permanecen indefinidamente en las bases de datos de phishing. Tanto si los correos electrónicos son devueltos como si los destinatarios no caen en la trampa, los atacantes no se molestan en sacarlos de sus listas. Una vez que te conviertes en objetivo de un ataque de phishing, puedes seguir siéndolo indefinidamente.
Para las empresas y los organismos públicos, la persistencia de la información de contacto en las bases de datos de phishing añade peligros adicionales. Cuando un objetivo cambia de trabajo, esa persona pone en peligro a su nueva organización, ya que abre un nuevo vector a su red.
Dada la facilidad y efectividad del phishing, los ciberdelincuentes seguirán utilizando esta táctica en un futuro previsible porque es eficaz. No hay mucho que podamos hacer para impedir que lo intenten, pero podemos evitar que consigan su misión.
Tenemos que asumir que este riesgo estará siempre presente y que cada individuo es un punto de entrada potencial.
En los últimos 20 años de mi carrera, durante los que he trabajado en la Agencia de Seguridad Nacional y en el Mando Cibernético de Estados Unidos, creando tecnología para prevenir ataques de phishing, he descubierto que la mejor forma de mitigar el impacto de las campañas de phishing es adoptar una estrategia de seguridad Zero Trust. La seguridad tradicional de las redes informáticas confía en cualquier persona y dispositivo dentro de la red, y una vez que logran acceder a la red, se confía en ellos por defecto.
Con Zero Trust, no confías en nada ni en nadie. Nadie tiene nunca acceso completamente ilimitado y seguro a todas las aplicaciones u otros recursos de una red.
El mejor enfoque Zero Trust tiene varios niveles. Por ejemplo, como primera línea de defensa, puedes buscar preventivamente infraestructuras de phishing y bloquear campañas antes de que los usuarios puedan siquiera hacer clic en enlaces maliciosos de textos o correos electrónicos. También puedes utilizar la autenticación multifactor (MFA) con seguridad por hardware para proteger las redes incluso si los atacantes consiguen acceder a los nombres de usuario y las contraseñas. Puedes aplicar el principio de privilegios mínimos para garantizar que los hackers que sorteen los controles MFA solo puedan acceder a un conjunto limitado de aplicaciones. Además, puedes dividir la red con microsegmentación para contener cualquier fuga en fases tempranas.
En Cloudflare, impedimos un ataque de phishing el año pasado gracias a la autenticación MFA con claves de seguridad de hardware como parte de nuestro enfoque multicapa Zero Trust. El ataque comenzó cuando varios empleados recibieron un mensaje de texto que les llevaba a una página de inicio de sesión de Okta que parecía auténtica, pero que estaba diseñada para el robo de credenciales. El atacante intentó iniciar sesión en los sistemas de Cloudflare utilizando esas credenciales robadas junto con códigos de contraseña temporal de un solo uso (TOTP). El ataque requería que los empleados participaran en el proceso de autenticación. Lamentablemente para el atacante, Cloudflare había cambiado previamente la contraseña TOTP por claves de hardware.
Si no se hubieran implementado claves de hardware, otras medidas de seguridad habrían impedido que el ataque alcanzara su objetivo, pero, afortunadamente, la amenaza no llegó a más. Nuestro equipo de Respuesta a incidentes de seguridad bloqueó rápidamente el acceso al dominio utilizado para la página de inicio de sesión falsa y, a continuación, eliminó las sesiones activas en riesgo con nuestro servicio de acceso a la red Zero Trust. Si el atacante hubiera llegado de algún modo a instalar software malicioso, la seguridad del punto final que utilizamos habría detenido la instalación. Una estrategia multicapa como esta ayuda a garantizar que, incluso si un método de un ataque es fructífero, el ataque en sí no causará daños considerables.
Los ciberataques alcanzan muy rápido a sus objetivos, pero si te paras a pensar, no evolucionan realmente de forma significativa.
¿Cómo evitar que logren su cometido?
En primer lugar, asegúrate de que tus controles contra el phishing son sólidos. No todos los controles de MFA tienen el mismo nivel de eficacia, así que asegúrate de adoptar uno resistente al phishing e implementa una aplicación selectiva mediante políticas centradas en la identidad y el contexto. Aplica un sistema de autenticación seguro en todas partes para todos los usuarios y aplicaciones, incluso en los sistemas heredados y no web. Por último, asegúrate de que todo el mundo está en el "equipo cibernético". Para ello, implementa una cultura basada en la suspicacia, sin buscar culpables, e insta a los usuarios a informar de las actividades sospechosas desde el primer momento y con frecuencia.
Poco podemos hacer para evitar el phishing, pero mucho para prevenir los daños. Con un enfoque Zero Trust, puedes ayudar a garantizar que la próxima vez que la cadena de montaje del phishing envíe un correo electrónico a tu dirección, no tenga consecuencias. Más información sobre la plataforma multicapa Cloudflare Zero Trust.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Oren Falkowitz — @orenfalkowitz
Responsable de seguridad, Cloudflare
Después de leer este artículo podrás entender:
Una vez el atacante accede tu información personal, se queda en su base de datos de manera indefinida.
Los ataques de phishing forman parte de una cadena de montaje rudimentaria.
Poco se puede hacer para evitar el phishing, pero mucho para prevenir los daños.