El arte del engaño: ingeniería social en red teaming

En el mundo de la Ciberseguridad, las personas suelen ser el eslabón más débil de la cadena de defensas digitales. La ingeniería social tiene como objetivo manipular a los individuos para que divulguen información confidencial o realicen acciones que comprometan la seguridad. Para los Red Team que intentan introducirse en su red, la ingeniería social es una herramienta crucial, ya que permite demostrar cómo los atacantes pueden eludir las salvaguardas técnicas mediante la manipulación humana, haciendo hincapié en la necesidad de una formación de concienciación sobre seguridad y de defensas tecnológicas sólidas para los puntos finales.

Las pruebas de penetración tradicionales suelen incluir técnicas de ingeniería social. Sin embargo, mientras que un especialista en pruebas de penetración estándar podría enfocarse en lograr la máxima escalada de privilegios dentro de un tiempo limitado, los ejercicios de Red Team ofrecen simulaciones más completas y realistas. Estos ejercicios van más allá de simples métricas como «quién hizo clic en qué», abarcando una amplia variedad de objetivos que un adversario puede perseguir una vez que ha accedido a sus sistemas.

Considerar y planificar «lo que viene después» es exactamente lo que separa los compromisos de los equipos rojos de las pruebas de penetración tradicionales. Al tener en cuenta el contexto completo de la cadena de ataque que un actor de amenazas podría perseguir durante un período prolongado, las técnicas de ingeniería social utilizadas por el Red Team demuestran un mayor realismo.

Modern social engineering

La ingeniería social no consiste únicamente en abrir correos electrónicos dudosos sobre lo que has estado haciendo cuando pensabas que tu webcam estaba apagada. Aunque la distribución de cargas útiles a través del correo electrónico sigue dando frutos para muchos adversarios, existen multitud de tecnologías defensivas que ayudan a evitar que lleguen correos maliciosos o que causen estragos si un usuario intenta abrirlos.

Los equipos de Red Team (al igual que los actores de amenazas que buscan emular) no se limitan a usar técnicas básicas para comprometer sistemas. Los enfoques sofisticados se basan cada vez más en una interacción más directa con las víctimas potenciales, con intercambios prolongados durante periodos de tiempo más largos. Pueden ser necesarios muchos más pasos para «enganchar» a una víctima. Los atacantes conversan directamente con las víctimas potenciales, que incluso pueden ser conscientes de las intenciones maliciosas del atacante, pero son coaccionadas para actuar o, en algunos casos, son cómplices parciales o incluso totales.

Una vez que se ha establecido un punto de apoyo, los adversarios pueden actuar con cautela, no siempre moviéndose directamente hacia los objetivos convencionales que la gente podría esperar, como el acceso administrativo o la desfiguración de servidores de cara al público. Por esta razón, las técnicas de ingeniería social utilizadas por los atacantes (y los Red Team) se elegirán tanto por su sigilo como por su eficacia en la cadena de ataque más amplia.

Técnicas habituales de ingeniería social

Los Red Team imitan las tácticas, técnicas y procedimientos (TTP) de los atacantes del mundo real lo mejor posible dentro de las limitaciones que impone la ética. Mediante el uso de la ingeniería social, podemos descubrir vulnerabilidades potenciales que podrían no ser evidentes a través de pruebas automatizadas o evaluaciones de seguridad tradicionales.

Los Red Team emplean diversas técnicas de ingeniería social para poner a prueba las defensas de una organización, entre ellas:

1. Phishing: Enviar correos electrónicos que parecen ser de fuentes confiables para inducir a las personas a revelar información personal, como nombres de usuario, contraseñas y números de tarjetas de crédito. Las credenciales capturadas en sitios que no controlas podrían reutilizarse en aquellos que sí controlas, o tener una similitud básica que un atacante puede identificar para mejorar los ataques de adivinación de contraseñas.
2. Spear Phishing: Una forma más dirigida de phishing donde el atacante personaliza el mensaje para adaptarlo a la víctima, a menudo utilizando información recopilada de redes sociales u otras fuentes. La información personal capturada puede usarse para añadir legitimidad a solicitudes posteriores, por ejemplo, hacerse pasar por un representante del banco de la víctima y confirmar detalles específicos como su fecha de nacimiento y algunas compras recientes. Es importante señalar que los objetivos del Spear Phishing no siempre son personal de alto perfil en la organización objetivo.
3. Vishing (Voice Phishing): Utilizar el sistema telefónico para engañar al usuario y obtener información privada. En equipos de pruebas de seguridad (Red Teams), se pueden configurar centros de atención consistentes en personal capacitado para persuadir a los objetivos a realizar acciones o revelar información que se desea obtener.
4. Smishing (SMS Phishing): Utilizar mensajes de texto para interactuar con los usuarios y lograr un efecto similar al que se busca con la comunicación por voz.
5. Seguridad física: La ingeniería social no se limita a interacciones digitales. Los equipos de pruebas de seguridad (Red Teams) pueden evaluar las medidas de seguridad física intentando acceder de manera no autorizada a áreas restringidas, identificando puntos de entrada desprotegidos o siguiendo a un empleado a través de una puerta abierta hacia un área segura (tailgating). Los puntos de entrada pueden ser ubicaciones físicas, como salas de servidores, pero muchas organizaciones también exponen puntos de entrada a la red. Por ejemplo, puertos de conexión a la red o incluso áreas públicas donde el Internet inalámbrico de la organización es accesible (en los que los atacantes pueden iniciar sesión con credenciales capturadas mediante otras tácticas de ingeniería social).

Técnicas habituales de manipulación

Las pruebas de penetración ética y el Red Team se detienen ante cualquier «amenaza» contra un grupo de usuarios o cualquier cosa que pueda considerarse extorsión. Sin embargo, cuando se intenta manipular a los usuarios para que den información, las siguientes técnicas son las más comunes:

1. Pretexting: Crear un escenario fabricado para persuadir a una víctima a divulgar información o realizar una acción. Esto podría implicar hacerse pasar por un compañero de trabajo, soporte técnico de TI o una figura de autoridad.
2. Baiting: Ofrecer algo atractivo a la víctima a cambio de credenciales de inicio de sesión o información confidencial. El baiting tiene más probabilidades de influir sutilmente en las deliberaciones de riesgo versus recompensa del objetivo, alentándolos a actuar sin cuestionar la situación de manera más exhaustiva.
3. Quid pro quo: Ofrecer un beneficio a cambio de información. Esto puede ser tan simple como proporcionar asistencia gratuita de TI a cambio de credenciales de inicio de sesión. También puede usarse para que un usuario se "registre" en un servicio con la esperanza de que utilice credenciales similares a las empleadas en otros servicios.

Buenas prácticas para defenderse de la ingeniería social

Las organizaciones pueden tomar varias medidas para protegerse contra los ataques de ingeniería social:

1. Capacitación integral: La capacitación regular e interactiva en concienciación sobre seguridad puede ayudar a los empleados a reconocer y responder a las tácticas de ingeniería social.
2. Ataques simulados: Realizar ataques simulados de ingeniería social puede ayudar a evaluar la efectividad de la capacitación e identificar áreas de mejora.
3. Procedimientos claros de reporte: Los empleados deben saber cómo reportar intentos sospechosos de ingeniería social de manera rápida y sencilla. Estos informes deben ser monitoreados por los equipos de defensa para identificar cualquier aumento que pueda indicar que una campaña dirigida está en marcha.
4. Autenticación Multifactor (MFA): Implementar MFA puede agregar una capa adicional de seguridad, incluso si las credenciales son comprometidas. Protege contra el registro de dispositivos MFA que podrían ser de un tercero no autorizado.
5. Principio de mínimos privilegios: Limitar los derechos de acceso de los usuarios solo a aquello que necesiten para su rol laboral, puede minimizar el daño de un ataque exitoso. Incluso si confías en tu comunidad de usuarios, cualquier código que se ejecute con sus credenciales de inicio de sesión tendrá los mismos permisos y podrá realizar las mismas acciones que ellos.
6. Auditorías y revisión regular: La evaluación continua de políticas y procedimientos asegura que las defensas sigan siendo efectivas contra las tácticas de ingeniería social en evolución. Tus defensas, políticas y procedimientos deben actualizarse de acuerdo con los cambios en tu infraestructura de TI que puedan presentar nuevos objetivos para los atacantes, así como con las técnicas que es probable que utilicen.

La ingeniería social siempre será un método eficaz para los atacantes. En parte, esto se debe a que se basa en la psicología de la influencia y la manipulación. Los ataques de ingeniería social se basan en el uso de la credibilidad, la autoridad, la prueba social, la presión del tiempo y la amenaza de consecuencias negativas (y a veces positivas), para fomentar lo que Daniel Kahneman denomina pensamiento del Sistema 1: la toma de decisiones casi instantánea sin tener en cuenta las consecuencias a largo plazo. La formación en sensibilización fomenta el cuestionamiento lento y concienzudo de la situación, así como de los posibles riesgos y consecuencias de la acción del usuario (pensamiento del Sistema 2).

Sin embargo, el problema de la ingeniería social puede abordarse no solo aumentando la concienciación de la gente, sino también con mejores procesos y tecnología. Las auditorías y revisiones periódicas, así como unos procedimientos de información claros, son ejemplos de procesos eficaces que ayudarán a reprimir los ataques de ingeniería social.

Por otra parte, la aplicación del principio del mínimo privilegio y la AMF proporcionarán una capa adicional de defensa. La creación de una defensa multicapa ayudará a proteger a su organización contra una serie de tipos de ataques, no solo contra los cada vez más convincentes correos electrónicos fraudulentos.

Si quieres saber más, contacta con nuestros expertos.