¿Cuántas veces hemos escuchado o leído aquello de “el usuario es el eslabón más débil de la cadena de la ciberseguridad”? En mi caso, han sido muchas, e incluso lo he utilizado en multitud de ocasiones, algo que ahora intento evitar porque, en primer lugar, no creo que sea realmente así, y, en segundo lugar, si así fuera, está en nuestras manos cambiarlo, y convertir al usuario en una de las principales barreras de protección ante amenazas como son la ingeniería social, la suplantación de identidad o el phishing.
Está demostrado que uno de los vectores de ataque más utilizados por los ciberdelincuentes es el de la suplantación de identidad a través del correo electrónico con el objetivo de cometer algún fraude, ya sea el robo de credenciales o engañando a la víctima para que realice una transferencia a una cuenta bancaria del delincuente.
Afortunadamente, ya existen tecnologías que ayudan a las organizaciones a identificar este tipo de amenazas, bloqueando los correos y/o moviéndolos a cuarentena para que sean analizados por los administradores del servicio de correo. Aun así, y teniendo en cuenta que “los malos siempre van un paso por delante”, hay ocasiones que estas tecnologías no son suficientes, y la amenaza consigue evadir los mecanismos de seguridad, consiguiendo dejar en la bandeja de entrada del usuario el correo malicioso.
En este punto es donde la concienciación y la capacidad del usuario en identificar este tipo de amenazas son claves para que el ataque llevado a cabo por parte del ciberdelincuente no acabe en un incidente de seguridad para la organización. Dependiendo del tipo de ataque, el correo puede incluir un enlace hacia una URL maliciosa suplantando un portal de autenticación con un formulario falso para el robo de credenciales, puede incluir un fichero adjunto simulando ser una factura pendiente de pago, que previamente ha sido modificada con un número de cuenta del ciberdelincuente, o puede incluir un fichero que simula ser un documento PDF sin embargo es un ejecutable que activará un ransomware en caso de abrirlo.
Independientemente del tipo de correo phishing recibido, el usuario tiene que estar capacitado para identificar la amenaza y actuar según el procedimiento establecido por la organización en caso de recibir correos de este tipo. Es responsabilidad de la organización garantizar que los usuarios estén capacitados y concienciados ante este tipo de amenazas, ya que se reducirá el riesgo de que este tipo de amenazas se puedan materializar y pongan en peligro la información y los sistemas de la organización.
Y es que la ciberseguridad, no es solo cuestión de tecnología, es necesario involucrar a las personas y a los procesos, de ahí la consideración del PPT (Personas, Procesos y Tecnología) para gestionar un aspecto tan importante como es la ciberseguridad, y concretamente la gestión de riesgos. Porque no nos olvidemos, que al final todo gira en torno a la gestión de riesgos, y para dar respuesta a los riesgos identificados (tratamiento de riesgos) es importante contar con la tecnología adecuada, con personas capacitadas y, por último, y no menos importante, con los procesos adecuados.
Ya hemos mencionado la tecnología para identificar y protegernos de amenazas como phishing, como pueden ser las propias soluciones antimalware y las pasarelas de seguridad en los servicios de correo electrónico. También hemos mencionado a las personas, desde el punto de vista de la capacitación y concienciación, con el objetivo de reducir la probabilidad de que una amenaza de este tipo pueda afectar a la organización. Nos falta mencionar los procesos.
En el caso concreto de las amenazas de tipo BEC (Business Email Compromise), el ciberdelincuente consigue comprometer una cuenta de correo, siendo capaz de interceptar y/o acceder a los correos electrónicos de una organización, dándole la posibilidad de leer los mensajes enviados, visualizar presupuestos o facturas, modificar los documentos, cambiando la cuenta bancaria legítima por una fraudulenta para que la víctima realice los pagos de dichas facturas en la cuenta del ciberdelincuente.
Un proceso de validación del cambio de la cuenta bancaria podría ser eficaz de cara a no caer en esta trampa. Por ejemplo, si una empresa tiene registrada un número de cuenta de su proveedor en su ERP, si llega un correo con una factura pendiente de cobro en la que la cuenta de abono es diferente, se debería de llevar a cabo una validación con el proveedor para garantizar que realmente el cambio es legítimo y no se trata de un fraude. A ser posible, que la validación no se haga vía correo electrónico, ya que si está comprometido…
También es recomendable comprobar periódicamente que no existen reglas de reenvío en las cuentas de correo más críticas de la organización, ya que los ciberdelincuentes, una vez comprometido el buzón, pueden definir reglas de reenvío de correo para recibir una copia de todos los correos que le llegan a la víctima, y actuar rápidamente para interferir en un proceso de pago de una factura.
Por lo tanto, no nos podemos olvidar de capacitar y concienciar a los usuarios, no solo en la identificación de la amenaza, sino también en cómo actuar en caso de sospecha, a través de la notificación al equipo de ciberseguridad o cómo validar un cambio que pueda resultarnos sospechoso, como el del cambio de número de cuenta bancaria.
Recordad, en ciberseguridad, todo tiene que ir de la mano; personas, procesos y tecnología.
Como siempre, espero que el artículo sea de vuestro agrado, interés y os pueda resultar útil.
¡Nos leemos!
Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.
Debe estar conectado para enviar un comentario.