post

Educar a los usuarios no es suficiente y ya lo sabíamos

OK! Entiendo el título de este post es más que claro y seguro lo han leído y escuchado miles de veces. Lo importante es el entender las razones por las cuales no es suficiente.

Tal cual lo escribí en mi post anterior hay que empezar de lo básico y por supuesto más lógico.

Una nota publicada en DarkReading nos explica un poco más este punto de vista. El entrenamiento al usuario final no es defensa contra los ataques denominados “low and slow” los cuales pueden tomar meses o años en llegar a su completa ejecución.

¿Acaso creen ustedes que los ataques que han salido a luz pública recientemente se dieron de la noche a la mañana?

Los Hackers se han vuelto más pacientes y como premio a su paciencia se han vuelto mejores en explotar las actividades más aburridas y convencionales de los empleados en las empresas. Si bien tratamos de enseñarles a los usuarios comunes sobre las amenazas de hacer clic en correos sospechosos lo único que en verdad se requiere es que algún usuario descuidado o que aún no pasa por una sesión de “¿Cómo no ser víctima de phishing en tu trabajo?” y esto puede tomar meses en que suceda pero la historia ha demostrado que eventualmente sucede.

El artículo de DarkReading sugiere el “selfaudit” como detectar este tipo de ataques. Esto consiste en que el usuario recibe un registro de toda su actividad reciente y es responsable por revisar que todas las actividades sean legítimas y en caso de detectar algo anómalo reportarlo para una investigación más a fondo.

Es una alternativa bastante interesante solo hay que tener en cuenta que al igual que con los logs de sistemas el usuario debe en verdad revisar su registro de actividades y no simplemente dejar pasar la oportunidad y decir que todo está bien porque le dio flojera o no “tuvo” tiempo de revisar dicho registro.

El “entrenar” a los usuarios finales es una manera de empezar, sin embargo no podemos generalizar a todos los usuarios ya que cada ser humano tiene un comportamiento diferente. La idea de manejar grupos de acuerdo a sus roles y responsabilidades también es válida pero aún dentro de estos grupos habrá posibilidad de diferentes comportamientos por parte de empleados nuevos, antiguos, más techies, menos techies. ¿Logran ver como esto no es una tarea nada fácil?

Aprovecho para exponerles otro escenario que también se está presentando de manera frecuente. Los engaños basados en “Tech support” cada vez traen son más eficientes debido que con tal de filtrar a usuarios menos susceptibles a dichos ataques los criminales hace una pre-selección de sus víctimas.

Esto lo logran por medio del uso de redes sociales donde por medio de búsquedas automatizadas detectan usuarios que se quejan o reportan problemas de alguna solución o servicio y los contactan ofreciendo un número telefónico para “soporte”.

Al aceptar o contactar de regreso a los estafadores básicamente el usuario está levantando la mano sin que le pregunten si quiere ser una víctima de un engaño. De tal manera los criminales están ahorrando tiempo en seleccionar sus víctimas y pueden enfocarse a ataques masivos y simplemente esperar a que se les acerquen.

Les recomiendo mucho leer esta nota donde se detalla más sobre este tipo de ataques.

post

¿Educar a los usuarios para prevenir ataques? Pero hay que empezar de lo más básico.

Ha llegado aquel momento del año en el que FireEye publica su M-Trends report y poco ha cambiado con respecto al año anterior.  Como consuelo el reporte menciona que las empresas ahora tardan “solo” 205 días en promedio en detectar una brecha y no más 229 como en el 2013 ¬¬’. Bueno no hay que ser tan extremista y si hay que tener en cuenta que el número ha estado disminuyendo ya que en el 2012 el promedio era de 243.

¡Vaya consuelo! ¿No creen? laptoplock

Dentro de los escenarios observados le dan especial énfasis al de correos falsos de departamentos de TI en las empresas los cuales tiene un éxito del 78%. ¿Dónde está el problema en esto? Al menos a mi parecer este tipo de ataques tienen cierto grado de sofisticación, lo que me alarma es que aún hay gente que cree en el ¡Príncipe de Nigeria!

No voy a empezar a hablar del eslabón más débil y blá blá blá porque es algo que a mí ya me cansa, me preocupa más el ver que no hay evolución en ideas para remediar la situación.

Precisamente la semana pasada en el trabajo nos llegó un caso relacionado a un grupo de máquinas de un cliente infectadas por un ransomware, ok esto es algo común y que en este año nos ha llegado muchas veces. Aquí lo que me mató de la risa fue ver cómo el ransomware llegó a los equipos.

Básicamente este llego por medio de un correo en un idioma que puedo asegurar no era Inglés, Portugués o Español y que aun así 16 ”inocentes” animalitos de la creación tuvieron la brillante idea de descargar el zip anexado al correo y abrirlo por mera CURIOSIDAD.

Sinceramente cuando me entero de situaciones como estas me pongo a pensar si este tipo de cosas se podrían mitigar por medio del famoso Security Awareness; Situaciones como esta me suenan más a falta de lógica y sentido común de las personas.

¿Cómo quieren disminuir el número de personas engañadas por correos falsos altamente trabajados cuando no pueden evitar que abran anexos de correos enviados en idiomas que los empleados o potenciales víctimas siquiera conocen?

No sé qué opinen ustedes pero la educación en términos de seguridad de la información debería ser desarrollada de manera similar a la educación convencional donde tenemos diferentes niveles empezando por un “kínder” o incluso un “pre-kinder” para casos muy extremos. De tal forma nos veríamos súper orgullosos de prevenir correos de Spearphishing al mismo tiempo que vemos a nuestros “alumnos” caer víctimas de ataques que llevan más de 10 años circulando por el internet.

Se trata de no inventar el hilo negro y buscar trabajar las cuestiones más básicas antes de enfocarnos a cosas de mayor complejidad, de esta manera construimos una base sólida de conocimiento sobre la cual podremos trabajar más adelante.

Sí tiene el tiempo y el interés pueden revisar el reporte de FireEye (https://www2.fireeye.com/WEB-2015-MNDT-RPT-M-Trends-2015_LP.html) .