Carlos Javier Seisdedos Semulue. Responsable de Ciberinteligencia en Internet Security Auditors.
2019 ha sido un año convulso en el ámbito de la ciberseguridad, poniendo en evidencia la magnitud del problema al que se enfrentan las organizaciones en términos de seguridad de la información y de sus activos. Los últimos informes el Ministerio del Interior sobre la criminalidad de 2019 señala que, únicamente en el último año los ciberdelitos en España aumentaron un 36%[1].
Hablando con algunos amigos responsables de la ciberseguridad en grandes empresas tengo la percepción de que cada vez resulta más complicado mantener el nivel de seguridad requerido, debido a que la transformación digital avanza a pasos agigantados en entornos empresariales y particulares, nuestra superficie de exposición continúa aumentando exponencialmente gracias a elementos como la expansión/migración de muchas organizaciones al cloud, la proliferación de nuevas tecnologías cómo el 5G o la digitalización de los entornos industriales, lo que supone nuevas oportunidades para las actividades relacionadas con la cibercriminalidad, ciberterrorismo y ciberespionaje.
Se está librando una nueva guerra fría, pero en esta ocasión en el ciberespacio, con ataques esponsorizados por Estados y dirigidos hacia objetivos donde los resultados tienen importantes connotaciones en el tablero de la geopolítica internacional.
La ciberinteligencia es fundamental para hacer frente a esta creciente amenaza, ya que las medidas tradicionales de ciberseguridad no consiguen mitigar los nuevos tipos de amenazas. Las organizaciones cada día invierten más recursos en securizar sus servicios e infraestructuras. Los ciberdelincuentes aprenden, mutan y se adaptan, y observamos cómo, cada vez más, utilizan técnicas de ingeniería social para lograr llegar a sus objetivos, ya que son conscientes que las personas son el eslabón más débil en cualquier cadena de seguridad u organización.
Podemos ver un ejemplo de esta estrategia en lo sucedido a Jeff Bezos, el fundador y director ejecutivo de Amazon que, aun siendo la persona más rica del mundo y disponer de los mejores equipos de ciberseguridad, fue víctima de espionaje digital sin que su organización pudiera evitar caer en manos de los cibercriminales.
Amazon sufrió un ataque dirigido, donde el vector de principal de ataque no fueron sus servidores ni equipos, fue su director ejecutivo. No fue un ataque extremadamente elaborado, pero sí efectivo, donde los criminales realizaron un ataque al eslabón más débil mediante técnicas de ingeniería social.
El mecanismo fue muy simple, los criminales conocían/orquestaron una cena entre Jeff Bezos y un príncipe heredero de Arabia Saudí, donde al finalizar el encuentro se intercambiaron los números de teléfono. Hasta aquí bien, pero unas semanas más tarde, Bezos recibió un archivo de vídeo que su nuevo amigo le había enviado mediante la aplicación Whatsapp y donde Bezos, confiado por el origen del mensaje, lo abrió provocando que se instalara un malware en su terminal que exfiltró información durante 10 meses, con tasas de salida diarias de información de 4,6 gigas diarios, hasta que fue detectado en febrero de 2019.
La ciberseguridad busca detectar indicadores y elementos para así avanzarnos, permitiéndonos elaborar estrategias y mitigar los ataques de los criminales, aunque como hemos visto, los cibercriminales se han dado cuenta que engañar a una persona es mucho más fácil que identificar y explotar una vulnerabilidad de una infraestructura, por lo que el principal vector de entrada a nuestros equipos ya no es una vulnerabilidad en nuestro dispositivo, si no que somos nosotros mismos.
En este punto entra en juego la Ciberinteligencia, debiendo ser un proceso proactivo, una evolución a los sistemas de ciberseguridad tradicionales, que suelen ser reactivos, que debe ser capaz de detectar indicadores de la preparación de un ataque convencional y paralelamente concienciar a nuestras organizaciones sobre este nuevo escenario.
La ingeniería social puede describirse como el arte de convencer, influir o manipular a una persona, grupo de personas o colectivos, apelando a la curiosidad, el altruismo, vanidad o temor para que una persona haga algo que, en condiciones normales, y sin nuestra interacción no realizaría.
Al menos son cuatro los principios básicos y de orden psicológico que nos hacen proclives a un ataque de ingeniería social, estos son: todos queremos ayudar, tendemos a confiar en los demás, no nos gusta decir ‘No’ y a todos nos gusta que nos alaben. Si a estos elementos le añadimos dos elementos extras como son la urgencia y la autoridad, vemos un aumento de los ataques denominados Estafa del CEO[2].
Aunque los métodos de ingeniería social darían para escribir un libro, es interesante y necesario conocer sobre qué parámetros actúa, tanto para saber aplicarla cuando se requiera, como para saber defendernos de ella, ya que es y creo que cada vez más, una de las formas más comunes de hackear a las personas, y que resulta frustrante para los especialistas en ciberseguridad, ya que no se puede prevenir los sistemas únicamente mediante la tecnología, haciendo falta concienciación y educación de los usuarios para conseguir una seguridad ampliada.
