El eslabón más débil
“Cada intermediario con el que trabaja, tiene el potencial de incrementar su superficie de ataque”
La mayoría de las compañías confían en agencias externas, socios y proveedores para hacerse cargo de parte de sus negocios. Según estas relaciones comerciales evolucionan, no es extraño que los sistemas y procesos de ambas partes estén integrados conjuntamente. Hemos observado que, en muchas ocasiones, las prácticas de seguridad de estos externos son ignoradas cuando una de estas fusiones tiene lugar.
Esto sucede por diversos motivos, uno de los más comunes es que, al exigir a los socios que endurezcan sus sistemas de seguridad se ralentiza el negocio. Los encargados de organizar estas relaciones comerciales, tanto en equipos como a nivel individual, a menudo son profanos en cuanto a conocimientos de seguridad se refiere. La situación empeora cuando los departamentos informáticos comienzan a integrar sistemas, a menudo presionados para que todo funcione de inmediato, y acaban tomando atajos.
Cada intermediario con el que trabaje tiene el potencial de incrementar su superficie de ataque. Esta situación puede llevar en un ataque oportunista cuando el ciberdelincuente encuentre una brecha de seguridad en el sistema de su socio para acceder al suyo. O viceversa, un ataque dirigido, donde el delincuente realiza una búsqueda de las compañías con las que usted tiene relaciones comerciales y encuentra un modo de entrar en su red a través de los sistemas de sus socios. Cualquier brecha en seguridad que implique un atacante asaltando su red a través de la de un tercero puede definirse como un upstream attack.
Los puntos de exposición en su superficie de ataque pueden variar de manera incontrolada basándonos en el tipo de terceras empresas con las que haga negocios. Existe un amplio espacio para la creatividad cuando hablamos de ataques contracorriente y es extremadamente difícil cubrir cada posible escenario. A continuación, le presentamos una serie de ejemplos de vectores de este tipo de ataque que observamos en el terreno el año pasado.
Servicios de instalaciones
Las empresas que proveen de servicios on-site, tales como limpieza de memorias, la seguridad física o su mantenimiento, obtienen acceso físico a las instalaciones del cliente como parte de su trabajo. Este acceso puede incluir tarjetas de identificación, llaves electrónicas, códigos de entrada y planos de los edificios.
Todos estamos familiarizados con el hecho de que, lo más probable es que los ciberataques se originan desde localizaciones geográficas distintas de la del propio objetivo atacado. Sin embargo, si partimos de la base de que los ataques dirigidos estén metódicamente planeados, los adversarios que buscan infiltrarse en una organización estarían dispuestos a ir tan lejos como sea necesario para conseguir el acceso físico a las instalaciones de sus objetivos. En esos casos, el atacante puede recurrir a los servicios de los proveedores para obtener ese acceso. De hecho, los equipos de respuesta a incidentes de F-Secure observaron varios intentos de ataques dirigidos durante 2016, donde obtener el acceso físico a una oficina era parte clave del asalto.
Las compañías de servicios suelen tener una formación tecnológica deficiente. Por ejemplo, es bastante común que conserven documentos de relevancia en ficheros de libre acceso al que otros empleados pueden acceder y después descargarlos e imprimirlos.
En un caso en particular en el que trabajaron nuestros consultores de seguridad informática el año pasado en Europa, una empresa de limpieza de moquetas fue objeto de un ataque en cadena para hacerse con el acceso físico a múltiples instalaciones en sus oficinas a las que prestaba sus servicios.
La información relevante para conseguir el acceso físico tanto a hogares como oficinas puede ser también de utilidad para los criminales. Es probable que la proximidad geográfica de los atacantes pueda hacer creer que tal ataque no sería relevante. Pero consideremos este ejemplo: un ciberdelincuente en Nueva York puede tener la posibilidad de ejercer su habilidad de abrir cerraduras inteligentes conectadas a Internet en remoto.
Sin embargo, estas cerraduras a las que ha conseguido acceso están instaladas en puertas en Europa. No tiene sentido para el hacker viajar a Europa y entrar por la fuerza en esas casas, así que pone esa información a la venta en Internet, digamos, a 50 euros por cerradura. Los criminales locales compran así los códigos de estas cerraduras y los usan para llevar a cabo sus robos. Los vectores de ataque transmitidos por la red están habilitados cuando los proveedores cuentan con el acceso y la habilidad para administrar la infraestructura del cliente desde cualquier lugar. El software para gestionar y controlar sistemas de alarma, cámaras, sistemas de calefacción y los accesos físicos está a menudo obsoleto y diseñado sin tener en cuenta medidas de seguridad.
Es bastante común que el acceso a estos sistemas sea a través de Telnet o VNC -red virtual informática, en sus siglas en inglés- y a veces sin siquiera autentificación. Hay muchos casos sobre esto en Shodan. En un clásico ejemplo de upstream attack que afecte a proveedores de servicios, Target -una conocida cadena americana de minoristas- fue comprometido en 2013 a través de un sistema diseñado para monitorizar y controlar el hardware del sistema de aire acondicionado. La máquina en cuestión era accesible desde Internet y estaba conectada con los datos de operaciones de venta de Target. Los atacantes se hicieron fácilmente con el control del monitor del aire acondicionado y a partir de ahí, fueron capaces de saltar dentro de la red de Target para finalmente hacerse con el control del sistema de sus puntos de venta.
Agencias
Las agencias intermediarias que proveen de servicios de marketing, branding, presencia web, recursos humanos y comercio electrónico son otros de los puntos débiles comúnmente usados en los ataques upstream. Estas empresas ofrecen servicios de hosting que, en muchas ocasiones, son directamente soportados en la propia red corporativa del cliente. Conseguir el acceso al sistema de una agencia puede facilitarle al atacante un punto fácil de entrada a partir del cual moverse por la red del cliente.
Consideremos un servidor web que alberga sitios web para múltiples empresas. Algunas de estas empresas tendrán máquinas en sus redes corporativas directamente conectadas con su servidor web. En el caso de que el servidor web sea atacado directamente, cada sitio web independiente que conecta es susceptible de ser atacado, mediante desconfiguraciones o plugins vulnerables. Finalmente, cualquiera de las redes de los clientes puede ser penetrada, dándole al atacante acceso al servidor web y, desde ahí, a todos los demás sistemas interconectados. Este tipo de sistemas tienen grandes superficies de ataque y son objetivos tentadores para criminales en potencia.
Las agencias de reclutamiento también cuentan con un alto índice de riesgo debido al tipo de contenido con el que trabajan diariamente: solicitudes de trabajo en documentos PDF y Word que llegan continuamente desde fuentes ‘no solicitadas’. Este tipo de documentos son usados a menudo como medio para infectar una red.
Es más, las agencias de contratación suelen manejar sus correspondientes sistemas de bases de datos de solicitantes que son facilitadas por los propios clientes. El encargado de selección de personal recibe un currículum infectado, lo descarga sin saberlo en su sistema, donde es consultado por docenas de clientes desde su propia red interna. Todo lo que el atacante necesita hacer es puentear cualquier sistema de seguridad o audiovisual que la agencia esté usando para así propagar su documento malicioso lo más posible.
[Imagen extraída de la película Independence Day]
Pero los documentos maliciosos no son el único vector de ataque en este escenario. Los ‘solicitantes’ de empleo pueden también enlazar, a través de sus currículos o cartas de presentación, a una página maliciosa creada para este propósito, aprovechando la confianza de la empresa en este tipo de envíos. En un ejemplo real de finales de 2016, el equipo de inteligencia e investigación de amenazas de F-Secure observó varios departamentos de recursos humanos siendo objeto de ataques de fraude electrónico como parte de campañas de ransomware contra empresas. No hace falta decir que el proceso de selección está cargado de peligros provenientes tanto de las amenazas de fraude electrónico como del crimeware.
Consultores
Multitud de empleados externos trabajan para otras empresas como asesores o consultores. En lo referente a su seguridad, las empresas que proporcionan servicios de consultoría y subcontratación mantienen siempre sus propias políticas de seguridad -protección endpoint, consolidación, tratamiento de documentos y directrices de seguridad- lo que les garantiza distinguirse de las políticas definidas por las compañías de sus clientes.
Varios casos de gran notoriedad a lo largo de los últimos años han evidenciado el hecho de que los trabajadores de servicios externos pueden plantear un riesgo interno para una empresa. Los consultores reciben acceso total o limitado a los recursos corporativos y sus redes, a través de ordenadores de sobremesa o portátiles que, a menudo, no han sido preparados y configurados por la organización para la que están realizando la auditoría. Muchas de estas empresas contratan consultores para programar sistemas financieros o les encargan su mantenimiento. Normalmente, los ingenieros de ‘software’ son también externos y cuentan con un acceso parcial o total a los sistemas de control y almacén de fuentes del cliente. Es casi imposible monitorizar al detalle cada movimiento del consultor.
Cuando se busca un punto de entrada durante un ataque dirigido, los responsables dirigen su atención hacia los propietarios de botnets para alquilar máquinas específicas que han sido comprometidas -conocidas por ser parte de una organización atacada-. Los contratistas externos amplían la red cuando se requiere encontrar estos sistemas ya comprometidos. También lo hacen para lanzar ataques de fraude electrónico o de ingeniería social.
Si su empresa emplea habitualmente personal externo, sus localizaciones físicas podrían ser más accesibles a tácticas de ingeniería social. Con tantas caras diferentes entrando y saliendo diariamente, es fácil engañar a los empleados y un atacante, haciéndose pasar por un consultor, podría conseguir acceso al edificio, incluso a las áreas restringidas. Los consultores expertos en ciberseguridad de F-Secure emplean estas maniobras para lograr un gran impacto cuando ponen en práctica evaluaciones de amenazas para clientes.
Un último consejo
Al trabajar con empresas externas, hay una serie de recomendaciones a tener en cuenta para minimizar el riesgo de ataques. Lo primero, siempre sea cauteloso a la hora de permitir a cualquier dispositivo externo el acceso a nuestra red. En segundo lugar, limite ese acceso lo máximo posible, ponga en uso fuertes controles de acceso y, siempre que sea posible, asegúrese de que los dispositivos externos están conectados a redes independientes y controladas. En tercer lugar, asuma que el dispositivo en cuestión está comprometido y trátelo como tal.
Cuando un nuevo socio se une a nuestra empresa, es primordial garantizar la seguridad y, si la situación lo permite, trabajar con ellos en la mejora de las áreas que lo necesiten. Por último, pida a sus socios que sigan un conjunto definido de políticas y prácticas básicas. Y siempre que pueda, audite usted mismo sus sistemas.
Si estamos hablando de personal on-site, ponga a su disposición un equipamiento que usted mismo haya preparado y configurado. Restrinja sus accesos a los sistemas con los que necesiten trabajar y rescinda esos accesos tan pronto como terminen con su tarea. Asegúrese de que es capaz de registrar sus accesos, así como los cambios que puedan hacer en ellos y recuerde auditar esos registros.
Sea especialmente consciente sobre aquellos sistemas ya obsoletos como los usados para el control de la maquinaria o la infraestructura. Cuando sea posible, mantenga estos sistemas aislados y no les de acceso a su red corporativa. Si les otorga a empresas externas el acceso a este tipo de sistemas, asegúrese de que lo hace con una apropiada autenticación, auditando los mecanismos en el lugar y que no estén expuestos a Internet.
No olvide estar ojo avizor a lo que se conecta a su red corporativa y quién trata de acceder, algo especialmente importante si tiene varios empleados externos entrando y saliendo. Ejecute de manera frecuente el escaneo de detección, identifique servicios y sistemas desconocidos y apáguelos si los encuentra.
Finalmente, siempre viene bien instruir a sus empleados que estén atentos a posibles prácticas de ingeniería social en el lugar de trabajo. Historias reales y anécdotas les ayudarán a identificarlas o que vean el clásico de 1992, Sneakers o la serie de reciente éxito en la pequeña pantalla, Mr. Robot. Aprender sobre este tipo de cosas es divertido y su equipo se sentirá así más involucrado.
[Imagen de portada extraída de la película Sneakers]
Categorías