Entrevista Un hacker entró en un edificio de «una ciudad muy grande» un miércoles por la mañana sin llaves de puertas ni ascensores, decidido a robar datos confidenciales irrumpiendo tanto en el espacio físico como en la red Wi-Fi corporativa. Resulta que no necesitaba entrar en absoluto. Subió en el ascensor hasta el piso de recepción sin necesitar una tarjeta de seguridad, encontró la puerta de la oficina abierta, pasó junto a un guardia de seguridad sentado en un escritorio y entró directamente en una sala de conferencias. «Ya teníamos un dispositivo malicioso configurado», dijo a The Register. «Habíamos encontrado las credenciales de su red Wi-Fi corporativa en la basura, mientras buscábamos en la basura la noche anterior. Instalamos el dispositivo detrás del televisor en la sala de conferencias, lo conectamos a la red y pudimos extraer datos de la empresa a través de su propia red Wi-Fi corporativa durante más de una semana sin que nadie se diera cuenta». En este caso, el servidor de comando y control estaba controlado por el equipo rojo de una empresa de seguridad que había sido contratado por el propietario del edificio de inquilinos múltiples que estaba preocupado porque los habitantes estaban «demasiado relajados» con respecto a la seguridad de la oficina, por lo que Estos datos robados no se enviaban al C2 de un delincuente. Conozca a Alethe Denis La hacker, Alethe Denis, es consultora senior de seguridad en Bishop Fox y su especialidad son las evaluaciones de seguridad física. O, como dice Denis: «Entro en edificios». También es ganadora de Capture the Flag de Ingeniería Social DEF CON con su propio lugar en el campamento de verano de hackers Black Badge Hall of Fame. Como probador de penetración en un taller de ciberseguridad ofensiva, el trabajo de Denis implica muchos ataques de ingeniería social, generalmente por teléfono y correo electrónico. «Tenemos que fingir que somos los malos», dijo. Mi tipo de ingeniería social favorito es el cara a cara… Me permite crear personajes realmente atractivos. Pero «mi tipo de ingeniería social favorito es el cara a cara», admitió. En parte, esto se debe a que le permite hacer realidad su sueño de convertirse en actriz. «Pero también me permite crear personajes realmente atractivos, interactuar con la gente y crear pretextos más elaborados». Esto a menudo implica hacerse pasar por empleados anteriores o actuales, o proveedores que trabajan en o alrededor de la empresa que contrató a Denis y su equipo para irrumpir en su edificio. Su objetivo suele ser conectarse a la red corporativa y robar algo a lo que sólo un ejecutivo de alto nivel debería poder acceder. «Nuestro trabajo es hacernos pasar por un ex empleado que fue despedido, y nos dan una placa pero está desactivada», dijo, como ejemplo de un compromiso específico que involucra a «un ex empleado descontento que intenta regresar al edificio y causar algunos una especie de perturbación». «Por lo general, la razón por la que nos contratan es porque han invertido mucho en sus controles de seguridad física y los ex empleados descontentos son amenazas internas», añadió Denis. Incluso los profesionales son atacados. El equipo rojo no siempre tiene éxito. En un trabajo reciente, a Denis se le asignó la tarea de irrumpir en un proveedor de software. Ella y sus compañeros de equipo decidieron hacerse pasar por contratistas de TI en las instalaciones para realizar un estudio del sitio y completar una estimación de costos para actualizar el sistema de cámaras de vigilancia interna de la empresa. «Porque si pudiéramos acceder a cada lugar donde hubiera una cámara de vigilancia, entonces podríamos entrar a la sala de servidores e instalar un dispositivo, que era el objetivo de la evaluación», dijo. La preparación tomó aproximadamente un mes, y el equipo rojo creó una empresa proveedora falsa, completa con un número de teléfono, servicio de contestador automático y orden de trabajo para el sistema de vigilancia. «Saber que estábamos allí para hacer una estimación significaba que no verificarían que éramos un proveedor real; todavía estábamos en el proceso de intentar convertirnos en uno», señaló Denis. El día del robo previsto, uno de los responsables de seguridad de la empresa se encontraba trabajando en la recepción. «Presentamos nuestro caso para entrar al edificio y ella inmediatamente llamó al gerente de operaciones de seguridad global, a quien mencioné en la orden de trabajo». Resultó que era un ex miembro del equipo rojo de las Fuerzas de Defensa de Israel que también había escrito un libro sobre vigilancia y detección encubiertas. «Esa fue una de las veces que nos atacaron», dijo Denis. «Él escuchó nuestra historia, nos contó nuestra farsa y nos envió a empacar. Le dejé que nos echara, él nos dejó irnos con nuestra dignidad». No todo es IA y deepfakes A pesar de los rumores en torno a la ingeniería social asistida por IA y los deepfakes, las conversaciones humanas (por teléfono, electrónicamente o en persona) siguen siendo las tácticas de ingeniería social más comúnmente utilizadas y más efectivas para los delincuentes que buscan ganar dinero con sus víctimas. «Sus tácticas son bastante diferentes de aquellas de las que vemos hablar en la capacitación sobre concientización sobre seguridad o en las presentaciones de los proveedores sobre herramientas para prevenir el phishing y cosas así», dijo Denis. «En este momento, las cosas nuevas y brillantes están en su mayoría conectadas a la IA y con palabras clave». Si bien algunos estafadores utilizan herramientas de ingeniería social asistidas por IA y existe la posibilidad de que se produzcan «ataques muy disruptivos» utilizando deepfakes, en general, esta tecnología no tiene el alto nivel de retorno de la inversión que la mayoría de los ciberdelincuentes desean, añadió. «Tengo amigos y contactos en agencias de tres letras, y esas personas me dicen que los estados nacionales están desviando su atención de la creación de deepfakes y están volviendo a métodos más tradicionales de phishing de voz por teléfono», dijo Denis. . Y aquellos que sean víctimas de un ingeniero social altamente capacitado «ni siquiera podrán discernir que están siendo atacados por un atacante», anotó. «Eso es lo que hemos estado viendo en la mayoría de los casos en los últimos años donde ha habido una gran brecha, o se ha concedido acceso a alguien a quien no se le debería haber concedido acceso: la persona que interactuó con el atacante se convirtió en la amenaza interna involuntaria», Denis continuado. «El atacante hizo un trabajo excelente al generar esa confianza, al hacerse pasar por un empleado interno o una persona que tenía derecho a ese acceso», dijo. «Y la persona con la que estaban hablando no tenía idea; no había forma de identificar que algo andaba mal, y eso es verdaderamente un fracaso del proceso». Trucos de phishing del equipo rojo Los miembros del equipo rojo que se hacen pasar por los malos utilizan estas mismas técnicas y herramientas para eludir los productos de seguridad que se supone deben detectar y detener los correos electrónicos de phishing. También utilizan productos de software como servicio para entregar phishings falsos diseñados para que parezcan provenir de un proveedor externo, como un proveedor de encuestas de participación de los empleados o una persona interna de recursos humanos o TI. Si bien la mayoría de las personas han sido bien entrenadas para no caer en phishings que utilizan la política, la religión o temas candentes como señuelos, hay más cuestiones relacionadas con el trabajo que los estafadores pueden utilizar para provocar una respuesta emocional similar. «Lo que parece es un vínculo con una política que necesita ser revisada para responder a una pregunta de una encuesta», dijo Denis. «El tema podría ser el código de vestimenta, el regreso a la oficina o los dispositivos proporcionados por la empresa. Cosas comunes, pero también cosas que realmente apasionan a la gente: cuánto tiempo quieren pasar en la oficina o qué quieren vestir cómo se sienten con respecto a su computadora portátil proporcionada por la empresa, porque todos las odian». Lo que el ingeniero social quiere hacer es desencadenar esa respuesta emocional. Denis y el equipo enviarán un correo electrónico con un enlace a un PDF que pretende ser la política que debe revisarse para responder las preguntas de la encuesta. En realidad, el documento es la carga útil maliciosa y se ejecuta cuando el empleado hace clic en el PDF de la política falsa. «Lo que el ingeniero social quiere hacer es desencadenar esa respuesta emocional», dijo Denis. «Quieren pasar por alto las partes lógicas del cerebro que procesan el pensamiento y confiar en esa respuesta animal a nivel visceral. Luego secuestramos la amígdala y llevamos a la persona que nos acompaña a la primera pregunta de la encuesta, le pedimos que haga clic en este enlace. y en ese momento los envío a una página de inicio de recolección de credenciales». El objetivo suele ser obtener acceso a nivel de administrador en una máquina comprometida, escalar privilegios y ver a qué más puede acceder el equipo rojo en el sistema de TI de la organización. Si el correo electrónico por sí solo no funciona, contestar el teléfono también es muy efectivo desde la perspectiva del hacker. «Trato de aprovecharlos juntos», dijo Denis. «Te llamaré y te diré: ‘Oye, te envié un correo electrónico la semana pasada, ¿recibiste ese correo electrónico?’ La gente suele decir: «No, nunca lo entendí». Por supuesto que no lo hicieron porque nunca envié uno». Pero en ese punto, la víctima ya siente que cometió un error al perder un correo electrónico la semana pasada y ahora se siente en deuda con el atacante. «Sienten que me lo deben. Entonces puedo decir: ‘Mientras estamos hablando por teléfono ahora, ¿te parece bien si te lo reenvío? ¿Puedes seguir adelante y hacer sólo una cosa?». Lo mejor que cualquiera puede hacer para evitar ser víctima de este tipo de ataques de phishing de voz es hacer preguntas, y esto normalmente desequilibrará al atacante lo suficiente como para colgar y pasar al siguiente objetivo, dijo. Y aunque el objetivo de Denis como evaluador de penetración es finalizar la llamada con acceso a la organización objetivo (y sin que la persona al otro lado del teléfono sepa siquiera que ha sido engañada), los atacantes de la vida real no son tan amables. . «A los estafadores no les importa cómo te sientes al final de esto», dijo. «Van directo a la yugular». ®