Si bien las organizaciones se esfuerzan de manera rutinaria para abordar las vulnerabilidades de seguridad que pueden existir en su infraestructura de TI, el servicio de asistencia técnica de una organización puede representar una amenaza mayor debido a los ataques de ingeniería social.

Según Webroot, la ingeniería social es «el arte de manipular a las personas para que entreguen información confidencial. Hay muchos tipos diferentes de esquemas de ingeniería social, pero un área de vulnerabilidad es cómo se puede usar la ingeniería social contra un técnico de soporte técnico para robar las credenciales de un usuario.

El proceso de acceso a través de la ingeniería social

El primer paso en un ataque de este tipo suele ser que el atacante recopile información sobre la organización a la que se dirige. Un atacante podría comenzar usando información que está disponible gratuitamente en Internet para determinar quién dentro de la organización es más probable que tenga privilegios elevados o acceso a información confidencial. Un atacante a menudo puede obtener esta información simplemente buscando en Google o consultando redes sociales orientadas a los negocios como LinkedIn.

Una vez que un atacante identifica a un usuario cuyas credenciales quiere robar, necesita saber el nombre de inicio de sesión del usuario. Hay muchas formas en que un atacante podría averiguar el nombre de inicio de sesión. Un método puede ser simplemente intentar autenticarse en el entorno de Active Directory de la organización. Algunos clientes de Active Directory más antiguos le dirán si ingresó el nombre de usuario o la contraseña incorrectos.

Un método más fácil es que un atacante consulte la base de datos en línea de las credenciales filtradas. Un atacante no tiene que encontrar las credenciales de la cuenta que está atacando. Solo necesitan encontrar los detalles de inicio de sesión de alguien en esta organización. Esto revela la estructura de nombre de usuario que utiliza la organización. Por ejemplo, una organización podría crear nombres de usuario basados ​​en nombre.apellido, o tal vez las primeras iniciales seguidas del apellido.

Con dicha información en la mano, un atacante puede llamar al servicio de asistencia técnica de la organización y solicitar un restablecimiento de contraseña. El propósito de esta llamada no es restablecer la contraseña, sino averiguar qué tipos de protocolos utiliza la organización. Por ejemplo, un técnico de la mesa de ayuda puede hacerle a un atacante (que se hace pasar por un empleado legítimo) una pregunta de seguridad, como «¿cuál es su número de identificación de empleado?» El atacante puede entonces decirle al técnico que no tiene a mano su número de identificación de empleado, y volverá a llamar más tarde cuando lo vea.

En este punto, el atacante tiene información crucial a su disposición. Conocen el nombre de la víctima, el nombre de inicio de sesión de la víctima y la pregunta de seguridad que el técnico del servicio de asistencia les hará antes de permitir que se restablezca la contraseña.

Combatir los ataques de ingeniería social con problemas de seguridad

Desafortunadamente, los problemas de seguridad son en gran medida ineficaces. Un atacante experimentado puede obtener fácilmente respuestas a preguntas de seguridad de cualquier número de fuentes diferentes. Por ejemplo, Dark Web contiene bases de datos completas de respuestas a posibles preguntas de seguridad, y sabemos que los usuarios finales a menudo revelan demasiada información personal en las redes sociales.

Además de los problemas de seguridad, algunas organizaciones han utilizado la información del identificador de llamadas en el pasado como una herramienta para verificar la identidad de un usuario. Sin embargo, este método tampoco es confiable porque los sistemas PBX en la nube facilitan que los atacantes falsifiquen la información de identificación de llamadas.

Es importante recordar que los ataques de ingeniería social no son vectores teóricos de ataques, tienen lugar en el mundo real. A principios de este año, Electronic Arts fue infiltrado por piratas informáticos que robaron grandes cantidades de datos (incluido el código fuente del juego de fútbol FIFA 21 de la empresa). El hacker obtuvo acceso engañando al personal de soporte de TI de la empresa para que les diera acceso a la red corporativa.

Entonces, si los problemas de seguridad y otros mecanismos de autenticación convencionales ya no son efectivos, ¿cómo puede una organización defenderse de este tipo de ataque?

Derecho al técnico de Helpdesk

La clave para prevenir ataques de ingeniería social contra un servicio de asistencia técnica es evitar que un técnico del servicio de asistencia técnica, a sabiendas o sin saberlo, ayude en dicho ataque. El técnico es un eslabón débil en la cadena de seguridad a todos los efectos prácticos.

Considere el ejemplo anterior, donde un atacante se comunica con el servicio de asistencia técnica de una organización y se hace pasar por un empleado que necesita restablecer una contraseña. Varias cosas podrían haber sucedido durante esta conversación. Algunos resultados posibles incluyen:

• El atacante responde a la pregunta de seguridad con información robada de las redes sociales o la dark web
• El atacante intenta ganarse la confianza del técnico a través de una conversación amistosa para ganarse el favor del técnico. El atacante espera que el técnico pase por alto las reglas y restablezca la contraseña, incluso en ausencia de la información de seguridad requerida. En algunas situaciones, un atacante también puede intentar que el técnico de la mesa de ayuda se arrepienta.
• Un atacante podría tratar de intimidar a un técnico de la mesa de ayuda haciéndose pasar por un director ejecutivo que está muy molesto porque no puede iniciar sesión. Cuando un técnico de la mesa de ayuda hace una pregunta de seguridad, un atacante puede gritar que no tiene tiempo para responder muchas preguntas estúpidas. y solicite que se restablezca la contraseña ahora mismo (esta técnica ha tenido éxito muchas veces en el mundo real).

En última instancia, la única discreción del técnico es si se produce el restablecimiento de contraseña requerido. No hay nada en las herramientas nativas de Active Directory que impida que un técnico restablezca la contraseña de un usuario si el técnico no demuestra suficientemente la identidad del usuario. Como tal, Active Directory puede considerarse otro eslabón débil en la cadena de seguridad.

Solución segura a los ciberataques basada en la seguridad social

La mejor manera de eliminar la posibilidad de que su organización se vea comprometida por este tipo de ataques es evitar que los servicios de asistencia utilicen la consola de Usuarios y equipos de Active Directory o herramientas similares de restablecimiento de contraseña. En su lugar, es mejor usar una solución de terceros, como Specops Secure Service Desk, que evita físicamente que el técnico restablezca la contraseña si no se cumplen ciertos requisitos de MFA.

Para ver cómo Secure Service Desk elimina los riesgos asociados con el restablecimiento de contraseña, considere una situación en la que un usuario legítimo requiere un restablecimiento de contraseña. El técnico de la mesa de ayuda puede enviar un código de seis dígitos al dispositivo móvil del usuario (que ha sido registrado previamente y se sabe que pertenece al usuario). El técnico no ve este código y no sabe qué código se envió. Cuando el usuario recibe el código, debe leerlo a un técnico, quien luego ingresa el código en el software Specops.

Vista del administrador de la autenticación activa del usuario de la mesa de ayuda usando Specops Secure Service Desk

Solo entonces se le permite al técnico restablecer la contraseña del usuario. Esto evita que el técnico pase por alto las reglas y otorgue un restablecimiento de contraseña a alguien que no cumplió con los requisitos de seguridad.

Pruebe Specops Secure Service Desk gratis en su entorno AD para ver cómo funciona.