La ciberseguridad es una preocupación creciente en todo el mundo y, si bien el debate se centra en la tecnología, no podemos olvidar el papel que desempeñan los humanos en la prevención o facilitación de los ciberataques.
Matthew es administrador de sistemas en una startup en crecimiento. En su mayor parte, el trabajo de Matthew es fácil, la mayoría de los procesos se han automatizado y, sin algunos errores aquí y allá, dedica la mayor parte de su tiempo a optimizar y brindar soporte técnico al resto del equipo.
Es decir, hasta que un día Matthew recibió un aviso de facturación de su proveedor de nube. Para su sorpresa, se excedieron del presupuesto. Después de revisar el tablero, es aún peor de lo que imaginaba: en menos de 24 horas sus sistemas han consumido más recursos de los asignados durante el mes.
Matthew descubre que alguien obtuvo acceso no autorizado a la nube y está ejecutando scripts. En otras palabras. La startup de Matthew, con unas 30.000 páginas web al día, fue objeto de un ciberataque.
Con el aumento del trabajo remoto y la computación en la nube, los ciberataques han sido una amenaza creciente, las pérdidas estimadas en 2015 debido a los hackers fueron de más de 3 mil millones de dólares, y los expertos creen que para 2025 podríamos estar enfrentando pérdidas de hasta 10,5 mil millones de dólares. .
Las empresas están gastando más que nunca en ciberseguridad, implementando estrategias como DevSecOps para crear procesos que sean más seguros y menos propensos a la explotación. Desafortunadamente, la tecnología avanza en ambos sentidos y una mayor seguridad también conlleva métodos más refinados para violarla.
Diseñar teniendo en cuenta la seguridad siempre es difícil, un sistema es tan seguro como su parte más vulnerable. Todo lo que se necesita es un error o una omisión para abrir las compuertas a todo tipo de exploits.
Los humanos también somos parte de la ecuación y, a diferencia del software, no podemos recibir actualizaciones de seguridad. En términos de ciberseguridad, somos vectores de ataque pasivos esperando ser explotados por alguien con conocimientos de ingeniería social.
Ingeniería social
No debería sorprender que los ciberataques sean muy diferentes de la imagen que presentan los medios de comunicación. Los piratas informáticos geniales que interceptan una transmisión y escriben código sobre la marcha son tan realistas como un héroe de acción de los 80 que ingresa a un edificio y se abre camino a través de mooks.
De hecho, la mayoría de los ciberataques no son tan llamativos. De hecho, las formas más comunes de ciberataque, phishing y intermediario , se basan en engañar al destinatario. Algo que requiere muy poca o ninguna habilidad de codificación.
¿Por qué forzar el ingreso a la cuenta de alguien cuando puede proporcionar voluntariamente su información personal? ¿Por qué perder el tiempo intentando encontrar un exploit para acceder a una red cuando alguien desde dentro puede darte acceso?
Los trabajos internos ocurren, pero la mayoría de las veces la gente no se da cuenta de que están siendo engañados por estafadores. Después de todo, la ingeniería social funciona explotando las vulnerabilidades de la cognición humana. Desde nuestra limitada capacidad para procesar información hasta nuestra creencia innata de que la mayoría de las personas son buenas.
Por ejemplo, en el pasado, cuando las memorias USB eran muy populares, los ciberdelincuentes las distribuían en la calle como material publicitario para empresas falsas. Todo lo que hacía falta era que un oficinista normal necesitara una memoria USB y la colocara en su máquina, y los piratas informáticos tendrían acceso a su computadora o incluso a la red de la empresa.
¿Quién en su sano juicio pensaría que una persona jurídica que distribuye productos publicitarios formaría parte de una red cibercriminal? La mayoría de nosotros asumiríamos que una empresa está intentando promocionar su marca. Es la explicación más plausible. Esto es con lo que cuentan los ciberdelincuentes.
Pero la mayoría de la gente puede reconocer un correo electrónico sospechoso o una llamada telefónica extraña, ¿verdad? Sí, pero en este tipo de ataques el delincuente confía en la posibilidad de que una persona entre cien no lo haga. Al igual que con la interrupción del USB, todo lo que se necesita es una vulnerabilidad.
Y una vez más, la tecnología trae consigo nuevos desafíos. Un ejemplo rápido: Discord es una plataforma de chat y redes sociales para jugadores que ha ganado popularidad debido a la pandemia. Es fantástico conocer y jugar con otras personas con intereses similares.
Pero también es conocido por su amplia gama de exploits, permitiendo incluso RAT (troyanos de acceso remoto). Si un empleado iniciara Discord en un navegador de su computadora de trabajo para charlar con amigos, sin darse cuenta podría descargar malware de una "fuente confiable".
“No, eso no me pasará a mí”
Quizás el mayor riesgo sea pensar que este tipo de cosas no te sucederán a ti. Permítanme compartir una breve historia.
Normalmente presto servicios de consultoría para una agencia de viajes. Cada tres semanas deben presentar un informe sobre la venta de billetes de una aerolínea específica. La aerolínea creó una aplicación web para que los agentes pudieran consultar su estado y cargar la información necesaria en cada informe.
Debido a una interfaz de usuario deficiente, un agente me preguntó si podía ayudarlo a cargar archivos. Para mi sorpresa, la aplicación tenía más errores de los que le correspondían, uno de los cuales provocó un error de página no encontrada. Eso está bien, excepto por el hecho de que la aplicación se creó utilizando un marco muy popular que tiene un modo de depuración habilitado de forma predeterminada.
Entonces, el error de página no encontrada no era el típico 404, era un informe de depuración completo, con código y rutas, y todo lo necesario para tener una buena idea de cómo estaba estructurado el servidor. Recuerde, esta es una aplicación diseñada para que las personas carguen información crítica como números de tarjetas de crédito y datos personales.
No es culpa del marco, una de las primeras cosas que dice la documentación es desactivar el modo de depuración antes de pasar a producción. Escribí un correo electrónico largo explicando los riesgos de mantener el modo habilitado y se lo envié al administrador web.
Unos días después recibí una respuesta asegurándome que el riesgo era mínimo, ya que sólo las personas importantes tenían acceso a la aplicación web. Excepto que ese no fue el caso, yo era un ejemplo vivo de alguien que no era un agente y conocía la aplicación.
¿Y el error? Puede activarse escribiendo literalmente tonterías en la barra de navegación de cualquier navegador web. Este tipo de arrogancia es la pesadilla de los sistemas de seguridad: pensar que se puede dejar un exploit porque representa muy poco riesgo es buscar problemas.
Entrenando a tu gente
Todas las personas en una empresa, independientemente del puesto, deben pasar por un taller de seguridad obligatorio. Comprender los conceptos básicos de la seguridad contribuye en gran medida a evitar que las personas cometan errores que pueden terminar catastróficamente.
Al mismo tiempo, es muy importante crear un conjunto de políticas de seguridad y promoverlas ofreciendo incentivos. El comportamiento consciente de la seguridad rara vez se refuerza. Castigamos a las personas que cometen errores, pero rara vez recompensamos a quienes dan el ejemplo al promover una cultura consciente de la seguridad.
En resumen, el elemento humano es tan central para la ciberseguridad como lo es para la seguridad en general. La tecnología puede ayudarnos, pero sólo puede llevarnos tan lejos como lo permitan nuestras prácticas.
Fuente: BairesDev
