El ataque a Twitter pone en evidencia el riesgo que representan los empleados

Recomendados:  Decálogo de ciberseguridad para empresas Leer  Movilidad e IoT, la nueva frontera de la ciberseguridad Webinar ondemand

El 15 de julio, Twitter sufrió el ciberataque más sonado de su historia, que permitió a hackers hacerse con el control de cuentas de usuarios de alto perfil, como Barack Obama, Bill Gates, Elon Musk y Jeff Bezos, con la finalidad de promover una estafa masiva con criptomonedas.

Haciéndose pasar por estos personajes famosos, los atacantes engañaron a numerosas personas para que introdujeran en su cartera de bitcoin cierta cantidad de dinero, diciendo que doblarían esa cantidad.  Durante el tiempo que estuvo activa la estafa (aproximadamente 5 horas), se registraron más de 370 transacciones, y se estima que la cifra recaudada alcanza los más de 118.000 dólares en bitcoins.

Según las declaraciones oficiales de Twitter, los atacantes habrían conseguido acceder a las cuentas de dichos usuarios a través del compromiso de una cuenta de un empleado de Twitter, mediante un ataque coordinado de ingeniería social, lo que les otorgó el acceso a sistemas y herramientas internos de la compañía. Por el momento, no se conoce qué técnica emplearon exactamente los atacantes para conseguir las cuentas de los empleados. Algunas fuentes apuntan a que se trata de un caso de SIM jacking, otras que se trata de un soborno, o que el propio empleado pudiera haber formado parte del ataque.

Hasta que no se produzca una investigación detallada del incidente no se podrá descubrir si él o los empleados implicados eran conscientes de su participación en el ataque. En cualquier caso, ha puesto en relevancia una vez más el riesgo para las empresas de los ataques internos producidos a través de empleados con acceso a la red corporativa o ‘insiders’.

Como señala Lourdes Mora, analista de Inteligencia de S21Sec, “el mayor error es considerar que el insider puede ser únicamente un empleado descontento, o extorsionado. La realidad es que el atacante interno puede ser personal con diferentes niveles de acceso, y el ataque puede ser producto de un error o exceso de confianza”.

A este respecto, las amenazas accidentales más comunes que pueden llevar a un ataque interno son los ataques de phishing, en los que los ciberdelincuentes envían correos fraudulentos o spam a los empleados de una compañía para que accedan a un sitio web específico o descarguen un archivo malicioso; el empleo de contraseñas débiles y reutilización de contraseñas, lo que facilita la acción a los atacantes, que pueden utilizar ataques de fuerza bruta o credenciales obtenidas a través de un ataque previo de phishing; y errores, como el mal manejo de datos, el envío de información confidencial a personas que no se debería enviar, o guardarla en carpetas compartidas.

En cuanto las amenazas de insiders maliciosos, el abuso de privilegios es la más común. Es decir, cuando un empleado utiliza sus privilegios de acceso a la compañía o a ciertos servicios para la obtención de cierta información confidencial o para la realización de acciones para las cuales no está autorizado. Generalmente, estos insiders están motivados económicamente, y pueden llegar a vender la información sustraída, recibir un pago por la realización de una acción o incluso a chantajear a la empresa.