Una de las reglas más frustrantes de la ciberseguridad es que, independientemente de las inversiones que hagan las organizaciones en su tecnología o de lo sofisticada que sea su arquitectura, suele ser más fácil piratear a una persona o un proceso que romper una tecnología. La autenticación multifactor (MFA) es tan eficaz que los atacantes no se molestan en atacarla directamente: en su lugar, buscan formas de eludir la AMF y dirigirse a otras capas empresariales o usuarios para afianzarse en un entorno.
Para eludir la AMF, los ciberdelincuentes utilizan correos electrónicos, mensajes de texto y notificaciones fraudulentos supuestamente procedentes de "una cuenta de correo electrónico del servicio de asistencia" para dirigirse a los usuarios de bombardeo inmediato y Fatiga del AMF ataques. Pero, ¿qué ocurre cuando los hackers evolucionan sus tácticas y van a por el propio servicio de asistencia?
No es sólo una cuestión teórica. Según los informes, Caesars Entertainment pagó $15 millones después de que un grupo de ciberdelincuentes "consiguiera infiltrarse y perturbar sus sistemas". La organización informó que la brecha comenzó en parte por "un ataque de ingeniería social a un proveedor de soporte informático subcontratado". El año pasado, LAPSUS$ llamó al servicio de asistencia de una "organización e intentó convencer al personal de asistencia de que restableciera las credenciales de una cuenta privilegiada".
El ataque a Caesars Entertainment demuestra por qué las organizaciones necesitan reforzar sus servicios de asistencia. Pero hablar es fácil: desarrollar operaciones que den prioridad a la seguridad requiere apoyo de la dirección, inversión técnica y de los empleados, formación y mucho más. Es importante destacar que, aunque algunos de los ataques más recientes se han dirigido específicamente a los servicios de asistencia, no se trata de que éstos sean especialmente susceptibles de sufrir ataques, inseguros o de alto riesgo. Todo lo contrario: las organizaciones deben aplicar los principios de la seguridad ante todo a sus servicios de ayuda. cada proceso empresarial. Son todos en peligro.
Dicho esto, Araña dispersa y ALPHV/BlackCat han puesto a los servicios de asistencia en el punto de mira recientemente. Así que vamos a repasar algunas de las mejores prácticas que los equipos de seguridad y los servicios de asistencia pueden adoptar y las preguntas que deben hacerse para desarrollar un servicio de asistencia de confianza cero.
En la mayoría de las empresas, los centros de asistencia (o centros de servicio) forman parte del panorama informático. Cumplen diversas funciones, pero a menudo son el primer punto de contacto para alguien que no puede iniciar sesión en su ordenador o tiene problemas para acceder a los recursos. Para resolver estos problemas, el servicio de asistencia puede llevar a cabo algunas acciones de alto riesgo, entre las que se incluyen:
- Restablecer contraseñas
- Eliminación de MFA para usuarios bloqueados
- Crear una nueva cuenta
Eso es sólo el principio: el personal del servicio de asistencia puede ser el punto de entrada para realizar algunas acciones aún más arriesgadas, como crear cuentas administrativas o eliminar temporalmente la AMF por completo para ayudar a solucionar un problema en todo el sistema. Incluso si el personal del servicio de asistencia no puede realizar esas acciones directamente, puede abrir tickets para otros grupos que sí puedan.
Son esas acciones las que pueden hacer del servicio de asistencia un objetivo tan atractivo para un atacante: un servicio de asistencia puede suspender o eludir las políticas de seguridad. Además, como las organizaciones quieren que sus usuarios y clientes sigan conectados, sean productivos y estén contentos, a los actores de amenazas les resultará fácil encontrar la información de contacto del servicio de asistencia.
La buena noticia es que, aunque el servicio de asistencia puede representar riesgos significativos, los equipos de seguridad pueden minimizar esos peligros dando prioridad a la identidad, la documentación de procesos, la automatización y el desarrollo de la defensa en profundidad.
Empiece por conocer su servicio de asistencia: ¿quién lo atiende? ¿Qué suelen hacer? ¿Qué podría ¿Qué hacen? ¿A qué tienen acceso y por qué lo necesitan?
Toda organización debería preguntarse cuánto acceso tiene su servicio de asistencia a su entorno. Los equipos de seguridad tendrán que revisar periódicamente esa respuesta teniendo en cuenta el concepto de mínimo privilegio. Para acercarse a la confianza cero, el servicio de asistencia sólo debería tener acceso a las funciones que necesita para realizar su trabajo cuando las necesita. El acceso administrativo de gran alcance para el personal del servicio de asistencia es un no-no.
Un buen árbitro de esto es el catálogo de servicios del servicio de asistencia: el personal de asistencia debe tener el acceso necesario para ejecutar esos servicios y sólo esos servicios. El equipo de seguridad debe revisar si el personal del servicio de asistencia tiene más derechos de los que necesita, en particular para acciones que podrían ajustar la configuración de seguridad de la identidad de un usuario, y si es así, garantizar los controles adecuados en torno a esos derechos.
Una vez que tenga una idea de lo que suele hacer el servicio de asistencia y de lo que podría hacer, pida que le muestren sus manuales y la documentación de los procesos. Si no los tienen, es hora de redactar algunos y revisarlos para comprobar que se siguen buenas prácticas de seguridad, incluida la verificación de la identidad.
Ya que estamos, los equipos de seguridad también deberían hacer hincapié en que las acciones de identidad de mayor riesgo deberían seguir procesos de gestión de cambios estándar: acciones como añadir una nueva federación o un nuevo inquilino a su directorio deberían seguir procesos más estrictos. Si alguien intenta iniciar esas acciones de alto riesgo fuera de un proceso normal, su sistema de seguridad debería detectar el intento, alertar a seguridad y bloquearlo.
Y no se limite al equipo del help desk. Aunque los servicios de asistencia tienen mucho margen para ayudar a los usuarios, a veces necesitan la colaboración de otro grupo para realizar tareas complejas o arriesgadas. Si tiene más de un grupo trabajando juntos, asegúrese de que cada equipo sabe qué tareas requieren más de una función, quién verifica la solicitud y cómo documentarla.
Los ciberdelincuentes explotarán cualquier suposición que hagas sobre qué equipo es responsable de qué acción. Si un VIP dice que ha contratado a un nuevo director que necesita solicitudes de administración inmediatamente, ¿cómo recibe el servicio de asistencia esa solicitud, la verifica y se coordina con otros equipos? Debe comprobar todas las suposiciones para asegurarse de que la solicitud procede de su organización y de que no está ayudando a los malos.
Los empleados del servicio de asistencia tienen que escuchar de sus equipos de dirección y seguridad que deben seguir los procesos establecidos, exigir documentación y verificar a los usuarios-.especialmente para solicitudes excepcionales, a fin de mantener una práctica segura.
Su servicio de asistencia debe saber que los equipos de seguridad y liderazgo les cubren las espaldas. No se trata sólo de un cambio técnico u operativo, sino de un valor cultural que la dirección debe cultivar en toda la organización. Porque es igual de probable que las solicitudes de alto riesgo provengan de líderes internos, personalidades externas o actores de amenazas que podrían ponerse en contacto con su equipo de atención al cliente con una solicitud "urgente" para resolver un problema u obtener algún tipo de acceso.
En esas situaciones, un empleado del servicio de asistencia no siempre puede decir "No". En su lugar, cultive la tecnología, el proceso y la cultura que les permita decir: "Sí, y esto es lo que necesito que hagas para conseguirlo". Tener esos pasos programados de antemano -y saber que la dirección y el equipo de seguridad apoyarán al servicio de asistencia cuando se requieran pasos adicionales- puede marcar la diferencia a la hora de evitar una brecha.
Pero no se trata sólo de un proceso descendente: las organizaciones deben utilizar automatización cuando tenga sentido limitar su exposición a procesos manuales o a la presión de los VIP. La automatización no será una panacea: es posible que el servicio de asistencia siga teniendo que responder a las llamadas que solicitan excepciones y remitir a las personas que llaman de nuevo a la automatización o disponer de un procedimiento de escalado que requiera aprobaciones de confianza.
Supongamos que ha dado todos los pasos anteriores: se ha reunido con sus servicios de asistencia, ha comprendido lo que pueden hacer, ha catalogado las acciones de mayor riesgo a las que hay que dar prioridad, ha creado documentación y su equipo directivo explica de forma rutinaria que su organización siempre errará por el lado de la seguridad, aunque ello suponga molestias para un usuario.
La siguiente pregunta que debe responder es cómo verificará la identidad su servicio de asistencia o su equipo de atención al cliente. La autenticación de la identidad del usuario es absolutamente fundamental, porque por muy bien diseñada o documentada que esté la seguridad de su servicio de asistencia, resultará ineficaz si alguien de su equipo trabaja para satisfacer una solicitud a la que el usuario no tiene derecho.
Recientemente, la verificación visual se ha postulado como una forma de abordar los problemas del phishing. Las organizaciones pueden revisar NIST 800.63A para ver si las capacidades necesarias para la verificación "Superior" de la fuerza tienen sentido para su situación. Dados los requisitos técnicos necesarios para llegar a la verificación visual independiente y la formación que su servicio de asistencia necesita para aplicar este mecanismo, esto debe hacerse con precaución. La verificación visual podría seguir siendo susceptible de deepfakes, que cada vez son más fáciles de lograr, si estamos hablando de un help desk remoto que no conoce a la persona que realiza la solicitud. Debido a estos retos, soy escéptico sobre la eficacia de la verificación visual en la mayoría de las situaciones.
En su lugar, las organizaciones pueden utilizar un enfoque tradicional de defensa en profundidad y MFA para verificar que alguien es quien dice ser. Un método de solicitud y verificación bien formulado puede comenzar con un único vector de confianza inicial -como un correo electrónico definido o el inicio de sesión en un portal de asistencia-, pero también debe integrar factores adicionales como un contacto fuera de banda que utilice un segundo sistema de confianza. Los métodos para utilizar un contacto fuera de banda podrían incluir:
- Aprobación del gestor: compruebe sistemáticamente que el gestor aprueba la solicitud de acceso en su sistema de tickets.
- Llame al jefe (en el caso de los empleados) o al contacto registrado (en el caso de los clientes) para que verifiquen si la solicitud es válida. Por lo general, un gestor dispondrá de un método fuera de banda para ponerse en contacto con sus empleados.
- Organice una conferencia telefónica en la que participen el empleado del servicio de atención al cliente y el usuario que realiza la solicitud. A continuación, pida a una tercera persona que se una a la llamada, como un directivo o un miembro del equipo, para verificar visualmente al usuario y su solicitud.
- Para agilizar la aprobación, también podría sustituir a un compañero o asistente extraído del directorio corporativo para verificar la solicitud.
Cualquier sistema de verificación puede fallar, pero la combinación de algunos elementos no relacionados para validar la identidad antes de atender una solicitud de alto riesgo puede ayudar a garantizar que su servicio de asistencia técnica esté reforzado frente a la mayoría de los intentos de suplantación de identidad. En los ejemplos citados, ten en cuenta lo cerca o lejos que están los elementos en el panorama técnico; por ejemplo, si eres una tienda de Microsoft que utiliza Active Directory, M365 para el correo electrónico y Teams, es posible que no quieras combinar esos elementos que están entrelazados si quieres el enfoque MFA más sólido.
Otra forma de reforzar su servicio de asistencia y otras operaciones empresariales contra ataques de ingeniería social como éste es mediante la comprobación de la identidad. Pronto ofreceremos más información sobre la prueba de identidad.
