Llegamos a ustedes gracias a:



Reportajes y análisis

¿Por qué los ejecutivos son los blancos más fáciles de la ingeniería social?

[14/07/2010] Los administradores de seguridad a menudo se preocupan acerca de los empleados que usan Facebook en el trabajo y de la estafa Estoy atrapado en Londres y necesito el dinero. Otros todavía podrían tener en su organización a quienes están convencidos de que el Príncipe de Nigeria quiere compartir su fortuna.

Las organizaciones hoy sufren también la amenaza del "spear phishing", que constituyen ataques de correo electrónico dirigidos en que los mensajes se crean para que parezca que proceden de un empleador, un banco u otra fuente de confianza. Esta modalidad de estafa es ahora una técnica común de la delincuencia, y ha convertido a los programas de sensibilización para los empleados en algo primordial.
Pero esas preocupaciones, según Jayson Street, consultor de seguridad y director de información de Stratagem 1 Solutions, no deberían ser la principal preocupación. Esto se debe a que la mayor amenaza de ingeniería social son los altos ejecutivos en una empresa -y ellos son los que necesitan ser educados más.
Street, que lleva a cabo pruebas de penetración y da consejos sobre lo que él llama "un parche sobre el problema humano", indicó, con respecto a los datos sensibles y la información confidencial, que los ejecutivos de nivel C son los más jugosos objetivos para los delincuentes, y ellos están colocando a la empresa en situación de grave riesgo. Estas vulnerabilidades no se irán hasta que todo el mundo entienda la seguridad, desde la base de la organización, hasta la parte superior.
"Necesitamos vender a los ejecutivos la idea de esos riesgos", indicó Street. "Los ejecutivos tienen que entender lo que puede suceder y cómo evitarlo".
Street detalla las cuatro razones por las cuales los principales ejecutivos pueden ser el blanco más probable de un ataque de ingeniería social.
Ellos no esperan tener que seguir las reglas de seguridad
Son las personas más importantes en la empresa, sus puestos de trabajo son extremadamente exigentes, y esperan estar exentos de todos los inconvenientes de dichas normas y políticas que la gente de seguridad ha puesto en marcha, señaló Street.
"Ellos son los que creen que no necesitan que el firewall bloquee tanto, o que pueden ir a sitios web que los demás no pueden", explicó. "Ellos no quieren que se les filtre, ser registrados ni monitoreados, así que no quieren pasar por los proxies web que también los protege del compromiso".
El problema es que estos ejecutivos no suelen ser más inteligentes en seguridad que un empleado promedio, y pueden verse comprometidos con muchas de las estafas de ingeniería social comunes. Y puesto que son ejecutivos, es mucho más que probable que el ingeniero social prepare un ataque específico y personal, llegando incluso a enviar un correo electrónico que parece proceder de una fuente legítima, pero en realidad contiene un archivo adjunto malo.
Ellos piensan que usted los va a proteger
Una vez que el ejecutivo ha abierto el archivo adjunto infectado en su máquina, van a preguntar por qué el departamento de seguridad no lo protegió, añadió Street.
"Cuando un ejecutivo se ve comprometido y causa una pérdida para la empresa, no va a decir '¡Uy, fue mi culpa". Él va a decir '¿Por qué no me protegió usted de mí mismo?'".
Street recientemente completó una serie de pruebas de penetración en dos hoteles y consiguió acceso a la sala de servidores mediante el envío de un correo electrónico falso a los empleados, haciéndose pasar como el gerente del proveedor de soporte técnico del hotel.
"Después, les pregunté '¿Por qué me dejan entrar? y dijeron: 'Esta es la forma en que el propietario hace las cosas. Envía mensajes de correo electrónico como éste todo el tiempo'".
El punto es: El ejecutivo -o en el ejemplo de Street- el dueño del hotel, no se dan cuenta de que lo que están haciendo es plantear riesgos (en este caso no tener un sistema para verificar correos electrónicos), porque suponen que el departamento de seguridad conoce mejor el tema y siempre le estarán resguardando sus espaldas.
Utilizan la última tecnología
Los CIO son los mejores objetivos para los ingenieros sociales porque ellos son los que trabajan con tecnología más reciente, añadió Street.
"¿Quién va a estar usando el último iPhone antes de que sea aprobado en la empresa?, preguntó. "¿Quién tendrá el iPad funcionando en la red interna, bajando su correo electrónico? Van a ser las personas de nivel C. Están comprando computadoras portátiles que no son estándares. Quieren la ultraligera que puede hacer una determinada cosa".
El problema es que la novedad de estas tecnologías significa que no han sido debidamente examinadas respecto a los riesgos de seguridad y no se han configurado en la red de forma segura, señaló Street. El problema se agrava por el punto anterior, la hipótesis de que los ejecutivos del departamento TI tiene la seguridad adecuada para tratar con el dispositivo, cuando a menudo no la tienen.
"En realidad podrían pensar que porque es más nuevo es más seguro, lo cual no es así. Y luego todavía quieren conectar su portátil en su red doméstica y, a continuación el modelo de confianza cambia por completo".
Ellos tienen familia que no saben que son blancos
El atacante está buscando la manera más fácil, y debido a que el administrador de la red probablemente tendrá restricciones y probablemente esté haciendo algún tipo de monitoreo, es mucho más fácil ir tras la esposa del CIO, o el marido o los hijos en Facebook, indicó Street. Estos miembros de la familia a menudo utilizan los equipos que son compartidos por el CIO, una vez que él o ella, está en casa.
"¿Por qué no comprometer el sistema de la computadora de la esposa y luego, cuando el CIO trae a casa su portátil se encuentra en la red interna. Como la red de casa es una red privada, se supone que es más de confianza. Tiene más sentido poner en peligro al CIO de esa manera".
Street señala que la conciencia acerca de la ingeniería social se ha de extender a estos miembros de la familia que por desgracia pueden convertirse en víctimas involuntarias de un acto criminal. "Si tiene millones de dólares en juego, y está haciendo espionaje corporativo y quiere robar secretos o dinero, no va a ir detrás de su único objetivo, sino que también va a perseguir a todos en la red de su objetivo".
Joan Goodchild, CSO (US)