Usted llega en la mañana a su oficina, se sienta en su silla, abre su portátil y empieza a trabajar. Como todos los días, después de servirse un café de tres pisos revisa sus correos para ver qué es urgente, qué es importante y qué puede esperar. Dentro de los mensajes urgentes hay uno enviado por un vicepresidente pidiéndole revisar la lista de precios adjunta como un PDF y confirmar si esos fueron los precios que se le ofrecieron a un cliente específico.
Usted, que no quiere hacer esperar a un VP, abre el PDF y encuentra efectivamente una lista de precios, por lo que la revisa, saca sus conclusiones y responde lo que le fue preguntado. Contento de haber despachado la primera tarea del día en tan corto tiempo, toma un sorbo de café y sigue con la segunda.
Sin embargo, mientras usted trabaja en esa segunda tarea su máquina envía –sin que usted tenga la más remota idea de que lo está haciendo– un mensaje de ‘llamando a casa’ a un servidor asociado a algún nombre de dominio o a una dirección IP, que es controlado por el atacante que le envió el mensaje haciéndose pasar por el VP. Cuando usted abrió el PDF se ejecutó código en Javascript que explotó una vulnerabilidad, que a su vez permitió al atacante ejecutar y descargar código malicioso y, consecuentemente, tomar posesión silenciosa de su máquina.
Es decir, usted y su empresa son probables víctimas de una amenaza persistente avanzada o Advanced Persistent Threat (¿qué es un Advanced Persistent Threat?). Ahora el atacante puede hacer toda suerte de cosas con su máquina, como expandir el ataque lateralmente en su red interna hasta encontrar cuentas de administrador y claves de Active Directory, luego seguir con su servidor de correo, los servidores de producción y back-up, máquinas de otros empleados clave y simplemente tomar total posesión silenciosa de su red y sus equipos.
El atacante en realidad es una multitud organizada y jerarquizada de atacantes. ¿Cuántos? No lo sabemos. Después de analizar el tráfico y la evidencia disponible sólo sabemos que son varios y que antes de lanzar el ataque estuvieron haciéndole ingeniería social a su empresa para encontrar información importante, como nombres de empleados, cargos y funciones, relaciones de amistad, horarios frecuentes y rutinas de los empleados relevantes, intereses y gustos, datos sobre la competencia y todo otro dato que pudieran encontrar.
¿Cómo pudieron acceder a esta información? De mil formas diferentes…
– Revisando la basura cada día para extraer documentos, escanearlos, convertirlos en texto e incluir su información en grandes bases de datos para hacer correlaciones.
– Llamando telefónicamente a determinados empleados (como secretarias, asistentes, personal de ayuda al usuario en IT) haciéndose pasar por familiares de ejecutivos o socios de negocios o cualquier otra persona con tal de sacar información.
– Haciéndose contratar por la empresa por un par de meses como parte del personal de aseo o como alguien de servicios generales para tener acceso físico a los computadores, servidores y al archivo físico.
– Enamorando a un empleado clave de IT.
El límite lo pone la imaginación…
El ataque resultó exitoso. Usted no esperaba que un mensaje enviado desde la cuenta de su vicepresidente no viniera de él (lea acá sobre email spoofing) y menos aún que un simple PDF pudiera hacerle daño.
Al menos usted encuentra un poco de consuelo cuando se entera de que usted no fue el único que cayó en el engaño. Un mensaje muy parecido fue enviado a otros 100 empleados, entre los cuales otros 12 también cayeron. Cada mensaje iba dirigido de forma personal a cada empleado usando términos y expresiones familiares para cada uno.
Y su empresa, en medio de todo, también encuentra algo de consuelo al saber que ese 10% de víctimas es bastante más bajo que el usual 50% de víctimas promedio que lee los mensajes y abre los archivos o da click a los links cuando sus organizaciones son objeto de un ataque de spear phishing. Tristemente, sin embargo, ahora debe enfrentarse a la cruda realidad: de miles de intentos, los atacantes solamente necesitan ser exitosos en uno. Ese uno que es exitoso los lleva a su objetivo y es para ellos el equivalente a lograr un 100% de éxito. Por otro lado, las víctimas deben ser exitosas en el 100% de las oportunidades, por lo que aún un éxito del 99% en defensa de ataques implica que hubo un 1% en el que los atacantes tuvieron éxito. Y ese 1% es para los atacantes un 100% de éxito, lo que quiere decir, simplemente, que el 99% de éxito en la defensa de su empresa es un triste fracaso.
¿Qué pudo haber hecho su empresa para protegerse mejor?
Unas medidas mínimas habrían ayudado a su empresa a protegerse un poco mejor de esta clase de ataque. En resumidas cuentas, las siguientes habrían sido –y son– una buena idea:
– Proveer a a todos los empleados, y obligarlos a usar, certificados digitales para firmar todos los mensajes que envían y para cifrar los mensajes que tengan categoría de confidencial.
– Implementar SPF (sender policy framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting and Conformance).
– Exigir a su proveedor de resolución de DNS (que bien puede ser interno o su mismo ISP) que provea RPZ (Response Policy Zones).
– Monitorear el tráfico de DNS.
– Organizar campañas de prevención y educación entre los empleados, que bien pueden ser las que hacen parte del programa Securing the Human, de SANS.
Su empresa se dio cuenta de que había sido atacada cuando todos los mensajes de sus empleados empezaron a rebotar, es decir, ni usted ni sus colegas pudieron enviar más mensajes a nadie. Esto ocurrió porque el dominio usado para correo electrónico y las direcciones IP de sus servidores de correo fueron incluidos prontamente en listas de bloqueo, que son distribuidas a casi todos los productores de software de correo, a los grandes proveedores de servicios de email y a muchos ISPs en todo el planeta. Esto ocurre porque, como resultado de la infección, varios clientes de correo fueron instalados ilícitamente en su red por el atacante y fueron utilizados para enviar grandes volúmenes de spam.
Pues bien, usando este sencillo ejemplo hipotético de un ataque exitoso en contra de una organización, en las próximas notas desarrollaré temas mencionados aquí pero que merecen su propio espacio: temas de criptografía en el DNS, recursos del DNS que se pueden usar para protegerse, listas de bloqueo, APTs, políticas de seguridad… la lista puede llegar a ser extensa.
Por ahora, sin embargo, habré logrado mi objetivo si esta nota lo deja pensando un poco.
Saludos desde California,
Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe
Un buen artículo Carlos, felicitaciones.
Creo que si el público objetivo tiene cierto conocimiento técnico les será agradable leerlo, para dummies lo veo un poco complejo de entender aún con las referencias externas, pero en general lo felicito por abarcar este tema y tomarse el tiempo de expandirse en la explicación.
Califica: