Cuando se utiliza la palabra ciberataque, muchas personas se imaginan a un pirata informático encorvado sobre una computadora en un lugar distante, accediendo a las redes de forma remota. Pero los ataques a sus redes no necesariamente tienen que comenzar fuera del sitio. Muchas empresas tienen debilidades en su postura de seguridad física, lo que facilita que los actores malintencionados accedan a sistemas vitales desde dentro de la oficina.
Desde que comenzó la pandemia, muchas oficinas han estado vacías o mucho menos concurridas que el año anterior. Esto crea las condiciones ideales para que los atacantes obtengan acceso físico a ubicaciones abandonadas o con personal mínimo. Si bien las oportunidades de pasar por detrás (seguir a alguien) en las instalaciones han disminuido debido al poco tráfico peatonal, aún es fácil ingresar a un edificio.
Las oficinas con poco personal también le dan al atacante más tiempo para ubicar puntos de entrada desbloqueados o mal asegurados. Hay una serie de herramientas fácilmente disponibles que permiten a un atacante con habilidades mínimas eludir los mecanismos de bloqueo. Si bien la mayoría de las ubicaciones tienen sistemas de alarma, a menudo tienen un horario establecido, algo más que un atacante puede tener en cuenta. Pero un atacante también puede llamar a la puerta de entrada con la misma facilidad.
TOC Toc
En medio de la pandemia, estaba en las oficinas de una cadena minorista, realizando la parte de revisión de seguridad física de un trabajo de ingeniería social. Me hice pasar por un inspector de extintores. Me veía bien, con botas con punta de acero, jeans azules, un portapapeles y una camisa de trabajo que había hecho a medida que combinaba con su proveedor.
El lugar que visité normalmente tenía cerca de 100 personas durante la jornada laboral, pero debido a la pandemia, adoptaron una política de trabajo desde casa y probablemente solo había cinco personas allí cuando visité. Toqué el timbre de la puerta principal varias veces antes de que un empleado abriera la puerta.
Ni siquiera tuve la oportunidad de contarle mi historia de portada antes de que regresara a su escritorio, ubicado cerca de la parte trasera de la oficina. Estaba más irritado por la interrupción de su trabajo que por verificar a un vendedor que dejó entrar al edificio. ¡A veces es así de fácil!
Una vez dentro…
Una vez que un atacante tiene acceso a una ubicación, hay muchas opciones. Podrían hacer algo tan simple como robar equipos que pueden tener información confidencial o hacer algo más malicioso que podría permitir el acceso persistente a la red.
Para un acceso persistente, podrían ubicar un conector de red en vivo y conectar un dispositivo que devuelva la llamada a una IP controlada por el atacante. El atacante podría usar esto como su punto de apoyo dentro de la red. Un atacante también podría conectar un dispositivo inalámbrico a la red y, siempre que estuvieran a una distancia razonable, podrían simplemente conectarse a través de Wi-Fi.
Estos son solo dos ejemplos de dispositivos que se utilizan, pero existen muchos otros métodos. Un atacante podría simplemente borrar la contraseña del administrador local si los discos duros de la estación de trabajo no están encriptados. El atacante simplemente iniciaría sesión en el host para comenzar un ataque o cargar una baliza que se conectaría de nuevo a su servidor de comando y control (C2).
Esto puede parecer poco realista, pero en algunos de los compromisos en los que he estado, pisos enteros estaban desprovistos de empleados y pude trabajar a un ritmo relativamente tranquilo. Antes de la pandemia, normalmente tenía prisa y tenía que ubicar un espacio de trabajo vacío antes de poder comenzar.
Debido a las recomendaciones de distanciamiento social, generalmente se le da un amplio margen con las pocas personas que hay en un lugar. Esto también le da al atacante más tiempo para hurgar en los escritorios para encontrar información confidencial, como contraseñas o información de identificación personal (PII).
¿Qué puede hacer para mantener segura su ubicación física, incluso si no está allí?
Revisiones de seguridad física
Si bien muchas empresas se han recuperado de la difícil tarea de habilitar una fuerza de trabajo remota en un período de tiempo tan corto, ahora comienza la tarea de tapar cualquier brecha de seguridad que se descubrió durante la pandemia. Recomiendo encarecidamente que se lleve a cabo una revisión de seguridad física.
Si bien puede pensar que sabe qué lagunas existen, otro par de ojos puede identificar debilidades adicionales. Los hallazgos en un informe de un experto externo ayudan a validar las preocupaciones actuales y las solicitudes de ayuda para abordar estas deficiencias.
Más educación para los empleados
Es posible que los empleados ya estén familiarizados con la ingeniería social a través de la capacitación sobre phishing. Los empleados generalmente no están tan familiarizados con los ingenieros sociales que pueden presentarse físicamente en la ubicación. Las personas son útiles por naturaleza y seguirán siendo un eslabón débil dentro de una organización, por lo que es imperativo que la capacitación periódica de concienciación sobre seguridad cubra una amplia gama de temas, incluidos los riesgos remotos y en el sitio.
Protección de red multicapa
La protección de la red requiere varias capas para garantizar que nada se escape. Debe existir un control de acceso a la red para identificar y alertar cuando se detecte una nueva dirección de control de acceso a medios (MAC). Aunque las direcciones MAC pueden falsificarse, esto podría detectar algunos dispositivos maliciosos. También se deben realizar barridos regulares para localizar puntos de acceso inalámbricos no autorizados. Aunque los puntos de acceso inalámbricos se pueden configurar para que no difundan sus identificadores de conjuntos de servicios (SSID), aún es posible captar sus transmisiones si está escuchando con las herramientas adecuadas.
Los dispositivos no autorizados, como los dispositivos USB, son más difíciles de atrapar porque a menudo se hacen pasar por dispositivos inocuos, como un teclado. El registro minucioso de los dispositivos USB puede ayudar a detectar estos dispositivos. Las acciones realizadas por estos dispositivos también podrían ser detectadas por la protección de endpoints. Afortunadamente para los defensores, la protección de endpoints se ha vuelto mejor para detectar acciones maliciosas, pero los atacantes motivados generalmente encontrarán una manera de eludirla.
Y para proteger los discos duros, se recomienda encarecidamente el cifrado. Si roban una computadora, es poco probable que un atacante pueda recuperar información del sistema. Esto también evita que un atacante simplemente borre la contraseña de una cuenta de administrador local para iniciar sesión en el sistema.
Si bien lo anterior es solo un puñado de escenarios que podrían desarrollarse, es importante recordar que la seguridad se trata de una defensa en profundidad. Los pequeños pasos para aumentar su postura de seguridad valdrán la pena con el tiempo y ayudarán a evitar que su organización sea el tema del próximo artículo de noticias sobre una infracción.
Kyle Gaertner es gerente de operaciones de seguridad y cumplimiento a Defensa digital, a Empresa HelpSystems y líder en soluciones de evaluación de amenazas y gestión de vulnerabilidades. Síguelo en LinkedIn.