Lo que nos enseña la reciente intrusión a los sistemas informáticos de la cadena Marriott International

Y lo frágil del eslabón de la ingeniería social en la estructura de seguridad de las empresas

0
64

Hace pocos días, una de las mayores cadenas hoteleras del mundo, Marriott International, confirmó que había sufrido su segunda violación de datos de 2022. Databreaches.net dio la noticia tras recibir una denuncia anónima.

Durante la brecha, que tuvo lugar a principios de junio, un actor de la amenaza logró acceder al ordenador de un empleado y obtuvo aproximadamente 20 gigabytes de datos, incluyendo detalles de tarjetas de crédito e información confidencial sobre huéspedes y trabajadores, como registros de reservas de vuelos.

Los atacantes, apodados Grupo Sin Nombre (GNN), parecen haber orquestado un ataque de ingeniería social dirigido a los empleados que trabajan en el BWI Airport Marriott de Maryland (BWIA), y consiguieron engañar a uno de ellos para que les diera acceso a su ordenador.

Aunque la filtración de datos sólo ha afectado a 400 personas, pone de manifiesto algunas lecciones valiosas para los CISO y los responsables de seguridad, especialmente en lo que respecta a la amenaza que suponen las amenazas de ingeniería social, y los estragos que puede causar en una organización una escasa concienciación en materia de seguridad.

Lo que la brecha de Marriott revela sobre la ingeniería social
La última infracción de Marriott pone de manifiesto que el error humano es uno de los mayores riesgos para la seguridad de una organización. Todo lo que se necesitó para filtrar los datos de la organización fue que el actor de la amenaza manipulara a un empleado para que le diera acceso a su dispositivo.

En el ámbito de la ciberseguridad, la manipulación es una de las armas más eficaces de un atacante. A diferencia de los exploits o los ataques de fuerza bruta que se dirigen a puntos finales o sistemas de TI que pueden ser parcheados o mitigados de forma consistente, los seres humanos no son perfectos, y fácilmente cometen el error de entregar credenciales de acceso o información explotable.

«Un mecanismo principal que utilizan los adversarios es la ingeniería social. Es simple y eficaz. Y significa que el compromiso inicial depende de los comportamientos humanos y, por lo tanto, es imposible de prevenir el 100% de las veces», dijo Sarya Nayyar, CEO y fundador del proveedor de operaciones y análisis de seguridad, Gurucul. «Todo lo que se necesita es un compromiso exitoso para eludir la mayoría de los controles preventivos».

Las estafas de ingeniería social son un tipo de intento de manipulación en el que un atacante pretende engañar a un empleado para que comparta información confidencial, infecte su dispositivo con malware o entregue sus credenciales de acceso.

Un ejemplo de esto es una estafa de phishing, donde un atacante envía un correo electrónico tratando de engañar a un usuario para que haga clic en un archivo adjunto con malware o visite un sitio de phishing.

La alta efectividad de estos intentos de manipulación básica es una de las principales razones por las que el número de ataques de ingeniería social alcanzó el 25% del total de las brechas en 2022, y por las que el elemento humano (ingeniería social, errores y mal uso) representa el 82% de las brechas este año.

Incluso los empleados con alta conciencia de seguridad no son inmunes a ser sorprendidos con la guardia baja, particularmente cuando la organización promedio es blanco de más de 700 ataques de ingeniería social cada año.

Cómo pueden responder las organizaciones a la ingeniería social
Una de las formas más sencillas en que las organizaciones pueden hacer frente a las amenazas de la ingeniería social es con la formación en materia de seguridad, que enseña a los empleados las mejores prácticas de seguridad, cómo es el phishing, la ingeniería social y otros intentos de manipulación, para que puedan evitar compartir cualquier información valiosa con los ciberdelincuentes.

«Las organizaciones deben asegurarse de que todos los empleados reciban una formación frecuente sobre este tipo de ingeniería social, recibiendo una formación al menos una vez al mes, seguida de pruebas de phishing simuladas, para ver si los empleados han entendido y desplegado la formación», dijo el evangelista de defensa de KnowBe4, Roger Grimes. «Los empleados que resulten ser susceptibles a este tipo concreto de ataque de phishing deberían recibir más formación y más prolongada hasta que hayan desarrollado un instinto natural para salir de este tipo de ataques».

Para una seguridad adicional, Nayyar recomienda que las organizaciones implementen un programa de detección, para monitorear e identificar los controles de acceso y los comportamientos de los usuarios que sean riesgosos para detectar actividades anormales o desviadas, para no sólo defenderse de las amenazas externas sino también de las internas.

Es importante tener en cuenta que la detección y la respuesta es un área en la que muchas empresas tienen carencias, ya que la investigación muestra que el 36% de las organizaciones de tamaño medio no tienen un plan formal de respuesta a incidentes.

Sobre todo: No te ganes la reputación de ser un blanco fácil

Por último, esta última filtración de datos revela que las empresas no pueden permitirse el lujo de ganarse una reputación de blanco fácil. Si su empresa es víctima de una filtración de datos, existe una alta probabilidad de que otros atacantes intenten atacarla de nuevo, dando por sentado que su organización tiene controles de seguridad débiles.

CambioDigital OnLine | fuente: WEB

Custom Text
Artículo anteriorTwitter en crisis, 30% menos de personal y Musk fuera
Artículo siguienteConozca qué es el proyecto de código abierto «No Language Left Behind»