A principios de 2023, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) emitieron un aviso conjunto sobre el aumento del uso malicioso del software de gestión y acceso remotos. Hablamos con Jerry Hsieh, vicepresidente de Seguridad y Cumplimiento de Splashtop, sobre los ataques y cómo los usuarios de acceso remoto pueden protegerse a sí mismos y a sus empresas de ataques como estos.
¿Cómo utilizan los ciberdelincuentes el software de acceso remoto de forma maliciosa?
En junio de 2022, los ciberdelincuentes coordinaron una campaña de phishing dirigida a empleados del gobierno. La campaña de phishing obligó a los empleados gubernamentales a realizar las siguientes acciones:
Recibir una llamada desde un número desconocido que se hace pasar por técnicos de TI o de soporte, lo que incita al empleado a visitar un sitio web misterioso.
El misterioso sitio web proporciona instrucciones sobre cómo descargar y configurar el software de acceso remoto
El empleado instala con éxito el software, otorgando al ciberdelincuente acceso al dispositivo
La forma en que estos ciberdelincuentes utilizan el software de acceso remoto no es inusual. Lo que están explotando aquí es la debilidad humana.
"Los seres humanos son el eslabón más débil de la ciberseguridad", afirma Jerry Hsieh, vicepresidente de Seguridad y Cumplimiento de Splashtop.
Los ciberdelincuentes se hacen pasar por compañeros de trabajo de confianza y se dirigen a empleados que tal vez no tengan tanta formación en términos de ciberseguridad. Al explotar esta debilidad, ese empleado puede descargar el software de acceso remoto a petición del ciberdelincuente, donde este puede luego obtener acceso al dispositivo de la víctima.
La mayor amenaza a la ciberseguridad no tiene nada que ver con la tecnología
"Recibo mensajes de phishing todo el tiempo de nuestros empleados", dice Hsieh. Como alguien con décadas de experiencia en el ámbito de la ciberseguridad, Hsieh ha sido testigo de una buena cantidad de ataques creativos a empresas. Incluso después de sus décadas de experiencia, existe un hilo conductor entre todos estos ataques creativos: la debilidad humana.
"Un empleado de prácticas o un recién graduado puede publicar en LinkedIn que empezó en un nuevo trabajo en una empresa", dice Hsieh. "Esos delincuentes de ciberseguridad pueden atacar a ese pasante e identificarlo como una debilidad y luego atacarlo para obtener acceso".
Cómo mitigar los ataques de ciberseguridad
Cuando se trata de minimizar los ataques a la ciberseguridad, es importante identificar todas las vulnerabilidades posibles. En cuanto al aspecto social, Hsieh tiene una sugerencia.
"Lo mejor para prevenir los ataques de phishing es no fiarte de nada", dice Hsieh. "En caso de duda, consulta a tu equipo de seguridad".
El phishing y otras tácticas de engaño social son algunas de las formas más fáciles para que los ciberdelincuentes obtengan acceso en lugar de la fuerza bruta. Aquí hay algunas formas en que puedes mitigar que esto suceda.
Adopta prácticas firmes de formación en seguridad
Si los seres humanos somos el eslabón más débil en materia de ciberseguridad, lo mejor que podemos hacer es proteger a nuestros empleados con las defensas y la formación adecuadas. Pon a prueba periódicamente a tus empleados sobre las mejores prácticas de ciberseguridad y adopta prácticas seguras para tu empresa.
Algunas mejores prácticas habituales, como aplicar la autenticación multifactor, adoptar herramientas de inicio de sesión único o exigir periódicamente a tus empleados que cambien las contraseñas, son un buen punto de partida. Si bien no van a detener ningún engaño por redes sociales, sí les ayuda a comprender la importancia de la seguridad y a pensar más sobre por qué la seguridad de los datos es importante.
Al formar a los empleados sobre prácticas de seguridad, asegúrate de que se destaquen los temas relacionados con el phishing y el ransomware. Con la IA generativa en aumento, estas estafas de phishing se están volviendo más sofisticadas y se hacen pasar por empleados auténticos, llegando incluso a modelar cómo se comunican e imitan sus relaciones con otros compañeros de trabajo. Una forma sencilla de garantizar que las solicitudes que reciben los empleados sean legítimas es verificar la comunicación en dos canales diferentes, o mejor aún, en persona.
Cómo fomentar el escepticismo y evitar la vergüenza
Crear una cultura en la que sea seguro denunciar comportamientos sospechosos es fundamental para proteger a tus empleados. Si un empleado tiene algún problema potencial de seguridad, se deben establecer procesos para que los empleados lo denuncien de una manera que minimice las reacciones negativas por su parte.
"La gente tiene miedo al castigo", dice Hsieh. "El ransomware puede atacar hábitos vergonzosos: no quieren pasar vergüenza".
La vergüenza es un obstáculo importante para que los empleados informen sobre problemas de ciberseguridad y esto se puede evitar fomentando la presentación de informes en lugar de castigar a los empleados por un posible error. La mejor manera de hacerlo es aclarar tu política de denuncias y describir claramente lo que les sucede a los empleados si se producen violaciones de ciberseguridad en sus cuentas. La mejor manera de evitar esto es minimizar la culpa por completo: el problema no es tu empleado, sino el ciberdelincuente que busca atacarlo.
Mantén el acceso a las fuentes de datos según la "necesidad de saberlo"
Minimizar el acceso a los datos es otra práctica recomendada de ciberseguridad sencilla a la par que común que puede ayudar a prevenir fugas e infracciones importantes de datos. Plantéate si un ciberdelincuente ha logrado engañar a un pasante utilizando el software de acceso remoto: ¿a qué datos tendría acceso?
Si proporcionas a todos los empleados la misma cantidad de acceso a todo, será más fácil para los ciberdelincuentes atacar a tu empresa. En su lugar, solo proporciona acceso a los empleados que necesiten tenerlo. De esa manera, si un empleado diferente es atacado, la cantidad de datos a los que tiene acceso el delincuente se limita únicamente a aquello en lo que trabaja ese empleado y no a los datos de toda la empresa.
No existe "la mejor" herramienta de seguridad
La ciberseguridad siempre se adapta y cambia, lo que significa que las formas en que los ciberdelincuentes pueden eludir el software se volverán más sofisticadas.
"No existe la mejor seguridad", afirma Hsieh. "Solo una seguridad cada vez mejor".
Hsieh y el equipo de Splashtop se rigen por esta frase para mantenerse alerta y encontrar diferentes formas de permanecer alerta ante la tecnología en constante cambio. Si tu equipo está buscando formas de mejorar sus procesos de ciberseguridad, plantéate adquirir Splashtop Secure Workspace.
Splashtop Secure Workspace es una plataforma de acceso seguro que ayuda a proteger el acceso a las cuentas de tu equipo, proporcionar acceso de trabajo remoto y simplificar los inicios de sesión, todo en una plataforma muy práctica. Obtén más información sobre cómo puedes proteger tu espacio de trabajo con Splashtop.