Security Operations

Para el mes de la concienciación sobre la ciberseguridad, ¿qué tal si mejoramos los consejos de ciberseguridad?

Una vez más es el Mes de la Concienciación sobre la Ciberseguridad, el momento que reservamos cada año para concienciar sobre las ciberamenazas en un intento de hacer de Internet un lugar más seguro para trabajar y divertirse.

El problema es que todos los años se repiten los mismos consejos y la mayoría de la gente ya los ha escuchado. Sólo tenemos la atención de nuestros compañeros de trabajo durante un corto periodo de tiempo cada año, por lo que debemos asegurarnos  que les damos los consejos más impactantes posibles, y no asustarles para que no utilicen la Wi-Fi pública.

Hay dos consejos concretos que veo con frecuencia en la formación sobre ciberseguridad que deben eliminarse, replantearse y volver a formarse. Todos reconocemos el riesgo que supone el correo electrónico para atacar a nuestras organizaciones, por lo que seguimos dando lecciones de no hacer clic en archivos adjuntos o enlaces sospechosos.

No haga clic en ese enlace

Llevo 25 años trabajando en este sector y no estoy seguro de poder seguir este consejo. En 2022, el simple hecho de mirar el nombre de un dominio, si es que se puede ver, no es la regla de oro que antes era para indicar que un correo electrónico es falso.

Supongamos que eres cliente de Microsoft Office 365 y utilizas muchos de sus servicios en la nube. He aquí una visión incompleta de los dominios que sus usuarios podrían encontrar a lo largo de un día:

A disturbing cloud of URLs
Figura 1: ¿Puedes detectar la URL no aprobada por Microsoft en esta nube? ¡Pregunta con trampa! Todas están aprobadas. (Fuente: URL y rangos de direcciones IP de Microsoft Office 365)

La lista proporcionada por Microsoft incluye al menos 159 dominios y subdominios (de un solo nivel) que alguien puede encontrar al utilizar las herramientas de Microsoft y sus servicios en la nube. ¿Forma esto parte de vuestra formación? ¿Debemos memorizarlos y saber en cuáles está bien hacer clic o permitir que atraviesen nuestros firewalls? ¿Con qué frecuencia debemos actualizar esa formación?

No abrir archivos adjuntos peligrosos

Aquí tengo una ventaja sobre el usuario medio, pero últimamente se ha vuelto más complicado aplicar este consejo para la persona media. Los antiguos consejos eran cosas como no abrir archivos ejecutables (.EXE), salvapantallas (.SCR) y objetos COM (.COM). En años más recientes se intentó añadir a la lista los scripts de Visual Basic (.VBS) y JavaScript (.JS). Afortunadamente, Microsoft sí muestra las extensiones de archivo en Outlook, pero sigue ocultándolas por defecto en el Explorador de Windows.

Microsoft, en un intento de hacer más seguros los archivos adjuntos al correo electrónico, introdujo en los últimos meses una nueva función que impide a los usuarios ejecutar macros en archivos de Microsoft Office si se originan en Internet. Los archivos descargados de Internet se etiquetan con lo que se denomina “marca de la web” (MOTW) y parece que los delincuentes han estado buscando métodos para burlar estas protecciones utilizando varios formatos de archivo y contenedor que podrían no conservar la MOTW en los archivos de Office.

Muchos de estos tipos de archivo son cosas que Windows puede abrir sin ninguna ayuda externa como .CAB (archivo de gabinete), .ISO (imagen de disco), .UDF (imagen de disco), .IMG (imagen de disco) y .VHD (imagen de disco duro virtual). Otros se dirigen a formatos de archivo de compresión que suelen poder extraerse con las populares utilidades 7zip y WinRAR, como .LZH, .ARJ, .XZ y .ACE.

Teniendo en cuenta que los usuarios no suelen ser capaces de ver los tipos de archivo una vez guardados en el disco, advertir a los usuarios sobre extensiones oscuras que podrían ser un contenedor protector de archivos maliciosos es muy difícil. Por no mencionar que la lista de tipos de archivos abusados cambia y evoluciona constantemente a medida que los delincuentes descubren nuevas formas de eludir las funciones de seguridad.

¿Qué hacer?

Está claro que necesitamos un enfoque mejor. Las medidas técnicas no deben descargarse nunca en los usuarios individuales, ya que son mejor gestionadas por quienes entienden los problemas y pueden aplicarse mediante políticas en lugar de formación ad hoc.

Los enlaces deben bloquearse mediante capas de seguridad en el borde de la red y en los propios ordenadores finales. En una plantilla altamente móvil, las protecciones de seguridad deben estar presentes en los propios dispositivos. Una protección bien coordinada de los endpoints hará que otras capas cubran las lagunas de cualquier bloqueo de URL.

Los tipos de archivos bloqueados deben gestionarse de forma centralizada en las pasarelas de correo electrónico y web. Es importante que la solución de seguridad no confíe ciegamente en la extensión del archivo, sino que analice el archivo para determinar el “verdadero” tipo de archivo y sea capaz de analizar cualquier contenedor recursivamente para inspeccionar su contenido.

El acceso a los formatos de archivo de los que se sabe que se abusa también se puede mitigar en cierta medida utilizando el control de aplicaciones para las aplicaciones innecesarias en el entorno empresarial, como WinRAR y 7zip. El bloqueo de la ejecución de scripts de JavaScript y Visual Basic también puede ayudar. Las políticas de ejecución de PowerShell firmadas por tu organización también pondrán en jaque a muchos actores de amenazas.

¿Debemos seguir impartiendo formación sobre seguridad? Por supuesto. Cuanto más conscientes seamos, mejor será la higiene que practiquemos. Hay que seguir evitando los enlaces y archivos adjuntos de aspecto dudoso, pero la carga del usuario debe pasar de los aspectos técnicos (que pueden llevar a los usuarios a perder el tiempo con un hiper análisis con la esperanza de no ser engañados) a los aspectos sociales.

En primer lugar, hay que enseñar a los usuarios los fundamentos del phishing, como la mayoría de nosotros hemos hecho antes, pero centrándose en qué tipo de cosas es probable que los delincuentes intenten que hagas: revelar contraseñas, abrir documentos no solicitados o compartir información con personas no autorizadas. Si no te parece bien, probablemente tus instintos sean correctos.

Lo ideal es que sea fácil de contactar con el equipo de seguridad y que esté disponible para “echar un vistazo rápido” a las cosas que el personal sospecha que no son correctas. Muchas organizaciones hacen que sus equipos de seguridad estén disponibles por teléfono, correo electrónico y chat corporativo (Slack, Teams, etc.). Los correos electrónicos regulares de recordatorio sobre las amenazas a la seguridad deberían incluir siempre esta información de contacto, así como ponerla en una pegatina en cada teléfono o portátil, como si fuera una etiqueta de activos.

An asset tag with phone numbers for tech support
Figura 2: O ponerlo directamente en la etiqueta de activos.

Otra técnica eficaz para captar la atención de la gente con respecto a las amenazas por correo electrónico es utilizar ejemplos del mundo real, especialmente si han sido enviados a los propios miembros del personal o a la dirección. Todo el mundo piensa que no le va a pasar a él y un ejemplo de que le ha pasado a alguien que conoce ayuda a hacerlo más real.

Distinguir los enlaces buenos de los malos se ha vuelto cada vez más difícil en los últimos años, y es probable que el tiempo de los usuarios esté mejor invertido en gestionar sus contraseñas, ganar comodidad con la autenticación multifactor y escuchar historias sobre los últimos tipos de señuelos que los delincuentes están utilizando para engañarlos y ayudarlos.

En este Mes de la Concienciación sobre la Ciberseguridad, dejemos que la tecnología se preocupe de las cosas técnicas y centremos nuestra energía en involucrar a nuestro personal allí donde se encuentre. Cuente historias, comparta ejemplos y explique los objetivos de alto nivel que tienen los delincuentes cuando intentan engañarnos por correo electrónico, SMS, WhatsApp, Discord y Facebook Messenger. Siempre debemos hacer caso a nuestro sentido arácnido y, en caso de duda, llamar al amable y servicial equipo de seguridad informática para que lo compruebe.