[27/02/2021] Durante el último año he observado que las organizaciones pequeñas y medianas han reaccionado mejor ante las vulnerabilidades y los días cero. Como resultado, los atacantes han pivotado hacia métodos diferentes. En lugar de atacarnos a través de nuestros sistemas operativos, se han dirigido a las herramientas de control remoto, a nuestros consultores y, sobre todo, a nuestros usuarios a través de ataques de phishing.
Las empresas han intentado "parchear al ser humano" utilizando simulaciones de phishing. Sin embargo, estas son menos que ideales y poco éticas. Recientemente, GoDaddy envió simulaciones de phishing a más de siete mil de sus empleados. Esta consistía en un correo electrónico enviado por la empresa en el que se ofrecía una bonificación de Navidad de 650 dólares, y se les pedía que rellenaran un formulario con sus datos personales. Casi 500 empleados fallaron en la simulación/un simulacro de phishing.
La simulación de phishing provocó una reacción pública y fue tildada de insensible porque su contenido mostraba indiferencia frente a las dificultades económicas que se están produciendo en esta época de pandemia. La empresa se disculpó con sus empleados por su insensible proceso de pruebas.
Educar a los usuarios ayuda a mantener su sistema seguro, pero sus carnadas de phishing deben ser sensibles a los problemas externos y estar diseñados para educar, no para avergonzar. Considere el fracaso de los trabajadores en la prueba, como su fracaso para entrenarlos y protegerlos. La clave de una buena educación es no convertirla en un evento que desencadene un incidente de relaciones públicas, sino en una técnica de refuerzo constante.
Una campaña de simulación de phishing no puede ser efectiva a menos que haya preparado adecuadamente a sus usuarios para ello. Esto es lo que debe enseñarles o proporcionarles antes de realizar la prueba.
Explique los métodos y motivos del atacante
Antes de lanzar una prueba, eduque a sus usuarios de que los atacantes se dirigen a ellos basándose en temas y comportamientos. Los atacantes saben qué información quiere la gente. Por ejemplo, comenzamos el año 2020 con atacantes que se dirigían a carnadas de phishing basándose en temas de COVID-19, como ofertas de información de la Organización Mundial de la Salud o equipos de protección personal.
A medida que avanzaba el año, los atacantes se comenzaron a centrar en otros acontecimientos que acaparaban los titulares, como las protestas de Black Lives Matter; y cuando se acercaron las elecciones, las carnadas de phishing también cambiaron. Eduque a sus usuarios para que estén atentos a las noticias que puedan ser utilizadas como carnadas, pero que no confíen en las noticias de los enlaces de correo electrónico o naveguen por esos lugares desde una máquina de confianza.
Enseñe buenas prácticas en materia de contraseñas
Explique cómo los atacantes utilizan esos titulares como ganchos para engañarlos y hacer que entreguen sus credenciales, y cómo eso impulsa su política de contraseñas. Nos encontramos en un punto de inflexión en la gestión de credenciales. Durante muchos años, el proceso estándar que utilizábamos para proteger nuestras credenciales era cambiarlas a menudo. Esto condujo a la fatiga de las credenciales, que hacía que solo cambiáramos ligeramente nuestras contraseñas añadiendo letras o caracteres. Ahora vemos un giro hacia técnicas sin contraseña, tales como la autenticación de dos factores para proteger mejor nuestras cuentas. Asegúrese de que los usuarios entienden el razonamiento que hay detrás de este cambio.
Proporcione un conjunto de enlaces de confianza
Enseñe a sus usuarios a utilizar un conjunto de enlaces de confianza, en lugar de hacer clic en los enlaces de los correos electrónicos. Por ejemplo, si un usuario recibe un correo para cambiar una contraseña de red, debe saber que debe utilizar el enlace de confianza en lugar del que aparece en el correo electrónico.
Del mismo modo, sus administradores deberían establecer una estación de trabajo de administración de confianza. Como administrador de red que tiene que hacer clic en bastantes enlaces administrativos de Microsoft, ahora marco como favoritos los enlaces que utilizo para entrar en los distintos portales administrativos. Para cualquier estación de trabajo del administrador, asegúrese de que estos enlaces solo se abran en una ubicación de confianza. Haga lo mismo con PowerShell u otras soluciones de scripting. Utilice o entre de forma remota en una estación de trabajo que esté asegurada, con la intención de que solo se utilice para esa función.
Explique cómo identificar los enlaces problemáticos
Enseñe a sus usuarios que siempre deben ir a enlaces con HTTPS en lugar de a un sitio no seguro que empiece con HTTP. La capacidad de determinar si los certificados SSL son adecuados y están vinculados a certificados raíz verdaderos es difícil incluso para los expertos. Lo mejor que se puede hacer es educar al usuario para que se asegure de que los sitios web tienen un certificado de sitio y que el candado esté colocado. Como alternativa, puede utilizar las herramientas del navegador para forzar el uso de SSL.
Eduque a sus usuarios para que pongan el cursor sobre los enlaces antes de hacer clic. Incluso si tiene activado el filtrado de enlaces en su software de correo electrónico o en su firewall, asegúrese de que sus usuarios saben cómo revisar los enlaces en los correos. Si tienen dudas, asegúrese de que entienden su proceso de revisión, lo que puede incluir el reenvío de correos para su revisión.
Panel de control/Cuadro de mando/Dashboard del Simulador de Ataques de Microsoft.
Realice ataques de phishing simulados al azar de forma regular y utilice el proceso para educar, no para reprender a sus empleados. Si tiene acceso a Microsoft Defender para Office 365 Plan 2, puede ejecutar sus ataques de prueba a través del Simulador de ataques en el Centro de Seguridad y Cumplimiento.
Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú
Puede ver también