post

La psicología detrás del usuario bajo el contexto de Infosec

Esta nota no es más que mi percepción del tema, no me considero ningún experto en psicología.

Ya es casi rutinario el que año con año veamos que el número de brechas y robo de datos a las empresas se incremente. De manera recurrente vemos que el usuario/el humano es el punto más débil eso ya no se discute. Aún así vemos grandes compañías gastar su presupuesto en soluciones que prometen ser la medicina para sus infosec headaches.

Leyendo el Human Factor Report 2016 de Proofpoint me llamó la atención ver que en sus resultados con respecto a los datos del 2015 concluyen que, los “bad guys” han cambiado la dirección que le dedican a su esfuerzo. Resulta que los hackers saben que en lugar de consumir su tiempo tratando de explotar vulnerabilidades técnicas que les pueden llevar mucho tiempo sin mencionar que tienen más probabilidad de ser detectados, pueden ser más efectivos si van sobre las vulnerabilidades humanas.

Claro tiene todo sentido, todos los que llevamos unos cuantos (pocos o muchos) años trabajando en estos temas sabemos que puede ser mucho más sencillo y sin mencionar menos riesgoso realizar un ataque de Ingeniería Social remoto a gastar el tiempo tratando de explotar una falla técnica.

Ya ha pasado de la hora de que los responsables de invertir e implementar seguridad dentro de las empresas se den cuenta de que no basta con caer en las “verdades” de un vendedor de cajas que dice que un appliance va a ser la solución para todos sus problemas. Es hora de que se enfoquen también en sus empleados/usuarios.

Educar a la gente va más allá de solo dar una plática o enviar algunos correos de cuando en cuando.  Desde mi perspectiva es importante conocer y estudiar un poco el comportamiento humano, entender por qué reaccionamos de una manera u otra.

Los del lado oscuro ya se han dado cuenta de que días de la semana somos más susceptibles de caer en estafas vía correo electrónico, incluso conocen en que horarios somos más propensos a abrir un link o un anexo sin poner tanta atención al mensaje.

En las últimas semanas me he encargado de impartir pláticas a empleados de diferentes niveles educativos y de diferentes roles organizacionales y me doy cuenta que, si queremos que el mensaje correcto llegue y haga sentido tenemos que darlo en un lenguaje que cada tipo de usuario pueda entender. El uso de ejemplos reales, situaciones que sabemos que se les puede presentar o que incluso al primo de un amigo le haya sucedido, pueden ser de gran ayuda.

Tenemos que hacer entender a la gente la importancia y las consecuencias que sus acciones tienen. Es la única manera de que hagan las cosas con un poco más de atención y puedan empezar a convertirse en lo que se denomina como Human Firewall.

En estos momento me encuentro leyendo el libro Phishing Dark Waters de Christopher Hadnagy (@humanhacker) y Michele Fincher (@socengineerinc) y me gustó mucho la manera como presentan las razones psicológicas por las cuales los seres humanos tienden a caer en los ataques phishing.  Los autores presentan su explicación por medio de un círculo vicioso al que denominan Emotional Decisión-making Cycle.

En resumidas cuentas no importa si el ataque busca explotar el miedo, la curiosidad, el deseo, la simpatía u cualquier otro sentimiento en la víctima. Todo gira entorno a generar respuestas cerebrales que hagan que las emociones (sin importar cuales) se interpongan a la lógica y conlleven a que se tomen malas o impulsivas decisiones.

Entender ese tipo de cuestiones nos lleva a ideas un poco más claras sobre qué hacer romper ese círculo vicioso, cosas tan sencillas como tomarse un par de minutos antes de responder a algún mensaje sospechoso. Tomarse ese tiempo nos abre oportunidad para:

  1. Analizar si tenemos toda la información necesaria que justifique la toma de una decisión específica.
  2. Identificar si estamos bajo alguna influencia ajena a la situación que pueda perjudicar la decisión.
  3. Buscar alternativas para solucionar el problema tomando en cuenta las posibles consecuencias
  4. Tomar la decisión
  5. Evaluar los resultados de la decisión tomada.

Todas las acciones mencionadas pueden llevarse a cabo a algunos minutos, no se trata de tomar horas para darle respuesta a un requerimiento/correo. Con tan solo seguir el punto 1 podemos darnos cuenta si ese correo que supuestamente es del CEO proveniente de la cuenta ceo@empresa.com es en realidad falso ya que la cuenta del CEO en realidad es sunombre.apellido@empresa.com .

En fin ese es apenas uno de muchos aspectos que podemos descubrir si con vistas a la seguridad de la información estudiáramos un poco más a las personas para tratar de complementar la efectividad de los controles técnicos en los que invertimos grandes sumas de dinero.

Ya saben sus comentarios son siempre bienvenidos.

 

¿Generas conciencia sobre las amenazas a la seguridad de la información en tu familia?

Ha pasado casi 1 año o para ser más exacto 10 meses desde la última vez que me inspiré para escribir algo en este casi olvidado blog.

En fin en los últimos días, talvez derivado del regreso de mis muy merecidas vacaciones con mi familia he estado divagando sobre algo con lo que tuve que lidiar y que ahora se lo deje de tarea a otras personas de la familia.

Supongo que todos en nuestras familias contamos con alguien, algún adulto o incluso infante que se empieza a adentrar en la tecnología. Siento que fechas como la navidad el número de gente que se empieza a involucra por primera vez siempre tiene un pico exponencial por obvias razones. Simplemente hagan memoria de cuantas personas en su familia cercana no fueron obsequiados con un Smartphone, computadora o tableta en la pasada temporada navideña.

En mi caso me toco participar en el proceso de elección de regalo para mi señora madre el cual terminó por ser un nuevo Smartphone. En efecto mi madre ya lleva algunos años utilizando teléfonos inteligentes y computadoras (es una feliz Ubuntera). El sujeto que entra en la jugada en el contexto de esta nota es mi señor padre, una persona muy pero muuuy ajena a la tecnología y que terminó por heredar el antiguo Smartphone de mi madre.

Me pareció muy conveniente estar físicamente cerca de ellos durante ese proceso que apenas está iniciando.  Tomarme el tiempo para sentarme con mi padre y explicarle las bondades de utilizar un Smartphone, no sin antes ilustrarle también sobre los peligros de lo mismo.

Él estaba en sus ansias por tener acceso rápido a sus correos electrónicos y mensajería por medio de Whatsapp volviendo a tener contacto de manera sencilla con sus amistades que quedaron de sus años viviendo en México.

Si bien veía con gusto su inclusión a este mundo conectado, no dejo de pasar por mi mente todas las amenazas que tendría a su alrededor. Por esa razón básicamente establecí un esquema de soporte y atención a mi señor padre en el cual nos involucrábamos mi madre, mi hermano y yo. Quienes en ese mismo orden de escalamiento seriamos su punto de contacto directo ante cualquier duda que el tuviera.

Teniendo eso definido lo que siguió fue su Awareness session donde fue necesario dejarle bien en claro algunos puntos básicos:old-people_o_706797

  • No abras correos de gente que no conozcas
  • No creas en las cadenas
  • No compartas información personal
  • No confíes en nadie
  • Si dudas sobre alguno de los puntos anteriores CONSULTANOS

Entiendo que si bien parecen cosas muy simples no podemos generalizar sobre los niveles de vulnerabilidad que tenemos antes las diferentes amenazas, así que por más básico que pueda parecer siempre hay que empezar de abajo.

Para reforzar aún más el punto anterior les comparto un ejemplo de algo que me compartió una amiga que ya tiene varios meses involucrada en temas de seguridad de la información.

Sucede que en su grupo de amigas (todas millenials) una de ellas recibió un mensaje por medio de LinkedIn en el cual una persona desconocida le pedía apoyo financiero con la promesa de compartir una herencia que recibiría de un familiar que falleció en una guerra.

¡SÍ! Lo leyeron bien. Es el viejo truco. Mi amiga en cuestión trató de explicarle a la potencia victima que se trataba de una estafa y que no debería responder o hacerle caso a ese tipo de mensajes. Su consejo fue respondido por el argumento “Pero y si es cierto, estaría dejando pasar la oportunidad de recibir una gran herencia”.

Así es mis estimados lectores, mi reacción la dejo con una imagen.

En fin estos temas terminaron por lograr inspirarme a escribir esta nota.

Por último le quisiera dejar algunas preguntas.

  • ¿Han vivido alguna situación parecida a cualquiera de los dos casos?
  • ¿Cómo han manejado el acercamiento a la tecnología entre sus familiares sean estos jóvenes o personas mayores?
  • ¿Qué sugerirían para proteger a estas personas más allá de los típicos controles técnicos que ya conocemos?

Esperemos que esta sea apenas la primer nota de muchas para el blog en este 2016.

post

¿Por qué pasamos por alto los mensajes de alerta en los sistemas?

Un reciente estudio publicado (http://neurosecurity.byu.edu/) por investigadores de la Brigham Young University y la University of Pittsburgh en conjunto con Google nos presenta interesantes datos sobre la manera en la que se comportan los usuarios ante los mensajes de alertas provenientes de los sistemas de información.

Se trata de un estudio que a mi parecer es muy interesante ya que nos deja en evidencia cuestiones bastante comunes que muchas veces decimos que suceden por estar en “automático” como cuando simplemente al ver un error del sistema operativo presionamos Aceptar o Continuar por mera costumbre sin antes leer de que se trató el error.

El estudio (http://neurosecurity.byu.edu/chi_fmri_habituation/)  denominado How Polymorphic Warnings Reduce Habituation in the Brain—Insights from an fMRI Study consistió en evidenciar como nuestros cerebros tan solo después de un par de exposiciones a una alerta genera un estado mental de hábito disminuyendo su procesamiento en exposiciones posteriores resultando en que muchos pasen por alto mensajes importantes arrojados en por los sistemas. Lo que los autores denominan “habituation” es un proceso que ocurre de manera inconsciente en nuestros cerebros.

Los investigadores desarrollaron dos experimentos para constatar su hipótesis; En el primer estudio diseñaron mensajes de alertas polimórficos los cuales tuvieron como objetivo reducir la resistencia a la creación de hábitos. De tal manera los usuarios terminan mantener un poco más de atención en dichos mensajes. El segundo estudio involucro el rastreo de los movimientos del puntero del mouse para validar que los mensajes polimórficos de verdad generan una mayor resistencia a la creación de hábitos.

Como resultado de ambos estudios pudieron validar que sí existe una reducción en la desatención de los usuarios ante mensajes polimórficos que al mostrarse aleatoriamente diferentes resultan en que los usuarios dediquen segundos adicionales a su lectura antes de tomar alguna acción.

Creo que el involucramiento de la neurociencia para fines prácticos en cuestiones relacionadas a la seguridad de la información puede tener suma importancia si nos ponemos a pensar fríamente que muchas de las brechas en la actualidad tienen alta participación del usuario. Por medio de estudios como este las compañías enfocadas a soluciones de seguridad podrían sacar más provecho al campo de la neuroseguridad o “neurosecurity” y los diseños de sus interfaces gráficas pueden disminuir la velocidad en la que generamos tales hábitos reteniendo por un tiempo mayor la atención de los usuarios, logrando disminuir en algún nivel el índice de vulneraciones por respuestas inconscientes.

¿Qué opinan sobre este tema? ¿Cuántas veces han aceptado o han dado clic en alertas sin antes leer el mensaje?

post

Educar a los usuarios no es suficiente y ya lo sabíamos

OK! Entiendo el título de este post es más que claro y seguro lo han leído y escuchado miles de veces. Lo importante es el entender las razones por las cuales no es suficiente.

Tal cual lo escribí en mi post anterior hay que empezar de lo básico y por supuesto más lógico.

Una nota publicada en DarkReading nos explica un poco más este punto de vista. El entrenamiento al usuario final no es defensa contra los ataques denominados “low and slow” los cuales pueden tomar meses o años en llegar a su completa ejecución.

¿Acaso creen ustedes que los ataques que han salido a luz pública recientemente se dieron de la noche a la mañana?

Los Hackers se han vuelto más pacientes y como premio a su paciencia se han vuelto mejores en explotar las actividades más aburridas y convencionales de los empleados en las empresas. Si bien tratamos de enseñarles a los usuarios comunes sobre las amenazas de hacer clic en correos sospechosos lo único que en verdad se requiere es que algún usuario descuidado o que aún no pasa por una sesión de “¿Cómo no ser víctima de phishing en tu trabajo?” y esto puede tomar meses en que suceda pero la historia ha demostrado que eventualmente sucede.

El artículo de DarkReading sugiere el “selfaudit” como detectar este tipo de ataques. Esto consiste en que el usuario recibe un registro de toda su actividad reciente y es responsable por revisar que todas las actividades sean legítimas y en caso de detectar algo anómalo reportarlo para una investigación más a fondo.

Es una alternativa bastante interesante solo hay que tener en cuenta que al igual que con los logs de sistemas el usuario debe en verdad revisar su registro de actividades y no simplemente dejar pasar la oportunidad y decir que todo está bien porque le dio flojera o no “tuvo” tiempo de revisar dicho registro.

El “entrenar” a los usuarios finales es una manera de empezar, sin embargo no podemos generalizar a todos los usuarios ya que cada ser humano tiene un comportamiento diferente. La idea de manejar grupos de acuerdo a sus roles y responsabilidades también es válida pero aún dentro de estos grupos habrá posibilidad de diferentes comportamientos por parte de empleados nuevos, antiguos, más techies, menos techies. ¿Logran ver como esto no es una tarea nada fácil?

Aprovecho para exponerles otro escenario que también se está presentando de manera frecuente. Los engaños basados en “Tech support” cada vez traen son más eficientes debido que con tal de filtrar a usuarios menos susceptibles a dichos ataques los criminales hace una pre-selección de sus víctimas.

Esto lo logran por medio del uso de redes sociales donde por medio de búsquedas automatizadas detectan usuarios que se quejan o reportan problemas de alguna solución o servicio y los contactan ofreciendo un número telefónico para “soporte”.

Al aceptar o contactar de regreso a los estafadores básicamente el usuario está levantando la mano sin que le pregunten si quiere ser una víctima de un engaño. De tal manera los criminales están ahorrando tiempo en seleccionar sus víctimas y pueden enfocarse a ataques masivos y simplemente esperar a que se les acerquen.

Les recomiendo mucho leer esta nota donde se detalla más sobre este tipo de ataques.

post

¿Educar a los usuarios para prevenir ataques? Pero hay que empezar de lo más básico.

Ha llegado aquel momento del año en el que FireEye publica su M-Trends report y poco ha cambiado con respecto al año anterior.  Como consuelo el reporte menciona que las empresas ahora tardan “solo” 205 días en promedio en detectar una brecha y no más 229 como en el 2013 ¬¬’. Bueno no hay que ser tan extremista y si hay que tener en cuenta que el número ha estado disminuyendo ya que en el 2012 el promedio era de 243.

¡Vaya consuelo! ¿No creen? laptoplock

Dentro de los escenarios observados le dan especial énfasis al de correos falsos de departamentos de TI en las empresas los cuales tiene un éxito del 78%. ¿Dónde está el problema en esto? Al menos a mi parecer este tipo de ataques tienen cierto grado de sofisticación, lo que me alarma es que aún hay gente que cree en el ¡Príncipe de Nigeria!

No voy a empezar a hablar del eslabón más débil y blá blá blá porque es algo que a mí ya me cansa, me preocupa más el ver que no hay evolución en ideas para remediar la situación.

Precisamente la semana pasada en el trabajo nos llegó un caso relacionado a un grupo de máquinas de un cliente infectadas por un ransomware, ok esto es algo común y que en este año nos ha llegado muchas veces. Aquí lo que me mató de la risa fue ver cómo el ransomware llegó a los equipos.

Básicamente este llego por medio de un correo en un idioma que puedo asegurar no era Inglés, Portugués o Español y que aun así 16 ”inocentes” animalitos de la creación tuvieron la brillante idea de descargar el zip anexado al correo y abrirlo por mera CURIOSIDAD.

Sinceramente cuando me entero de situaciones como estas me pongo a pensar si este tipo de cosas se podrían mitigar por medio del famoso Security Awareness; Situaciones como esta me suenan más a falta de lógica y sentido común de las personas.

¿Cómo quieren disminuir el número de personas engañadas por correos falsos altamente trabajados cuando no pueden evitar que abran anexos de correos enviados en idiomas que los empleados o potenciales víctimas siquiera conocen?

No sé qué opinen ustedes pero la educación en términos de seguridad de la información debería ser desarrollada de manera similar a la educación convencional donde tenemos diferentes niveles empezando por un “kínder” o incluso un “pre-kinder” para casos muy extremos. De tal forma nos veríamos súper orgullosos de prevenir correos de Spearphishing al mismo tiempo que vemos a nuestros “alumnos” caer víctimas de ataques que llevan más de 10 años circulando por el internet.

Se trata de no inventar el hilo negro y buscar trabajar las cuestiones más básicas antes de enfocarnos a cosas de mayor complejidad, de esta manera construimos una base sólida de conocimiento sobre la cual podremos trabajar más adelante.

Sí tiene el tiempo y el interés pueden revisar el reporte de FireEye (https://www2.fireeye.com/WEB-2015-MNDT-RPT-M-Trends-2015_LP.html) .

 

Un nuevo comienzo

Que tal amigos.

La semana pasada tomé la decisión de hacer un hard reset en mi antiguo blog kushelmex.com y empezar algo de cero. Básicamente lo que he decidido es retomar mi actividades de escritura sin embargo con un giro menos noticioso y con un contexto más de opinión como fue la idea original de kushelmex.com hace ya más de 7 años.

El plan para este espacio es publicar notas expresando no solo mis puntos de vista sobre los temas que a mi más me interesan sino que también compartirles mis experiencias en diferentes asuntos que se relacionan a la seguridad de la información área en la que tengo ya varios años desempeñándome profesionalmente.

Como siempre los comentarios y críticas siempre serán bienvenidos.

Saludos