Campañas de concienciación para empleados

Hoy en día está más que aceptado por las empresas que el eslabón más débil en la cadena de la ciberseguridad son los empleados. Son el objetivo de la mayor parte de campañas de ingeniería social, ya sean mediante correos electrónicos que suplantan una web legítima (phishing), mediante llamadas telefónicas suplantando a un técnico de soporte (vishing) o bien mediante ficheros adjuntos llamativos.

Al hablar de Ingeniería Social es inevitable acordarse de los 4 principios que indicaba Kevin Mitnick:

Sin embargo, al final, las personas aprendemos de los fallos y siempre es mejor hacer simulacros mediante campañas de concienciación controladas antes de ser víctimas de ellas. De esta manera, se pueden aplicar las siguientes campañas:

• Campañas de phishing. Envío masivo de correos a las posibles víctimas con un enlace para que accedan a una página web suplantada con un aspecto visual casi exacto al sitio suplantado. El objetivo es robar las credenciales de los empleados.Del mismo modo, cuando el empleado cae en la “trampa”, se le redirecciona a una web indicándole que ha sido víctima, pero por suerte esta vez se basa en un simulacro y se le facilita una serie de recomendaciones y consejos para no volver a caer.En función de la complejidad que se quiere aplicar a la campaña de phishing, se pueden aplicar técnicas de typosquating o cybersquating, o directamente el envío a directivos o personal VIP (Spear-phishing) a los que anteriormente se ha estudiado.
• Campañas de vishing. La técnica de vishing se basa en mediante llamadas telefónicas ganarse la confianza del oyente y obtener información.Por ejemplo, la suplantación de un técnico de soporte que llama a los empleados para la revisión de equipos y solicita información como versión del sistema operativo, dirección IP, qué antivirus tiene,…o hasta introduce «esto» en el terminal.Como buen fan de Mr Robot, os dejo este vídeo en el que se aplica algo similar pero físicamente.
• Campañas de smshing. Son similares a la de phishing tradicional, salvo con la diferencia que la recepción del contenido con el enlace sospechoso es a través de un SMS del dispositivo móvil.
• Campañas de ficheros adjuntos. Estas campañas se basan en el envío de correos electrónicos con ficheros adjuntos. El objetivo es que el empleado descargué dichos adjuntos y los abra.Por ejemplo, se pueden añadir ficheros como documentos pdf, Excel o PowerPoint sobre descuentos.En el caso de ficheros de Office, la idea es inyectar código PowerShell en las macros, de tal manera que se invitará al empleado a habilitar las macros para poder visualizar correctamente el documento.
• Campañas de USB maliciosos. A diferencia de las anteriores, requiere acudir físicamente a las oficinas del cliente y repartir un par de dispositivos USB en zonas concurridas (máquina del café o agua, impresoras, áreas de descanso…).Se pueden dividir dos categorías:

1. USB estándar: Es similar a la campaña de ficheros adjuntos, pero a diferencia de la anterior, se conecta el USB con el fichero malicioso almacenado. El “cebo” es introducir un nombre muy llamativo como nómina del CEO, para que los empleados cliquen por curiosidad, aun sabiendo que no deberían.
2. Fake USB: Se base introducir un falso USB, pero que realmente se comporta como un teclado que ejecuta una serie de comandos como el acceso a una web controlada por los atacantes o la descarga de cierto programa. Para más información, os dejo un enlace de un compañero de Telefónica que lo explica perfectamente.

Finalmente, la aplicación de esta serie de campañas de concienciación le sirve a las empresas para identificar el nivel de concienciación de sus empleados, así como detectar qué departamentos o particulares requieren formaciones en materia de concienciación más específica. Adicionalmente, es una medida para revisar los procedimientos internos de actuación ante incidentes, revisar los filtros de spam, configuraciones por defecto de equipos o móviles y controles de acceso al edificio.