Un grupo de periodistas de Gizmodo tuvieron una idea aparentemente absurda y sin duda peligrosa, pero que tengo la impresión de que podría convertirse en relativamente habitual en otros contextos: tratar de lanzar un ataque de phishing a quince personas del equipo directo de Donald Trump en la Casa Blanca.
El phishing es uno de los mecanismos más habituales de robo de información en la red: típicamente, se envía al usuario un correo electrónico desde una cuenta simulada que le genere confianza, en el que se le solicita que haga clic en un enlace que le presenta una página, igualmente simulada, en la que introducir su usuario y contraseña de un servicio determinado. A principios de mayo, un esquema de phishing muy sofisticado y convincente con la apariencia de un mensaje de invitación a un documento de Google Docs logró que varios miles de usuarios le entregasen sus nombres de usuario y contraseñas de Google, y le diesen acceso a sus contactos para extender el ataque más aún. Las estadísticas de 2016 afirman que un 85% de las compañías han sido objeto de ataques de phishing, y que alrededor de un tercio de los mensajes de phishing son abiertos por el usuario.
El ataque planeado por Gizmodo utilizaba un esquema bastante conocido, comentado bastante recientemente al hilo del episodio de Google, y fue estructurado como un test de seguridad, con la idea de poner a prueba los conocimientos en este tipo de cuestiones del equipo presidencial de un Donald Trump que ha sido etiquetado por muchos como un profundo desconocedor del entorno tecnológico. Desde la publicación, se enviaron correos electrónicos a quince miembros del equipo presidencial, desde direcciones de correo electrónico simuladas – sin ningún tipo de sofisticación, sin ni siquiera ocultar la dirección real – que utilizaban nombres de personas de su confianza, como otro miembro del equipo, un conocido o su pareja. En ese sentido, el ataque se tipifica como un phishing unido a un esquema de hacking social, lo que pasaría a considerarse un targeted attack, un ataque con un objetivo concreto, que va más allá de los esquemas más habituales y básicos que utilizan simplemente direcciones aleatorias.
De los quince receptores del correo de Gizmodo, siete ignoraron completamente el mensaje, pero otros ocho accedieron a la página solicitada en menos de diez minutos tras el envío, lo que podría indicar que no consultaron a ningún experto en seguridad o miembro del equipo de tecnología antes de hacerlo. Dos personas, además, contestaron el correo electrónico pensando que la identidad falsa era real, ante lo que Gizmodo decidió no continuar con el esquema (en lugar de continuar con un segundo correo que siguiese intentando obtener su objetivo). Según la publicación, ninguno de los receptores llegaron a introducir su usuario y contraseña en la página falsa, y además, se desconoce cuántos de ellos podrían tener activada la verificación en dos pasos, que incrementa la seguridad incluso en caso de captura del par usuario – contraseña añadiendo una verificación más a través de un número enviado a un dispositivo o de una autenticación adicional mediante huella (es la que utilizo yo, y es verdaderamente cómoda, muy poco engorrosa y francamente recomendable), algo que parece una precaución más que lógica y razonable en ese tipo de ámbitos y niveles de responsabilidad. La idea era poner a prueba y documentar la educación en seguridad del equipo del presidente, pero – se supone – no ir más allá.
Algunos afirman que la jugada de Gizmodo podría conllevar una denuncia por infracción de la Computer Fraud and Abuse Act (CFAA), aunque la publicación afirma que para evitar esa acusación, el diseño del experimento se hizo de manera que no habría permitido conocer el usuario y la contraseña introducida, sino simplemente constatar que la habían introducido. Por el momento, la Casa Blanca no ha cursado denuncia alguna.
¿Qué ocurriría en tu compañía si se enviase un correo de ese tipo, desde una cuenta que simulase la de un compañero o un familiar? ¿Cuántos caerían y suministrarían su usuario y contraseña? ¿Puede este tipo de tests convertirse en una manera de evaluar la cultura en seguridad en las organizaciones? ¿Deberíamos pensar en convertir en habituales pruebas de este tipo en nuestra compañía, como forma de detectar vulnerabilidades o educar en seguridad? Y desde mi punto de vista, en todo este tipo de cuestiones subyace una pregunta importante: la seguridad informática y las infracciones a la misma aún es vista por muchos como algo «de expertos», como una cuestión disculpable, una falta menor. Aún nos parece relativamente normal y hasta disculpable que una persona facilite su contraseña a otra, o que la tenga pegada en un post-it en la pantalla del ordenador. ¿En qué momento cuestiones de ese tipo, como responder a un correo de phishing, dejan de ser consideradas como algo disculpable y pasan a conceptualizarse como descuidos imperdonables, como el dejarse las llaves puestas en la cerradura, o como una imprudencia temeraria que conlleva responsabilidad? En los Estados Unidos, una cuestión de seguridad como el utilizar una cuenta de correo electrónico personal para tratar asuntos de estado fue utilizada con profusión por Donald Trump para atacar a su oponente, Hillary Clinton, durante toda la campaña. ¿Qué cabría esperar que ocurriese si hiciésemos una prueba como esta con los miembros del gabinete de gobierno de otros países?
This post is also available in English in my Medium page, “Phishing in the White House»
Eso se llama spear phising. Práctica habitual en ciberejercicios cuando queremos poner a prueba el blue team de la organización.
Las grandes empresas los hacen habitualmente sobretodo a sus cuadros gerenciales y más sensibles.
Fuera de ahí (incluyendo AAPPs), es bastante un coladero. Falta formación y concienciación a punta pala, y un buen SOC.
Hace quice día cambié la cerradura de casa porque un amigo me dijo que la cerradura de seguridad que tenia, cualquier ladrón la podía abrir con solo meter una llave y dar un golpecito. Fui al cerrajero que hay en el barrio y me lo confirmó, los ladrones han encontrado la forma de abrir cerraduras de seguridad con sólo meter una llave maestra y dar un golpecito .https://www.youtube.com/watch?v=fBgiks7FU7g
¿He sido imprudente por no tomar medidas durante meses que lleva publicado el truco? – No , realmente lo que pasa es que no creo que tenga nada en mi casa que atraiga a los ladrones.
La seguridad es siempre proporcional al riesgo que corres, Indudablemente si eres un asesor de Trump, tiene que tener mas cuidado, que si eres Pepe Perez, pero siempre la seguridad es algo muy relativo y tiene más valor disuasorio que real y si no te lo crees, basta leer la historia y ver la cantidad de magnicidios que ha habido. ¿Es que esos goberennantes no tomaban precauciones,? – Si, pero nunca las medidas de seguridad dan una seguridad 100% , –
Estamos de acuerdo que no existe la seguridad al 100%. Ya desde los tiempos faraónicos.
Lo malo del asunto es la ingente cantidad de muertos, heridos y espiados que se hacen, por culpa de los dictadores (incluso los pasados por demócratas) de turno, para conseguir ese simple (no es irónico!) 99% de seguridad…
Pepe Pérez no se hace asesor de Tiriti TRUMP ni por todo el oro del mundo.
https://www.youtube.com/watch?v=WxV5ZPu29Bo
Sorprende que a estas alturas se haga tan poco para acabar con el grave problema del phishing.
La seguridad en Internet es sobre todo responsabilidad de los gobiernos y de las grandes empresas y, en mucha menor medida, del usuario. Si se sabe que en un cruce de caminos hay muchos choques se pone un semáforo. Pero aquí, por alguna razón, casi nadie hace nada.
Básicamente, hay que controlar en el correo electrónico:
los enlaces falsos que redirigen
las solicitudes de información personal (claves, números de tarjetas, seguridad social, etc.)
Simplemente hace falta un software «universal», sencillo y GRATUITO (mejor si se incorpora en los S.O. y en los navegadores por defecto) que analice esto y advierta al usuario, con claridad, cuando se le pide información personal relevante o se le intenta redirigir a cualquier sitio sospechoso. Y debe funcionar SIEMPRE que se accede al correo-e.
De esta forma se acabaría de una vez con la mayoría de los intentos de phishing.
http://www.a51.nl/sites/default/files/pdf/Invincea-1H-2015-Advanced-Endpoint-Threat-Report.pdf
PD Hay que actualizar la información sobre Phishing en es.wikipedia
Algunas reflexiones:
– La seguridad informática sigue siendo un problema complejo para el usuario normal. Solamente la gestión de contraseñas ya es un engorro si no usas un gestor de contraseñas, y no son sencillos. Mira el Keychain Access de macOS: tiene keychains (login, iCloud, System, System Roots) y categories (Passwords, secure notes, my certificates, keys, certificates). WTF??? Y luego hay sitios web donde no funciona. Normal que los usuarios sigan con un archivo en texto plano de contraseñas en alguna carpeta o usando la misma contraseña para todo. Del 2FA ya ni hablamos… yo todavía no sé explicar de memoria las diferencias entre «two-step verification» y «two-factor authentication».
– El «phishing»: se puede intentar educar a los usuarios, y hay que hacerlo, pero creo que todos podemos ser víctimas de un engaño en un momento dado. Hay engaños burdos, pero los hay muy sofisticados. Darle la contraseña a un compañero o apuntarla en un post-it puede ser imperdonable, pero, ser víctima de un engaño ¿es imperdonable? Imperdonable es que la tecnología no detecte el engaño y lo bloquee.
– Las prácticas de seguridad que yo he visto en 20 años en los profesionales del mundo del desarrollo de aplicaciones son terribles y la tolerancia de los administradores de sistemas también. Eso sí es imperdonable. Si eso es así en ese nivel, los usuarios están disculpados. Si nos ponemos en plan cruel, en las empresas no quedaría nadie.
– La responsabilidades de los fabricantes sigue siendo grande. Microsoft oculta por defecto extensiones de archivos en Windows. ¿culpamos al usuario de hacer doble click en un archivo «fotochula.jpg.exe» que a él le aparecía como «fotochula.jpg»? Google oculta en Gmail la arroba y dominio en direcciones de correo electrónico («paypal» vs «paypal@crackilandia.com»). Adobe ofrece mierdas recomendadas para instalar cuando te instalas Flash Player. Oracle lo mismo con Java. ¿por qué sigue existiendo Softonic?
Siento no recordar datos concretos, como el nombre del conferenciante o el Ministerio al que «atacó»: el conferenciante recibió el encargo de probar hasta qué punto se podía atacar el servidor del Ministerio mediante engaños a los funcionarios, asesorado por un abogado que le decía «no sigas por ahí» cuando era necesario. Contó la historia en plan jocoso durante un evento organizado por una marca de antivirus prestigiosa.
Lo cuento muy resumido:
Preparó un perfil falso de una chica en Facebook, lo llenó de contenidos que le dieran credibilidad y buscó funcionarios de ese Ministerio que tuviesen cuenta en Facebook.
Contactó con unos cuantos, de los que algunos ignoraron el mensaje, otros le contestaron a la defensiva en plan «yo no te conozco de nada, quién coño eres y qué pretendes», uno le respondió educadamente rechazando el contacto por estar casado… y unos cuantos entraron al trapo.
Tiempo después llegó el «te paso una página para que veas mis fotos», esa página descargaba el troyano, el troyano abría la puerta y ¡consiguió entrar al servidor! Paró su «ataque» e informó a quien le había encargado que probase a atacar.
De acuerdo en que los sistemas deberían ser más seguros, sí, pero permitidme que insista: si el usuario no fuese tan confiado, nada habría sucedido así. Si quiere ligar, como mínimo que no lo haga desde el ordenador de la oficina.
Tenéis razón en otra cosa: para este experimento descartó a todos los que abrieron el primer correo desde un móvil no Windows. No solo por su mayor seguridad, sino porque le iba a suponer mucho trabajo atacar a través de móvil, porque parte de lo que usó para ello lo descargó ya hecho para sistemas Windows.
La gente es increíblemente confiada y torpe: en una ocasión me trajo un conocido su portátil porque no podía soportar la enorme cantidad de ventanas de Internet Explorer que se abrían solas y no podía cerrar.
Restauré el equipo al estado de fábrica, actualicé el sistema y le cobré 30 euros. Me costó un rato conseguir que confesase qué había pasado: «es que quería ver el partido sin pagar». Yo le dije que salía más barato bajar al bar de la esquina a ver el partido y tomar una(s) cerveza(s).
A las dos semanas, el ordenador estaba igual o peor que la primera vez… Otros 30 euros, y nuevamente la recomendación de que fuera al bar a ver los partidos.
Un mes después… ¡30 euros más! Fijaos qué buen tipo, que prefirió darme a mí 30 euros cada vez después de ver un partido «gratis», en lugar de bajar al bar de la esquina… ;-)
Ahora habrá aprendido a formatearlo él solito… hace mucho que no me trae el portátil ;-)
El anzuelo femenino (o sexual) siempre ha funcionado desde la noche de los tiempos y sigue y seguirá funcionando.
http://www.seguridadydefensa.com/informes/sexo-espionaje-20854.html
Los rusos, por ejemplo, son expertos en sexo espionaje.
Marie Mendras, experta francesa en el Kremlin, dice que los rusos tienen un ejército de hackers, así como material (vídeo erótico) que puede comprometer a Trump.
Cabe preguntarse si el verdadero problema es que se usen contraseñas. Es decir, el usuario debe saber cómo elegir una buena contraseña (lo cual es todo un arte), que sean diferentes contraseñas para cada sitio (decenas), que además muchos administradores corporativos estúpidamente fuerzan el cambio periódico de contraseña (seguridad ilusoria completamente inútil), todo ello hacerlo con la memoria (nada de anotarlas), y ya de paso el sufrido usuario debe saber evitar el phishing de contraseñas.
¿Para qué se usan las contraseñas?
– Acceso a los equipos: si estamos hablando de tu móvil, con la huella dactilar basta. Para equipos físicamente accesibles por muchas personas, se puede usar cualquier sistema de llave electrónica, como una tarjeta contactless. Las cuales ya se usan en muchas multifunción corporativas, pero (curiosamente) apenas se usan en los PCs.
– Acceso a programas y otros recursos «locales»: lo mismo que en el punto anterior. La app móvil de tu banco también la podrías desbloquear con tu huella (yo ya lo hago), y si ya te has autenticado en el PC corporativo no debería ser necesario autenticarte además en tal o cual programa o cualquier otro recurso.
– Acceso a webs y otros recursos «de Internet»: tan sencillo como que haya un sistema de autenticación público, descentralizado, y abierto, que además puede ser hasta anónimo (cada usuario puede registrar varios apodos). Lo malo es que cada uno de los gigantes defiende su propia solución propietaria, no hay un estándar.
Con esto ya tendríamos un mundo sin contraseñas, o como mucho una única contraseña para la descarga de claves del sistema «de Internet» cada vez que usemos un nuevo equipo. Pero hasta esa contraseña única sería innecesaria si combinamos el DNIe (que ya es contactless) con un lector de huellas.
Existe el estándar OpenID para autenticación en múltiples sitios web con unas credenciales únicas:
https://en.wikipedia.org/wiki/OpenID
Y las grandes empresas de internet lo aceptan (no todas) o son proveedores de credenciales, pero claro, los comercios electrónicos o los sitios más pequeños ni lo conocen.
También existe el estándar OAuth2 para autorización, que está teniendo mucho más éxito para dar acceso a tus datos de una aplicación a otra aplicación sin tener que suministrar credenciales:
https://en.wikipedia.org/wiki/OAuth
Ojalá en los próximos años veamos una reducción del número de usuarios/contraseñas para operar en las aplicaciones o sitios web. Efectivamente existen soluciones mucho más cómodas: la huella dactilar, el escáner facial, la voz y mi favorita: el Apple Watch que desbloquea el acceso al Mac automáticamente, o me pide confirmación como segundo factor (usando Microsoft Authenticator, no Google Authenticator). Pero la pobre Penny no sabría cómo configurarlo sin ayuda ;-)
Ya había oído hablar de OpenID, pero no sabía que, en teoría, está soportado por algunos grandes como Google, Amazon, y MS.
Ahora bien, me parece que todo este apoyo es más teoría que práctica, porque usando mi móvil o mi tablet Android (que ya tienen mi contraseña de Gmail desde que los compré, y el móvil ha sido además desbloqueado con mi huella) me encuentro conque tanto la app Kindle como la web de Amazon requieren que les dé mi nombre de usuario y contraseña en Amazon, y otro tanto pasa incluso con las webs de Google.
Así que la pobre Penny tendrá que esperar, porque incluso Sheldon tiene que lidiar con múltiples identificadores y contraseñas.