Solo se necesitó un intento para que los hackers rusos accedieran a la computadora de un funcionario del Pentágono. Sin embargo, el ataque no llegó a través de un correo electrónico o un archivo escondido en un documento aparentemente inofensivo.
Un enlace, adjunto a una publicación de Twitter creada por una cuenta bot, prometía un paquete vacacional apto para toda la familia durante el verano. Era el tipo de vínculo al que cualquiera habría dado clic, dijo el funcionario que resultó afectado por el ataque, quien no tenía autorización para hablar públicamente al respecto.
Ese es el problema, de acuerdo con funcionarios del Pentágono y expertos en seguridad cibernética. Mientras que las corporaciones y agencias gubernamentales de todo el mundo están capacitando a su personal para que piense dos veces antes de abrir cualquier cosa enviada por correo electrónico, los hackers ya han adoptado un nuevo tipo de ataque: utilizan las cuentas de redes sociales, donde es más probable que la gente se sienta más confiada de darle clic a algún vínculo porque considera estar entre amigos.
Los funcionarios del Pentágono están cada vez más preocupados de que los hackers respaldados por regímenes utilicen redes sociales como Twitter y Facebook para acceder a las redes informáticas de organismos gubernamentales.
Una vez que una persona se ve afectada por el programa informático, los ataques pueden moverse rápidamente a través de la red de amigos de esa persona; eso provoca una situación de pesadilla, en palabras de los funcionarios, en la que departamentos enteros de alguna institución pública, y hasta los familiares del personal, podrían ser blanco de dichos ataques. Y aunque los funcionarios estén enterados del problema, la capacitación sobre cómo detectar un ataque que llega a través de Twitter y Facebook sigue siendo limitado.
Otro funcionario del Pentágono, que habló con The New York Times bajo la condición de conservar su anonimato porque no tenía autorización para conversar con reporteros, describió el problema como enseñarle a un departamento entero a desconfiar de todo lo que han recibido… incluso si, al parecer, un familiar o un amigo envió el mensaje.
Aunque el hackeo que el año pasado sufrieron altos funcionarios del Partido Demócrata estadounidense creó conciencia sobre el daño causado incluso en casos en los que solo algunos empleados hacen clic en los correos electrónicos equivocados, pocas personas se dan cuenta de que un mensaje en Twitter o Facebook podría dar a un atacante acceso a su sistema, y que las cuentas pueden falsificarse o imitarse con tal de dar la apariencia de que los atacantes son un amigo de confianza.
El spear phishing, o el acto de enviar un archivo o un enlace malicioso a través de un mensaje aparentemente inofensivo, no es algo nuevo.
No obstante, funcionarios del Pentágono dicen que la escala de este tipo de ataques es distinta de cualquiera que hayan visto antes. Un reportaje en la revista Time de mayo reveló que un ciberataque dirigido por rusos intentó llegar a 10.000 cuentas de Twitter pertenecientes a empleados del Departamento de Defensa, a través de mensajes personales dirigidos a usuarios específicos.
En respuesta a un reportero de The New York Times, Twitter envió una copia de las reglas de la empresa contra los correos no deseados, las cuales señalaban que cualquier cuenta que violara sus reglas sería suspendida. Un portavoz de Facebook dijo que la empresa estaba consciente del problema y ya monitoreaba este tipo de ataques en la plataforma.
En un documento técnico que publicó Facebook hace poco, la empresa detalló los ataques comunes que había observado. La compañía dijo que estaba utilizando notificaciones especializadas, sistemas de detección y educación del usuario para contrarrestar los ataques informáticos.
Las empresas de ciberseguridad señalaron que este tipo de ataques a través de las redes sociales es uno de los métodos que han aumentado con más velocidad.
“Es algo que no se escucha tanto, pero el problema es generalizado”, dijo Jay Kaplan, un antiguo experto de ciberseguridad del Departamento de Defensa y ciberanalista sénior en la Agencia de Seguridad Nacional, quien ahora es el director ejecutivo de la empresa de ciberseguridad Synack. “Las redes sociales dan una cantidad de indicadores a un atacante, a un nivel respaldado por un Estado, que no se obtendría a través de un correo electrónico”.
Además de utilizar solamente un correo electrónico para obtener acceso a una red, los atacantes podrían utilizar una cuenta para reunir información. Al observar lo que publica en línea un grupo de soldados, los atacantes podrían obtener los cambios de ubicación para discernir los movimientos de una tropa o participar directamente en conversaciones para intentar desentrañar decisiones militares.
“La mayoría de las personas no lo piensan dos veces cuando están publicando en las redes sociales. No piensan en las personas que utilizan la información en su contra de manera maliciosa”, dijo Kaplan. “Tampoco suponen que las personas de su red podrían ser atacantes”.
De acuerdo con un reporte de 2016 de Verizon, cerca del 30 por ciento de los correos electrónicos que utilizan el método de spear phishing son abiertos por sus blancos. En contraste, una investigación publicada por la firma de ciberseguridad ZeroFOX mostró que el 66 por ciento de los mensajes fraudulentos enviados a través de redes sociales eran abiertos por sus víctimas.
En el ataque al Departamento de Defensa, por ejemplo, 7000 empleados dieron el primer paso hacia ser afectados al dar clic en un enlace, dijo Evan Blair, cofundador de ZeroFOX. “Los ataques son mucho más exitosos porque utilizan tu página personal y el contenido con el que interactúas para dirigirte el mensaje”, explicó Blair.
Simplemente observando mensajes públicos, los atacantes pueden ver fácilmente si una cuenta ha mencionado a una banda o un equipo deportivo a menudo y, a continuación, crean un mensaje que se refiera a boletos en venta para un evento. En Facebook, un atacante puede ver a qué grupos se han unido los usuarios, o a qué páginas públicas les han dado me gusta.
En un experimento realizado el año pasado, ZeroFOX creó un programa automatizado que envió enlaces de spear phishing a usuarios de Twitter. En dos horas, el programa envió un vínculo a 819 personas, a una tasa de aproximadamente 6,75 mensajes por minuto. Doscientos setenta y cinco usuarios abrieron los enlaces, o el 33 por ciento de ellos.
Vía New York Times