Cabecera blog ciberseguridad

Así «pican» habitualmente los trabajadores de empresas en ejercicios de Red Team

En la realización de los ejercicios de Red Team es necesario engañar a los trabajadores de empresas para conseguir los objetivos marcados. Malas prácticas en ciberseguridad, descuidos, falta de conocimientos, escasa concienciación sobre los peligros de los ciberataques…

A menudo, las plantillas son el eslabón más débil de la estrategia defensiva de las empresas. De ahí que los actores maliciosos busquen engañar a los trabajadores de las compañías para conseguir un vector de entrada a su infraestructura tecnológica.

Si tenemos en cuenta que los ejercicios de Red Team son simulaciones de ciberataques en las que profesionales de ciberseguridad emplean técnicas, tácticas y procedimientos de los ciberdelincuentes, no debe sorprendernos que una de sus tareas sea lograr que los trabajadores de empresas caigan en sus artimañas.

1. Engañar a los trabajadores de empresas en ejercicios de Red Team para colarse en ellas es solo el primer paso

Al igual que hacen los cibercriminales, los profesionales del Red Team recurren a técnicas de ingeniería social para lograr engañar a los trabajadores de las empresas en las que realizan sus ejercicios. De ahí que resulte crítico que los profesionales sean susceptibles de ser engañados.

Phishing, spear phishing, smishing, vishing… La ingeniería social permite a los equipos de Red Team conseguir que los trabajadores de empresas realicen una acción que les permita acceder a las redes corporativas.

Una vez dentro de la red de una empresa, el Red Team puede seguir avanzando en la Cyber Kill Chain hasta cumplir los objetivos establecidos a la hora de diseñar el ejercicio.

2. Objetivo del Red Team: Poner a prueba a toda la organización

En este sentido, debemos tener en cuenta que una campaña de Red Team necesita tener un recorrido amplio, contemplando múltiples situaciones asociadas con posibles escenarios de compromiso reales, de cara a realizar una cobertura lo más cercana a la realidad que aporte un valor añadido al cliente.

A lo largo de todo este tiempo, los profesionales del Red Team evalúan qué acciones pueden llevar a cabo y desarrollan una amplia variedad de técnicas, tácticas y procedimientos. El trabajo que se realiza es lo más amplio posible y representativo de un compromiso real. De tal manera que se puedan analizar y detectar todos los problemas y debilidades que tiene la empresa en materia de ciberseguridad.

Para ello, el Red Team necesita poner a prueba las capacidades defensivas de la organización de manera integral. Esto implica evaluar:

  • La tecnología.
  • Los procesos.
  • El comportamiento de las personas que forman parte de la empresa.

3. Técnicas orientadas al robo de credenciales

En lo relativo a las técnicas que emplean los profesionales del Red Team para engañar a los trabajadores de las empresas podemos destacar dos grandes tipos que giran en torno a campañas de spear phishing contra targets específicos de las organizaciones.

El primero de ellos lo constituyen las técnicas que se emplean para conseguir el robo de credenciales. A través del email u otras vías como SMS o llamadas telefónicas se incita a usuarios específicos a que accedan a un entorno web con apariencia de ser legítimo como un falso portal de login. Por ejemplo, se puede requerir a un profesional de la empresa que firme un determinado documento. Para hacerlo, debe autenticarse en el portal de la empresa introduciendo sus credenciales.

Un factor esencial en el éxito de estas técnicas para engañar a los trabajadores de las empresas en los ejercicios de Red Team es la credibilidad del contexto que se le da a los profesionales. Si el email y la petición que se realiza encajan con la operativa diaria de la empresa resulta improbable que levante sospechas. Más aún cuando la web falsa guarda una coherencia estética con la página que se está suplantando.

Mediante las técnicas orientadas al robo de credenciales no solo se pueden conseguir el usuario y la contraseña de un usuario, sino que se puede forzar una autenticación real, situarse en el medio y obtener un token de sesión cuando login y password han sido validados.

¿Por qué es tan importante la sesión? Gracias a ella, el Red Team puede acceder a recursos corporativos, aunque el procedimiento de login requiera un doble factor de autenticación. Además, la sesión puede resultar válida durante días, de tal manera que no sea necesario volver a usare login y password para loguearse.

4. Técnicas orientadas a la infección

El otro gran grupo de técnicas que emplean habitualmente los profesionales de ciberseguridad para engañar a los trabajadores de las empresas en los ejercicios de Red Team son las técnicas que sirven para infectar equipos corporativos.

En este caso, se busca que los trabajadores descarguen e instalen un malware. Si retomamos el ejemplo anterior, se puede convencer a un profesional de que para firmar el documento debe descargar y ejecutar el archivo.

Una vez que el programa malicioso está instalado en un equipo, este ya estará comprometido. Además, los equipos de Red Team testean previamente los software que emplean para asegurarse de que no son detectables por los mecanismos defensivos y no se genera ninguna clase de alerta.

Como señalamos antes, una vez que los profesionales del Red Team ya han comprometido alguna máquina o disponen de credenciales de acceso ya están dentro de la red corporativa y pueden avanzar en la Cyber Kill Chain como harían unos ciberdelincuentes.

5. Técnicas que no recurren al phishing para engañar a los trabajadores de empresas en ejercicios de Red Team

Más allá de las técnicas que venimos de explicar en las que el phishing tiene un papel preponderante y son las más empleadas, los equipos de Red Team también pueden recurrir a otras técnicas en las que entran en juego tanto el engaño como el descuido de los trabajadores.

A. Creación de puntos de acceso falsos

Es posible crear puntos de acceso (AP) ilegítimos con el mismo nombre que los AP reales para engañar a los usuarios que intentan acceder, presentarles un panel con apariencia de ser corporativo y conseguir que introduzcan sus credenciales.

B. Recopilación de credenciales por configuraciones indebidas en móviles personales

En muchas empresas existe una política de Bring Your Own Device, de ahí que no solo se empleen dispositivos corporativos, sino también dispositivos de ámbito personal como teléfonos móviles. En caso de que los perfiles de acceso a redes corporativas se hayan configurado sin definir todas las medidas adecuadas de seguridad, es posible para un atacante, recopilar flujos de autenticación que pueden ser crackeados para, finalmente, recuperar las credenciales en texto claro. De tal manera que se podría conseguir una vía de entrada a la empresa a través de la red WiFi.

C. Exposición de credenciales corporativas en plataformas externas

Esta técnica se suele usar como complemento a otras y consiste en emplear:

  • Credenciales personales de los profesionales de las empresas que son reutilizadas por estos en el ámbito corporativo.
  • Usuarios y contraseñas obtenidos en ataques anteriores que se pueden encontrar en plataformas y que aún siguen siendo válidos.
  • Aprovechar secretos que se publican de manera no intencionada en repositorios de código público. Por ejemplo, pensemos en una clave API que permite acceder a una aplicación.

D. Watering Hole

En el día a día, los profesionales de una empresa pueden acceder de manera habitual a plataformas que no forman parte de la red interna de las empresas. Como consecuencia de ello, los trabajadores tienen plena confianza en estos proveedores externos y son menos cautelosos a la hora de acceder a ellos.

Mediante esta técnica se busca comprometer una plataforma externa empleada por la organización y aprovecharla para acceder a la compañía, ya sea, por ejemplo, obteniendo credenciales de un usuario o forzando la instalación de algún tipo de software aparentemente legítimo.

Esta técnica no es tan empleada en el transcurso de un Red Team porque implica atacar a plataformas ajenas a la empresa en la que se está realizando el ejercicio, pero se trata de una técnica maliciosa muy peligrosa porque resulta difícil de detectar.

E. USB Dropping

Se trata de una técnica de ingeniería social que consiste en dejar un dispositivo con software malicioso en las inmediaciones de una empresa. Algún trabajador lo recoge y lo enchufa por mera curiosidad en su equipo. De esta manera se consigue infectar el dispositivo.

F. Despliegue de dispositivos fraudulentos en la empresa

En línea con la técnica anterior, también es posible que los profesionales del Red Team se aprovechen de los despistes de los trabajadores de las empresas y conecten dispositivos maliciosos en equipos corporativos sin que ninguna persona de la plantilla se dé cuenta.

Conclusiones: Pon a prueba tu compañía con un ejercicio de Red Team

En definitiva, los equipos de Red Team disponen de amplios conocimientos y experiencia para lograr engañar a los trabajadores de las empresas en los ejercicios de Red Team. Esto es así porque:

  • Cuentan con una gran cantidad de información sobre las técnicas, tácticas y procedimientos que emplean los actores maliciosos para atacar a las empresas.
  • Son capaces de llevar a cabo simulaciones representativas de ciberataques reales.
  • Ponen a prueba a las organizaciones en su conjunto y obtienen una amplia panorámica de las debilidades que podrían explotar con éxito los actores maliciosos.
  • Proponen recomendaciones para subsanar los problemas y fortalecer el nivel de ciberseguridad de las empresas.

Si quieres evitar que los empleados de tu empresa «piquen», ponte en contacto con nuestro equipo para poner en marcha un ejercicio de Red Team.