El mismo grupo hacktivista que se atribuyó la incursión en los servidores de Hazte Oír y el robo de información privada de esta organización y de su presidente, reivindicaron una supuesta penetración en los correos electrónicos de la Guardia Civil.
En esta información publicada por El Confidencial se especifica que el ataque tuvo dos fases.
Primero, se hicieron con el control de las cuentas de correo electrónico de los administradores del Foro del Guardia Civil que, según las fuentes del propio foro, alberga más de 52.000 usuarios de los cuales “la mayoría son agentes de la Benemérita”.
Los atacantes se hicieron con el control de las cuentas de correo electrónico de los administradores del Foro del Guardia Civil
Ese foro se creó empleando el software VBulletin que en los últimos años, de acuerdo con lo expresado por los autores de la información, “ha sufrido graves vulnerabilidades”.
Aprovechar una de esas vulnerabilidades fue lo que permitió a los atacantes hacerse con el control de las cuentas de los administradores. Hasta aquí la parte más técnica.
Luego, utilizando precisamente una de las cuentas de los administradores colgaron un post en el foro. En el texto se decía que se había actualizado el webmail y que los miembros tenían que pinchar en un enlace para iniciar sesión de nuevo.
Los atacantes, enmascarados como si fueran los administradores, decían a los usuarios que tenían que iniciar sesión en el enlace que figuraba en el ‘post’
Cuando el usuario pinchaba, se le conducía a lo que parecía efectivamente el servicio de correo electrónico en línea de guardiacivil.es. Quienes introdujeron sus contraseñas se las estaban soplando, sin ellos saberlo, a los atacantes. Habían caído en la técnica del phishing.
Aunque la Guardia Civil aseguró que las cuentas comprometidas eran de uso personal y no de índole profesional, es decir, no eran las que utilizan los agentes en su día a día, también admitieron “la gravedad del hackeo” y que algunas podrían contener material sensible.
Un ‘hackeo’ hecho a medida del eslabón más débil: el usuario
Quien preste atención habitualmente al mundo de la ciberseguridad, estará harto de oír dos premisas básicas. Por un lado, que el eslabón más débil de la cadena de seguridad es el usuario. Por otro, que no existe un sistema seguro al 100%.
Los dispositivos y los sistemas informáticos no sienten avaricia por conseguir más dinero, no necesitan aumentar su grado de autoestima, no tienen compasión por el que sufre, ni afecto por seres queridos, ni respeto o temor a la autoridad.
Los que constituimos el eslabón más débil de la cadena, sí.
Es aquí donde entra en juego la llamada ingeniería social y es por lo que en un debate en el espacio Palabra de Hacker de You Tube, su directora, Yolanda Corral, se preguntó “¿es posible hackear los sentimientos?”.
El eslabón más débil de la cadena siente avaricia, necesita autoestima, tiene compasión, muestra respeto o temor por la autoridad
Pablo Iglesias, analista de Información en Nuevas Tecnologías y SecurInfo, afirmó en ese foro que la ingeniería social era en esencia “el arte del engaño”.
Manuel Camacho, analista de ciberseguridad en SVT Security Services, añadió que esa habilidad para influir en una persona mediante el engaño va encaminada a que la víctima “nos entregue una información que de otra forma no estaría dispuesta a dar”.
Ambos señalaron además que los atacantes pueden tratar de doblegar la voluntad de dicha víctima mediante el recurso a dos estrategias totalmente opuestas: se puede optar por aparentar que se está en una posición dominante sobre el atacado o bien justo lo contrario: presentarse como alguien vulnerable.
El mejor filtro de seguridad: el sentido común
El experto en ciberseguridad de Tel Aviv Gad Naveh hizo una reflexión durante el pasado Mundo Hacker Day que fue recogida por Check Point España en Twitter: “La primera clave de un hacker es la ingeniería social”.
Asumiendo que cuando Naveh mencionaba la palabra hacker se refería a un experto en ciberseguridad, se le pidió el favor de explicar cómo la ingeniería social puede servir también a las buenas intenciones.
Naveh respondió a merca2 que las técnicas de este ámbito se pueden aplicar por ejemplo a “generar campañas donde se incita al usuario a hacer clic en un enlace o abrir un archivo”.
Se puede hacer simulacros de ataques utilizando el procedimiento del ‘phishing’ para adiestrar a la plantilla
De tal forma que una vez abierto ese documento o pinchado en ese enlace “aparezca un mensaje donde se lea ‘has caído en el phishing”.
Naveh considera que esto “ayuda a una organización a entender lo expuesta que se encuentra a los ataques debido a una baja instrucción de los empleados” en este terreno.
De este tipo de campañas antiphishing también habla Camacho a merca2. Opina que se trata de algo “muy impactante y efectivo”. Detalla que una campaña de este tipo se monta en uno o dos días.
«La organización tiene que entender lo expuesta que se encuentra a los ataques», recomienda un experto
Los clientes habituales que demandan este tipo de servicio suelen ser, según este especialista, empresas bien posicionadas en el mercado que ya han sufrido ataques llevados a cabo con éxito. En menor medida, también responsables TIC “muy concienciados”.
Eso sí, hay que medir muy bien el alcance y el grado de penetración de estos simulacros de ataque para que no se vayan de las manos, puntualiza Camacho.
Explica que los jefes no suelen ser objetivo normalmente ya que este tipo de campañas pueden “causar estragos” si se descontrolan, por no hablar de los “enfados” que pueden suscitar ya que para garantizar la efectividad esperada “se deben y se tienen que mantener en secreto”.
Hay que medir muy bien el alcance y el grado de penetración del simulacro de ataque en la campaña ‘antiphishing’
Mientras la empresa decide si someternos o no a este tipo de experimentos de ingeniería social para estar preparados para enfrentarnos al lado oscuro, ¿qué podemos hacer mientras cada uno de nosotros?
Para Iglesias la principal defensa ante un ataque donde se emplea ingeniería social es el sentido común.
En el programa de Palabra de Hacker al que nos hemos referido más arriba explicaba que los seis pilares en los que se apoya un atacante que utiliza la ingeniería social son seis y explica a los lectores de merca2 cómo reaccionar ante cada uno de ellos, pues los seis tienen el mismo peso:
*Urgencia. Nada es tan urgente como para no tener tiempo de pensar en ello lo suficiente.
*Reciprocidad. Puede que esa promesa de obtener un rédito muy superior a eso que nos piden que hagamos nunca llegue a cumplirse.
*Consistencia. Que no nos dé reparo alguno dejar a medias un proceso que no vemos claro. Huir a tiempo puede evitar males mayores.
*Confianza. ¿Por qué seguimos tendiendo a asociar identidad digital con identidad física?
*Autoridad. Cuidado. Puede que a nuestro jefe le hayan sustraído su identidad digital y detrás de ese email que nos han enviado no esté nuestro superior sino un cibercriminal.
*Validación social. No atendamos un requerimiento sospechoso que figura en un correo electrónico por más que en el mismo estén puestos en copia nuestros compañeros del departamento o equipo.
El atacante que utiliza la ingeniería social para sus fines se apoya en seis pilares ante los cuales hay que ofrecer una respuesta por cada uno de ellos
Pueden estar igual de confusos que nosotros. En estos casos, basta que uno dé el primer paso para que existan unas cuantas probabilidades de que el resto lo acompañemos “como corderos”.
Cuando las barbas de tu vecino veas pelar…
En la crónica de El Confidencial se señala lo “curioso” que resultaba que “la propia Guardia Civil” quien “constantemente nos recuerda a través de sus perfiles en redes sociales el peligro del phishing y de cómo no caer en la trampa” sean quienes han caído ahora.
Iglesias considera que “ahora lo fácil, claro, es decir qué deberían haber hecho los guardias civiles y en definitiva cualquiera de nosotros ante cualquier petición”.
En lo sucesivo, este experto recomienda cerciorarse por otros canales de que esa fuente que nos escribe es quien dice ser antes de hacer lo que nos pide.
Cuando en un email alguien que supuestamente es de nuestra confianza nos pide que hagamos algo, es necesario verificarlo por otros canales
Por ejemplo, “hacer una llamada de teléfono, ir al departamento encargado, consultar a un superior” e implantar un doble factor de autenticación allí donde el servicio lo permita, pues así, si se ve comprometido un pilar de nuestra identificación, al menos nos queda el otro.
Camacho cree que “con que caiga uno la escalada” pasa a ser “considerable”. “Creo que todavía no somos lo suficientemente exigentes con estos temas”.
Lejos de su intención, no obstante, hacer leña del árbol caído y señalar con el dedo a posteriori. “Que un guardia civil ‘no entienda’ de ordenadores no es su culpa, ni se lo exigen”, por lo que sería el propio cuerpo el que debería dedicarse “a formar insistentemente” en estos temas.