Category Archives: Gizmodo

Auto Added by WPeMatico

Pescando en la Casa Blanca

IMAGE: Selman Amer - 123RFUn grupo de periodistas de Gizmodo tuvieron una idea aparentemente absurda y sin duda peligrosa, pero que tengo la impresión de que podría convertirse en relativamente habitual en otros contextos: tratar de lanzar un ataque de phishing a quince personas del equipo directo de Donald Trump en la Casa Blanca.

El phishing es uno de los mecanismos más habituales de robo de información en la red: típicamente, se envía al usuario un correo electrónico desde una cuenta simulada que le genere confianza, en el que se le solicita que haga clic en un enlace que le presenta una página, igualmente simulada, en la que introducir su usuario y contraseña de un servicio determinado. A principios de mayo, un esquema de phishing muy sofisticado y convincente con la apariencia de un mensaje de invitación a un documento de Google Docs logró que varios miles de usuarios le entregasen sus nombres de usuario y contraseñas de Google, y le diesen acceso a sus contactos para extender el ataque más aún. Las estadísticas de 2016 afirman que un 85% de las compañías han sido objeto de ataques de phishing, y que alrededor de un tercio de los mensajes de phishing son abiertos por el usuario.

El ataque planeado por Gizmodo utilizaba un esquema bastante conocido, comentado bastante recientemente al hilo del episodio de Google, y fue estructurado como un test de seguridad, con la idea de poner a prueba los conocimientos en este tipo de cuestiones del equipo presidencial de un Donald Trump que ha sido etiquetado por muchos como un profundo desconocedor del entorno tecnológico. Desde la publicación, se enviaron correos electrónicos a quince miembros del equipo presidencial, desde direcciones de correo electrónico simuladas – sin ningún tipo de sofisticación, sin ni siquiera ocultar la dirección real – que utilizaban nombres de personas de su confianza, como otro miembro del equipo, un conocido o su pareja. En ese sentido, el ataque se tipifica como un phishing unido a un esquema de hacking social, lo que pasaría a considerarse un targeted attack, un ataque con un objetivo concreto, que va más allá de los esquemas más habituales y básicos que utilizan simplemente direcciones aleatorias.

De los quince receptores del correo de Gizmodo, siete ignoraron completamente el mensaje, pero otros ocho accedieron a la página solicitada en menos de diez minutos tras el envío, lo que podría indicar que no consultaron a ningún experto en seguridad o miembro del equipo de tecnología antes de hacerlo. Dos personas, además, contestaron el correo electrónico pensando que la identidad falsa era real, ante lo que Gizmodo decidió no continuar con el esquema (en lugar de continuar con un segundo correo que siguiese intentando obtener su objetivo). Según la publicación, ninguno de los receptores llegaron a introducir su usuario y contraseña en la página falsa, y además, se desconoce cuántos de ellos podrían tener activada la verificación en dos pasos, que incrementa la seguridad incluso en caso de captura del par usuario – contraseña añadiendo una verificación más a través de un número enviado a un dispositivo o de una autenticación adicional mediante huella (es la que utilizo yo, y es verdaderamente cómoda, muy poco engorrosa y francamente recomendable), algo que parece una precaución más que lógica y razonable en ese tipo de ámbitos y niveles de responsabilidad. La idea era poner a prueba y documentar la educación en seguridad del equipo del presidente, pero – se supone – no ir más allá.

Algunos afirman que la jugada de Gizmodo podría conllevar una denuncia por infracción de la Computer Fraud and Abuse Act (CFAA), aunque la publicación afirma que para evitar esa acusación, el diseño del experimento se hizo de manera que no habría permitido conocer el usuario y la contraseña introducida, sino simplemente constatar que la habían introducido. Por el momento, la Casa Blanca no ha cursado denuncia alguna. 

¿Qué ocurriría en tu compañía si se enviase un correo de ese tipo, desde una cuenta que simulase la de un compañero o un familiar? ¿Cuántos caerían y suministrarían su usuario y contraseña? ¿Puede este tipo de tests convertirse en una manera de evaluar la cultura en seguridad en las organizaciones? ¿Deberíamos pensar en convertir en habituales pruebas de este tipo en nuestra compañía, como forma de detectar vulnerabilidades o educar en seguridad? Y desde mi punto de vista, en todo este tipo de cuestiones subyace una pregunta importante: la seguridad informática y las infracciones a la misma aún es vista por muchos como algo “de expertos”, como una cuestión disculpable, una falta menor. Aún nos parece relativamente normal y hasta disculpable que una persona facilite su contraseña a otra, o que la tenga pegada en un post-it en la pantalla del ordenador. ¿En qué momento cuestiones de ese tipo, como responder a un correo de phishing, dejan de ser consideradas como algo disculpable y pasan a conceptualizarse como descuidos imperdonables, como el dejarse las llaves puestas en la cerradura, o como una imprudencia temeraria que conlleva responsabilidad? En los Estados Unidos, una cuestión de seguridad como el utilizar una cuenta de correo electrónico personal para tratar asuntos de estado fue utilizada con profusión por Donald Trump para atacar a su oponente, Hillary Clinton, durante toda la campaña. ¿Qué cabría esperar que ocurriese si hiciésemos una prueba como esta con los miembros del gabinete de gobierno de otros países?

 

Powered by WPeMatico