¿Asumir el papel de los ciberdelincuentes por una vez? Perseus lo hace posible. En el marco del Perseus Hacking Day, celebrado el 23 de febrero de 2022, nuestro equipo utilizó todos los medios a su alcance para comprometer nuestro sistema y llevarlo a un colapso total. ¿Tenemos éxito? He aquí algunos ejemplos de nuestros intentos.
¿Por qué celebrar un Día del Hacking de Perseo?
Nuestra misión es hacer que los riesgos cibernéticos sean manejables. Para nosotros, esto significa: debemos conocer los riesgos cibernéticos para las empresas. Así pues, ¿por qué no empezar por la nuestra y averiguar a qué amenazas potenciales podría estar expuesta Perseo, qué vulnerabilidades podrían explotarse para realizar ciberataques, o incluso cuánta información sobre los empleados podría descubrirse utilizando la ingeniería social para enviar un correo electrónico de phishing engañosamente real, por ejemplo? Hemos querido aprovechar los resultados para poner a prueba una vez más nuestra propia ciberseguridad -como todos sabemos, siempre se puede mejorar- e incorporar esta experiencia a nuestras soluciones para lograr más ciberseguridad en las empresas. Todos los miembros del equipo de Perseus que lo desearan podían participar. Y eso fue algo bueno: Como la ciberdelincuencia tiene muchas caras, nuestro equipo tiene diferentes habilidades que van mucho más allá de la programación… y, por supuesto, todo el asunto debe ser un poco divertido también.
Ingeniería social: la base de los ciberataques personalizados
Hay muchas puertas de entrada para los ciberdelincuentes. Sin embargo, Internet y las redes sociales demuestran una y otra vez ser un valioso tesoro de datos personales, y no sólo para los particulares, sino también a nivel empresarial. La ingeniería social ha demostrado ser un medio popular para los hackers criminales en los últimos años. Este método consiste en recopilar información detallada sobre las empresas y los empleados individuales para actividades como el spear phishing o un posible fraude del CEO. Razón suficiente para que también intentemos averiguar todo sobre los miembros de nuestro equipo directivo: desde los datos de contacto hasta las fotos y las opiniones políticas. Y efectivamente, encontramos lo que buscábamos. Pero nuestros propios canales de redes sociales también proporcionaron información interesante cuando los examinamos de cerca. Ahora era el momento de utilizar esta información de forma adecuada para el Perseus Hacking Day, y de corregir de inmediato las posibles vulnerabilidades de nuestro sitio.
Smishing y vishing: ¿el teléfono como puerta de entrada?
Informamos regularmente a nuestros clientes sobre los actuales planes de fraude de los piratas informáticos. Dos métodos frecuentemente utilizados para el engaño y la explotación de datos sensibles son el smishing y el vishing, es decir, los intentos de phishing a través de mensajes de texto, mensajes de voz o llamadas telefónicas. Hasta entonces, no sabíamos cómo reaccionarían los miembros de nuestro propio equipo ante tales intentos. Así que probamos suerte: tanto llamando a varios miembros del equipo y a partes de nuestra dirección como a través de SMS intentamos sacar datos comerciales sensibles. Por desgracia, no tuvimos mucho éxito. Aunque recibimos respuestas a nuestros mensajes de algunos objetivos potenciales, los datos que esperábamos no se materializaron. Malo para los ciberdelincuentes, pero bueno para nuestra empresa. Por cierto, un intento de phishing por correo electrónico tampoco tuvo éxito.
¿Con DDoS y pentesting al hackeo del sistema?
Aunque los métodos de los dos ejemplos anteriores se centran mucho en el factor humano, también ponemos a prueba nuestras defensas técnicas. Una forma popular de ciberataque es el llamado ataque DDoS, en el que se dirigen tantas peticiones a un sistema hasta que se sobrecarga y colapsa. En el marco del Perseus Hacking Day, aprovechamos el favor de la hora para comprobar cómo podría comportarse nuestro sistema durante un ataque DDos de este tipo. El resultado: después de algunos intentos, pudimos determinar que la capa de protección añadida por nuestro proveedor de la nube bloquea los intentos de comprometer el servicio para que se sobrecargue.
Otro intento fue utilizar las pruebas de penetración, también conocidas como pentesting, para revelar las vulnerabilidades de seguridad mediante la simulación de un ciberataque. El objetivo es descubrir posibles vulnerabilidades en un sistema, una aplicación o una organización, u obtener información general sobre el estado de seguridad de una empresa.
Conclusión
Lo que ya sabíamos se ha confirmado una vez más. Para llevar a cabo un ciberataque, los conocimientos de programación son buenos, pero no imprescindibles. A menudo se trata de la creatividad, el pensamiento analítico y la capacidad de investigación, así como de la voluntad necesaria para comprometer un sistema. El Perseus Hacking Day fue la mejor prueba de ello y podemos estar orgullosos: No sólo nuestros productos y servicios contribuyen a que el mundo sea cada día más ciberseguro, sino que nuestro equipo está muy familiarizado con los peligros de la red y no cayó en ninguno de los posibles intentos de ataque de los demás miembros del equipo. Pudimos arreglar todas las anomalías de inmediato y así aumentar un poco más la ciberseguridad en Perseus. Así que hemos aprendido mucho.
Sin duda, este no será el último Perseus Hacking Day. La comprobación de los posibles riesgos y la concienciación de los empleados para aumentar la ciberseguridad en la empresa no son hechos puntuales, sino un proceso continuo. Nos mantenemos en sintonía.