Hoy en día los programas de ordenador permiten la ejecución de múltiples funciones, y algunas de ellas pueden ser provistas a través de scripts* y permitir realizar operaciones de manera automática. Esto es bueno desde un punto de vista de automatización de tareas, pero no faltan quienes aprovechan estas funciones para ejecutar código mal intencionado en nuestros ordenadores y así obtener acceso, robar información, etc.
scripts*: Un Script es un archivo de texto que contiene una secuencia de comandos a ser ejecutados por un ordenador. Los hay de distintos tipos. Por ejemplo: JavaScript, PowerShell, VBScript.
Cuando estos son utilizados con intensiones fraudulentas pueden servir de medio para infectar nuestros ordenadores con distintas amenazas:
Es común que, sin pensar el alcance, compartamos información en redes sociales del tipo: para qué empresa trabajamos, qué tipo de trabajo tenemos, quienes son los clientes, tipo de tecnología utilizada. Incluso muchos suben fotografías del trabajo sintiéndose orgullosos, ¿quién no lo estaría? Y esto no está mal, es una forma de mostrar nuestras capacidades, de conectarnos, darnos a conocer. Pero debemos ser conscientes que este es un punto de entrada para quien quiera hacernos caer en el error de abrir un documento supuestamente importante, pinchar en un enlace de un supuesto proveedor, transportista, etc.
¿Quién no ha recibido un sms en su móvil informando que no han podido entregar el paquete porque faltan datos de su dirección? Sí, cuidado porque este tipo de phishing* está muy de moda.
phishing*: técnica de ingeniería social que consiste en el envío de correos electrónicos, sms que suplantan la identidad de compañías u organismos públicos y solicitan información personal y bancaria al usuario.
Cuando recibimos este tipo de comunicación, siempre que sospechemos del remitente o no, debemos evitar abrir documentos adjuntos, clicar en los enlaces, o responder con información sensible.
También pude suceder que el email sea válido, debido a que el atacante pudo robar las credenciales del remitente, por eso es importante prestar atención a la manera de expresarse de nuestro colega.
Para comprender mejor cómo funcionan estos tipos de ataques maliciosos plantearemos la siguiente situación.
En la empresa “X S.L.” el personal de administración recibe un reclamo a nombre de uno de sus clientes, en el correo envía una factura en formato de Microsoft Word. La persona a cargo en ese momento abre el email e inmediatamente intenta abrir el documento adjunto.
Nota: Word permite la ejecución de Macros, estos macros permiten ejecutar rutinas como cualquier script en nuestros ordenadores. Por omisión Word bloquea la ejecución de Macros para archivos de los cuales no somos propietarios. Pero, nos pregunta si queremos habilitar la ejecución de estos.
Continuando con el relato, el usuario preocupado por resolver el inconveniente de su cliente habilita la ejecución de Macro para poder ver la supuesta factura. A partir de ese momento se ejecutan las rutinas maliciosas dando lugar a una brecha de seguridad que puede afectar a toda la organización.
Esto permite al atacante:
Sus objetivos pueden ser variados:
Entendamos los pasos de un ataque de este tipo.:
Cómo ya vimos desde la recepción de un simple email o sms podemos comprometer no solo nuestro ordenador si no todo dispositivo conectado a nuestra red. Comprendiendo los pasos anteriormente mencionados podemos tomar algunas medidas de prevención y mitigación de daños.
a. No permitir la ejecución de MACROS para archivos de los cuales no somos propietarios.
b. No permitir la ejecución de scripts de PowerShell sin firmar por entidades de confianza.
Todas estas herramientas, algunas de hardware y otras de software, la organización de la información y, principalmente, la capacitación de todo el personal; ayudan a mitigar el impacto de una posible intrusión.
Si analizamos las medidas de seguridad propuestas, hay varias que podemos implementar con una baja inversión y, en lo personal, creo que es el primer paso que deberíamos tomar dentro de toda organización.
Espero que esta pequeña nota ayude a tomar conciencia del daño que un ataque cibernético puede causar a nuestra organización y de las medidas que podemos tomar para mitigar el mismo.
Déjenos su solicitud, uno de nuestros comerciales lo contactará a la brevedad.