Muchos investigadores, medios, organizaciones y estados, e incluso el FBI, apuntaron a Corea del Norte cuando a fines del año pasado hubo una intrusión a los sistemas de Sony Pictures que tuvo como consecuencia la fuga de información sensible, amenazas a los empleados y películas filtradas en la web. Pero ahora, dos analistas anunciaron durante la conferencia RSA 2015 que detrás del ataque hubo algo quizás no tan controversial, o que al menos no remite a un conflicto político: un ataque de spear phishing.
En una presentación titulada "Hacking Exposed Live", Brian Wallace (Senior Security Researcher) y Stuart McClure (CEO de Cylance) aseguraron que una campaña de phishing que impostaba el proceso de login de Apple ID fue la responsable del incidente de Sony. En una entrevista con eWEEK, McClure dijo que ha investigado mucho el ataque y, si bien no tiene conocimiento de primera mano de que esto sea lo que realmente sucedió, halló evidencia suficiente para respaldar sus conclusiones.
Afirma que el primer paso fue un ataque dirigido de spear phishing que llegó a varios administradores de sistemas de Sony. "Era un set de ataques de spear phishing bien elaborados, centrados en la verificación de Apple ID", le dijo a eWEEK. Se trata de una técnica similar a la del phishing, con la diferencia de que no tiene una llegada ni un alcance tan masivo, sino que el correo falso está dirigido a un grupo u organización específica.
Esto tiene sentido si pensamos que quienquiera que estaba tratando de acceder a los sistemas de Sony y robar su información sensible, se focalizó en diseñar una campaña que hiciera caer a sus empleados. "La verificación de Apple ID se veía muy convincente y era justo lo que los usuarios normalmente esperarían ver, excepto, claro, que es completamente falsa", comentó McClure.
Y ya con que exista la sospecha de que todo se debió a un phishing, nos hace pensar una vez más en lo importante que resulta la educación en seguridad informática de los empleados de toda organización, de manera que sepan ser cautelosos al utilizar los sistemas y aplicaciones dentro del ámbito corporativo.
Cuando las víctimas ingresaban sus credenciales de Apple ID, la página falsa mostraba un error indicando que la contraseña era incorrecta. Al mismo tiempo, explica eWEEK, los atacantes estaban capturando la información, de manera que pudieron analizar los IDs capturados y conectarlos a perfiles sociales de LinkedIn. Además, pudieron determinar usuarios y contraseñas corporativos, es decir, propios de los perfiles en sistemas Sony. Una vez adentro de los mismos, distribuyeron malware en la red.
Es llamativo que amenazas "tradicionales" como esta sigan siendo corrientes. En el ESET Security Report 2015, que da cuenta del panorama de seguridad corporativa en Latinoamérica, el phishing resultó el tipo de amenaza que menos preocupa a las organizaciones, y particularmente en las de mayor tamaño, resultó el incidente menos reportado como parte de las principales preocupaciones. Sin embargo, casi el 20% de empresas grandes de hecho sufrió algún incidente de phishing, que al comprometer la información que manejan los empleados, puede exponer de forma crítica datos sensibles.
Si realmente Sony vio sus datos comprometidos a raíz de correos engañosos en los que los empleados ingresaron sus credenciales, nos les vendría mal leer la Guía del Empleado Seguro ¿verdad?