«Al final del día, la flexibilidad de cómo puede abusar de las cuentas corporativas para moverse lateralmente y pasar a otras aplicaciones en la nube: hay tantas formas diferentes en que los atacantes pueden usar las credenciales de la empresa», dice Crane Hassold, director. de inteligencia de amenazas en Abnormal Security y exanalista de comportamiento digital para el FBI. “Es por eso que el phishing es tan extremadamente popular entre los ciberdelincuentes, debido a ese retorno de la inversión”.
Hay formas más sólidas de implementar la autenticación de dos factores, y la nueva generación de esquemas de inicio de sesión «sin contraseña» o «Passkeys» del estándar industrial FIDO2 prometen un futuro mucho menos phishing. Pero las organizaciones deben comenzar a implementar estas protecciones más sólidas para que estén en su lugar cuando un actor de ransomware (o un adolescente inquieto) comience a hurgar.
“El phishing es obviamente un gran problema, y la mayoría de las cosas que normalmente consideramos autenticación multifactor, como usar una aplicación generadora de código, son al menos algo phishing, porque puedes engañar a alguien para que revele el código”, dice Jim Fenton, un consultor independiente de seguridad y privacidad de identidad. “Pero con las notificaciones automáticas, es demasiado fácil lograr que las personas hagan clic en ‘aceptar’. Si tiene que conectar algo directamente a su computadora para autenticarse o usar algo integrado con su terminal, como un sensor biométrico, esas son tecnologías resistentes al phishing».
Sin embargo, evitar que los atacantes se abran camino en una organización a través del phishing no es el único problema. Como mostró el incidente de Uber, una vez que Lapsus$ comprometió una cuenta para obtener acceso, pudieron profundizar en los sistemas de Uber, porque encontraron credenciales para herramientas internas desprotegidas. La seguridad se trata de elevar la barrera de entrada, no de eliminar todas las amenazas, por lo que una fuerte autenticación en las cuentas externas sin duda habría sido de gran ayuda para detener a un grupo como Lapsus$. Pero las organizaciones aún deben implementar múltiples líneas de defensa para que haya un respaldo en caso de que se infrinja una.
En las últimas semanas, el ex jefe de seguridad de Twitter, Peiter «Mudge» Zatko, se ha manifestado públicamente como un denunciante contra Twitter, testificando ante un comité del Senado de los EE. UU. que el gigante de las redes sociales es lamentablemente inseguro. Las afirmaciones de Zatko, que Twitter niega, ilustran cuán alto podría ser el costo cuando faltan las defensas internas de una empresa.
Por su parte, Lapsus$ puede tener la reputación de ser un actor extravagante y excéntrico, pero los investigadores dicen que el alcance de su éxito en comprometer a empresas masivas no solo es notable sino también inquietante.
“Lapsus$ ha destacado que la industria debe tomar medidas contra estas debilidades en las implementaciones de autenticación comunes”, dice Demirkapi. “A corto plazo, debemos comenzar por asegurar lo que tenemos actualmente, mientras que a más largo plazo debemos avanzar hacia formas de autenticación que sean seguras por diseño”.
Ninguna llamada de atención parece lo suficientemente grave como para producir una inversión masiva y una implementación rápida y ubicua de las defensas de seguridad cibernética, pero con Lapsus$ las organizaciones pueden tener una motivación adicional ahora que el grupo le ha mostrado al mundo cuánto es posible si tienes talento y tienes algo de tiempo en tus manos.
“Las empresas delictivas cibernéticas son exactamente iguales a las empresas legítimas en el sentido de que observan lo que hacen otras personas y emulan las estrategias que resultan exitosas”, dice Callow de Emsisoft. “Entonces, las pandillas de ransomware y otras operaciones absolutamente verán lo que ha hecho Lapsus$ para ver qué pueden aprender”.