no es un asunto de si pero cuando una organización se enfrentará a un incidente de ciberseguridad. Incidentes como el que le ocurrió a MGM Resorts después de que los grupos de ransomware ALPHV/BlackCat y Scattered Spider dejaran inactivos los sistemas durante días, provocando graves tensiones en los ingresos debido a la interrupción de la productividad, la pérdida de negocios durante el tiempo de inactividad, los honorarios de los abogados y los costos de remediación.
Si bien no se ha divulgado información suficiente para comprender el alcance total de la violación de MGM Resorts, en los últimos años hemos sido testigos directos de un cambio significativo en las tácticas empleadas por grupos de actores de amenazas altamente coordinados, como ALPHV/BlackCat. Estos grupos están priorizando cada vez más la infraestructura objetivo sobre los puntos finales durante nuestros compromisos de respuesta a incidentes.
¿Qué pueden hacer las organizaciones para evitar convertirse en el próximo titular? Aquí hay cinco áreas a tener en cuenta.
Mejorar los procedimientos de la mesa de ayuda para incluir chats de video e identificaciones con fotografía para verificar la autenticidad de las solicitudes.
El Informe de investigaciones de violaciones de datos de 2023 de Verizon reveló que en el 74% de las violaciones reportadas, un factor humano influyó, parcial o totalmente, en la causa de la violación. El término «elemento humano» abarca varias situaciones y, en última instancia, apunta a la participación humana en la creación de una vulnerabilidad, ya sea deliberada o accidental.
Incidentes recientes, como la violación en MGM Resorts, sirven como duros recordatorios de las posibles consecuencias de unas medidas de seguridad inadecuadas.
En este caso particular, el actor de amenazas informó que monitoreó los perfiles de LinkedIn para identificar objetivos potenciales y luego se infiltró en la organización mediante vishing o “phishing de voz” en la mesa de ayuda de TI. Se sabe que emplean tácticas de ingeniería social dirigidas a personas con respuestas a preguntas de validación comúnmente utilizadas por la mesa de ayuda.
Depender únicamente de mensajes de texto o correo electrónico, o incluso de llamadas de voz, ya no es suficiente. ALPHV/BlackCat y otros grupos de actores de amenazas incluso han recurrido al empleo de imitadores de voz, lo que dificulta discernir su verdadera identidad en función del acento o las características de la voz.
Las organizaciones deben actualizar los procedimientos de la mesa de ayuda para incluir medidas como videochats e identificación con fotografía para verificar la identidad de las personas que buscan asistencia.
Elija sabiamente las funciones de autenticación multifactor
La autenticación multifactor debe habilitarse siempre que sea posible, pero asegúrese de que su organización elija sabiamente sus políticas y procedimientos.
En particular, se sabe que ALPHV aprovecha las técnicas de intercambio de SIM invirtiendo entre 1.500 y 2.500 dólares por empleado objetivo para cambiar su número de teléfono a un dispositivo que puedan controlar. El intercambio de SIM ocurre cuando el dispositivo vinculado al número de teléfono de un cliente se manipula de manera fraudulenta. Con esta técnica, un mal actor puede autenticarse exitosamente como empleado si la organización aún permite la mensajería de texto para la autenticación multifactor.