Enfrentarse a una avalancha de ciberataques procedentes de la ingeniería social es ya algo habitual para muchos profesionales de la seguridad. Sin embargo, un problema creciente pero a menudo pasado por alto es cómo se está manipulando esta técnica para ayudar a entrar en oficinas y lugares de trabajo físicos con el fin de perpetrar ciberdelitos.
De forma muy similar a la ingeniería social en el mundo digital, los ciberdelincuentes se basan en las vulnerabilidades humanas para engañar a las personas y conseguir que les permitan la entrada a las instalaciones. Denominada ingeniería social física (PSE), esta forma de engaño explota comportamientos y emociones típicos con el objetivo de obtener credenciales de seguridad para dar a los atacantes acceso a datos confidenciales e información sensible contenida en los sistemas informáticos.
Técnicas típicas de PSE
Para lograr su objetivo, los atacantes han ideado una serie de estrategias para embaucar al personal desprevenido y sortear las laxas medidas de seguridad. Pueden hacerse pasar por una persona de confianza, como un empleado, un contratista, un proveedor o un repartidor, para obtener el acceso inicial a un edificio y, a continuación, introducirse en las zonas restringidas. Una técnica habitual, conocida como tailgating, consiste en seguir al personal legítimo hasta las instalaciones o zonas seguras. Los auténticos empleados son reacios a cuestionar la identidad de un intruso o simplemente no se dan cuenta de lo que está ocurriendo. Otra forma de entrar consiste en inventar una situación verosímil o una historia triste y, tal vez, dirigirse a personal temporal o contratado para obtener los pases de seguridad pertinentes.
Aunque muchos de estos métodos son artimañas bastante básicas, la mayoría de la gente quiere ayudar a los demás por instinto y, por ejemplo, abrirá la puerta para ayudar a alguien haciéndose pasar por un repartidor que lleva una caja pesada, o diciendo que tiene prisa porque le pueden poner una multa de aparcamiento. Por desgracia, las ramificaciones pueden ser muy perjudiciales, incluido el robo de datos personales y financieros y de propiedad intelectual.
Otra táctica sorprendentemente exitosa utilizada por los actores maliciosos para instalar ransomware es colocar un USB infectado en una zona muy frecuentada, como un espacio de hot-desking, y luego esperar a que alguien libere el malware. Increíblemente, el 45% de las personas que encuentran un USB abandonado lo conectan, según un experimento realizado por Google, y el tiempo más rápido desde que se colocó uno hasta que se conectó fue de sólo seis minutos.
Explotar la cultura laboral actual
Pero los delincuentes no sólo saben explotar la naturaleza humana, sino también las nuevas formas de trabajar. El cambio a modelos híbridos ha introducido dinámicas de trabajo diferentes, lo que hace que la ingeniería social física sea más fácil de perpetrar que en el pasado. En un entorno de oficina tradicional, los protocolos de seguridad y los controles de acceso suelen ser más coherentes y sólidos, y los trabajadores están acostumbrados a cumplirlos a diario. Sin embargo, en las configuraciones de trabajo híbridas y remotas, los empleados tienen muchas menos interacciones cara a cara, por lo que es relativamente sencillo para los atacantes hacerse pasar por compañeros de trabajo o proveedores, a menos que se apliquen rigurosamente controles de verificación. Si los empleados rara vez están físicamente presentes en la oficina, es mucho más difícil para el personal de seguridad confirmar visualmente las identidades y detectar a las personas sospechosas. Los actores de las amenazas se aprovechan de estas debilidades y llevarán a cabo diligentemente tareas de reconocimiento antes de ejecutar los planes de ataque, inspeccionando la ubicación del objetivo y realizando visitas repetidas para ser percibidos como una cara familiar y amistosa.
Mitigar los riesgos de PSE
La adaptación de los programas de seguridad para incorporar las amenazas de PSE y las formas híbridas de trabajar requiere cambios en las rutinas de las pruebas de penetración y una formación revisada para los empleados. La concienciación interna es clave para garantizar que los empleados estén alerta ante las diferentes tácticas utilizadas por los atacantes para ganarse su confianza. Organizar sesiones de formación con ejemplos reales puede ayudar a que el personal se comprometa a mantenerse alerta, al igual que informar a los responsables o al personal de seguridad si sospechan de caras desconocidas o de comportamientos inusuales en el lugar de trabajo. Además, todas las personas que trabajan en un entorno de oficina deben cumplir una política de escritorio limpio, ya que requiere poco esfuerzo adicional pero es una forma eficaz de impedir que una persona no autorizada acceda fácilmente a datos sensibles. Hay que minimizar los peligros de anotar o imprimir información confidencial, incluidas contraseñas o códigos de acceso. La seguridad de las contraseñas debe formar parte de la formación de los empleados, que debe incluir la importancia de crear contraseñas fuertes y únicas, mantenerlas seguras y no compartirlas nunca con otras personas, incluidos los compañeros. Además, debe existir un proceso en la empresa para deshacerse de la información confidencial o de cualquier documento que pueda beneficiar a posibles agentes de amenazas si se deja desatendido o se tira descuidadamente en papeleras y cubos de basura.
Idealmente, las organizaciones deberían emplear tecnología como tarjetas de identidad y biometría para garantizar que sólo el personal autorizado pueda acceder a áreas específicas, con supervisión adicional por parte del personal de seguridad en áreas que contengan información especialmente sensible.
Para asegurarse de que todas estas medidas tienen el efecto deseado, es importante llevar a cabo ejercicios de equipo rojo, preferiblemente con un tercero especializado, para simular intentos de eludir los sistemas de seguridad digitales y físicos. Esto ayudará a descubrir puntos débiles y lagunas de seguridad que pueden pasar desapercibidos en las revisiones internas.
Desarrollar una cultura de seguridad en el lugar de trabajo sólida y global es una responsabilidad compartida. La coordinación de estrategias en todos los departamentos, en colaboración con los equipos de TI y seguridad, hará que la PSE sea mucho más difícil de ejecutar y ayudará a evitar que los delincuentes la utilicen como otra forma de alimentar sus ciberataques.
Fuente WEB | Editado por CambioDigital Online