post

Educar a los usuarios no es suficiente y ya lo sabíamos

OK! Entiendo el título de este post es más que claro y seguro lo han leído y escuchado miles de veces. Lo importante es el entender las razones por las cuales no es suficiente.

Tal cual lo escribí en mi post anterior hay que empezar de lo básico y por supuesto más lógico.

Una nota publicada en DarkReading nos explica un poco más este punto de vista. El entrenamiento al usuario final no es defensa contra los ataques denominados “low and slow” los cuales pueden tomar meses o años en llegar a su completa ejecución.

¿Acaso creen ustedes que los ataques que han salido a luz pública recientemente se dieron de la noche a la mañana?

Los Hackers se han vuelto más pacientes y como premio a su paciencia se han vuelto mejores en explotar las actividades más aburridas y convencionales de los empleados en las empresas. Si bien tratamos de enseñarles a los usuarios comunes sobre las amenazas de hacer clic en correos sospechosos lo único que en verdad se requiere es que algún usuario descuidado o que aún no pasa por una sesión de “¿Cómo no ser víctima de phishing en tu trabajo?” y esto puede tomar meses en que suceda pero la historia ha demostrado que eventualmente sucede.

El artículo de DarkReading sugiere el “selfaudit” como detectar este tipo de ataques. Esto consiste en que el usuario recibe un registro de toda su actividad reciente y es responsable por revisar que todas las actividades sean legítimas y en caso de detectar algo anómalo reportarlo para una investigación más a fondo.

Es una alternativa bastante interesante solo hay que tener en cuenta que al igual que con los logs de sistemas el usuario debe en verdad revisar su registro de actividades y no simplemente dejar pasar la oportunidad y decir que todo está bien porque le dio flojera o no “tuvo” tiempo de revisar dicho registro.

El “entrenar” a los usuarios finales es una manera de empezar, sin embargo no podemos generalizar a todos los usuarios ya que cada ser humano tiene un comportamiento diferente. La idea de manejar grupos de acuerdo a sus roles y responsabilidades también es válida pero aún dentro de estos grupos habrá posibilidad de diferentes comportamientos por parte de empleados nuevos, antiguos, más techies, menos techies. ¿Logran ver como esto no es una tarea nada fácil?

Aprovecho para exponerles otro escenario que también se está presentando de manera frecuente. Los engaños basados en “Tech support” cada vez traen son más eficientes debido que con tal de filtrar a usuarios menos susceptibles a dichos ataques los criminales hace una pre-selección de sus víctimas.

Esto lo logran por medio del uso de redes sociales donde por medio de búsquedas automatizadas detectan usuarios que se quejan o reportan problemas de alguna solución o servicio y los contactan ofreciendo un número telefónico para “soporte”.

Al aceptar o contactar de regreso a los estafadores básicamente el usuario está levantando la mano sin que le pregunten si quiere ser una víctima de un engaño. De tal manera los criminales están ahorrando tiempo en seleccionar sus víctimas y pueden enfocarse a ataques masivos y simplemente esperar a que se les acerquen.

Les recomiendo mucho leer esta nota donde se detalla más sobre este tipo de ataques.

Leave a Reply

Your email address will not be published. Required fields are marked *