Social Security Risk
BENEFICIARIO
INTEGRANTES
- Sandra Milena Jerez Valero
- Mauricio Diaz Torres
AÑO
2023
PALABRAS CLAVE
Phishing, ingeniería social, riesgo
CONTEXTO
La Ingeniería social es una técnica empleada por los ciberdelincuentes para engañar al usuario y conseguir así que haga cosas como ejecutar un programa malicioso o proporcionar sus claves de acceso.
Según el informe DBIR [4] de 2022, se ocasionaron aproximadamente 2,249 incidentes de esta naturaleza, de los cuales, en 1,063 se confirmó fuga de datos de la compañía. Por otra parte, este mismo informe DBIR [1] muestra que se han mejorado las capacidades de detección y reporte por medio de ejercicios de phishing controlados. Esto muestra que las campañas de sensibilización y ejercicios de ingeniería social son vitales para una empresa, ya que reflejan su capacidad para transmitir efectivamente la cultura de seguridad en todos los niveles. Adicionalmente, el informe de Ponemon Institute [2] del año 2022 indica que los incidentes de robo de credenciales casi se han duplicado; en promedio esto ha ocasionado un costo de $804,997 por incidente para las compañías víctimas de este tipo de ataques. Este mismo informe revela que la técnica más usada por los ciberdelincuentes es el ataque de ingeniería social, principalmente el phishing.
En la actualidad, compañías especializadas en seguridad, como 2Secure, incluyen en su portafolio de concientización servicios como:
• Piezas enviadas vía correo electrónico a los colaboradores con recomendaciones de seguridad.
• Charlas explicativas sobre ingeniería social.
• Campañas de phishing, donde el cliente proporciona el alcance, temática.
• Otros tipos de ejercicios de ingeniera social como smishing, vishing, QRLjacking, etc.
El resultado de cualquiera de estas herramientas es un informe con estadísticas y recomendaciones genéricas de seguridad que pueden o no aplicar a la compañía. Es necesario ir más allá de esta visión general y considerar las consecuencias en caso de compromiso de cuentas de usuario, y enfocarse en situaciones más específicas para identificar los riesgos asociados, mitigarlos de la mejor manera e intentar minimizar la cantidad de incidentes que puedan presentarse.
Referencias:
[1] Verizon. (2022). 2022 Data Breach Investigations Report (DBIR). [Online]. Disponible en: https://www.verizon.com/business/resources/T7fa/reports/dbir/2022-data-breach-investigations-report-dbir.pdf [Consultado en fecha: 11 de febrero de 2023].
[2] Proofpoint Inc. "The Cost of Insider Threats." [Online]. Available: https://www.proofpoint.com/sites/default/files/threat-reports/pfpt-us-tr-the-cost-of-insider-threats-ponemon-report.pdf . [Accessed: 12-Feb-2023].
PROPUESTA
- Módulo de OSINT: obtiene información expuesta en internet sobre los empleados de la compañía, incluyendo perfiles de redes sociales, direcciones de correo electrónico, números de teléfono, entre otros para ser utilizados en el módulo de Phishing y Smishing.
- Módulo de Phishing: simula ataques de phishing mediante el envío de correos electrónicos falsos para obtener información confidencial de los empleados.
- Módulo de Smishing: simula ataques de ingeniería social a través de mensajes de texto para obtener información confidencial de los empleados.
- Módulo de Análisis de Riesgo: para evaluar los resultados del Módulos de Phishing y Smishing y perfilar el riesgo de cada empleado, tomando en cuenta factores como si cayó en la trampa o ingresó a un portal falso e introdujo sus credenciales. Y también utilizando los privilegios de cada empleado dentro de la compañía. La herramienta tendrá la capacidad de extraer datos de los sistemas de información de la compañía para identificar qué empleado tiene más privilegios y, por ende, mayor riesgo para la compañía.
RESULTADOS
Inicialmente, se logró cumplir una buena parte de objetivos específicos que se propusieron al inicio del proyecto.
Se logró la extracción de información de las diferentes fuentes OSINT integradas en el proceso, dando como resultado la información básica para poder ejecutar el siguiente paso que es enviar el correo al listado obtenidos por el módulo OSINT, si bien no se probó la posibilidad de construir una plantilla con base en la información colectada, se espera que en versiones posteriores se pueda integrar esta funcionalidad a través por ejemplo de IA que ayude en la automatización de este paso y sea transparente la construcción de la plantilla o pretexto para el correo objetivo.
También se logró probar el módulo de análisis de riesgo, el factor diferenciador de este software frente al resto de herramientas que existen en el mercado de simulación de ingeniería social, dando como resultado, una medición de riesgo con base en los privilegios, accesos, rol y el resultado de las fuentes OSINT. Igualmente se presentan unas recomendaciones que pudieran considerar para minimizar la probabilidad de materialización de un incidente de seguridad de la información.
Se evaluó económicamente la propuesta de campaña de ciberseguridad para la empresa, obteniendo un TIR muy superior al que inicialmente esperábamos, pero se confía que esta herramienta se convierta en un recurso fundamental (como lo son en este momento una herramienta de detección de malware y anomalías o una herramienta de seguridad perimetral) para las compañías a la hora de realizar campañas de sensibilización.
En conclusión, este proyecto permite medir la eficiencia de las campañas de sensibilización en pro de la cultura de seguridad de la información dentro de la compañía, el reforzar periódicamente la importancia de las buenas prácticas generará entre los empleados la incorporación de ellas en su trabajo diario con lo cual pudiera minimizar el riesgo de la aparición de un incidente de seguridad que pudiera afectar la confidencialidad de la compañía.