Para poneros en situación, os pongo un ejemplo de un caso real entre 2 empresas:

Nos referiremos a ellas como la empresa 'A' y la empresa 'B'. La primera es proveedora de la segunda.

Un administrativo se marcha de vacaciones y al regresar se da cuenta de que la empresa 'B' no ha pagado los servicios de 'A' ni en tiempo ni forma. Cuando va a reclamar, la empresa 'B' contesta que ya efectuaron la transferencia: adjuntan comprobantes e incluso los correos electrónicos que se cruzaron, con él que había estado de vacaciones. Efectivamente, la transferencia se realizó: a una cuenta bancaria de un país extranjero. Y un ciberdelincuente había conseguido suplantar al trabajador que estaba de vacaciones para recibir de forma fraudulenta el pago.

En el mundo de la ciberseguridad esto se conoce como Open Source Intelligence. OSINT. Utilizar todas las fuentes que hay en internet para localizar todas las piezas de información de los empleados de una organización. Para tener el mapa de quién trabaja allí y quién es la pieza más vulnerable para realizar un ataque preciso y perfectamente orquestado.

Existen programas informáticos capaces de leer las tarjetas de visita de trabajadores y ejecutivos que normalmente ponemos en la firma de nuestro email y, en cuestión de minutos, recabar toda la información que haya disponible en la red sobre esa persona. El motivo es que un correo electrónico no es solo una dirección: también es el usuario que pondrás para acceder a los sistemas de tu empresa o para acceder, quizá, a las cuentas en redes sociales en las que la persona en cuestión se haya registrado.

¿Cómo se consumó este ataque y porque no se necesitó ninguna contraseña? El proceso es complejo, muy bien estudiado y es aquí donde entran en juego los tokens OAuth.

Open Authorization (OAuth) es un estándar abierto que permite flujos simples de autorización para sitios web o aplicaciones informáticas. Se trata de un protocolo que permite autorización segura sobre una API (Office365, Google, Facebook, Twitter, etc...), de modo estándar y simple para aplicaciones de escritorio, móviles y web.

¿Os suena cada vez que instaláis una app en vuestro teléfono móvil o pc una pantalla cómo esta?

Esto es un token OAuth. Si haces clic en Si, das permisos a la app para:

  • Sincronizar los correos electrónicos, los contactos, el calendario y las tareas, así como enviar correos electrónicos
  • Obtener acceso a tu información en cualquier momento
  • Obtener acceso a sus direcciones de correo electrónico
  • Sincronizar y enviar correos electrónicos

El problema es que los ciberdelincuentes son capaces de crear apps falsas y maliciosas con tokens OAuth que solicitan una serie de permisos desproporcionados. Hay que ir con mucho cuidado antes de otorgar permisos a una app y leer muy bien qué se está autorizando. Un solo clic puede suponer un fatal desenlace y puede derivar en robos de credenciales, suplantación de identidad, encriptación de ficheros, virus, malware, etc.

En nuestro ejemplo, el administrativo de la empresa 'A' que se fue de vacaciones y fue suplantado para recibir de forma fraudulenta un pago de la empresa 'B' tenía su contraseña invadida por una aplicación falsa.

El usuario en cuestión había concedido permisos sin ser consciente mediante un token OAuth que daba autorización a los cibercriminales a leer su correo e incluso enviar emails. Un ciberdelincuente había estado leyendo durante días la correspondencia electrónica y procuró suplantarlo en el momento más oportuno incluso por su forma de escribir.

Los cibercriminales aprovecharán cualquier avance en la tecnología que les sirva para cumplir su objetivo. Tened en cuenta que la seguridad no es algo que se compre y listo. Es algo que hay que trabajar y educar a los empleados, en lo que hay que invertir constantemente, y a lo que nunca se va a llegar al 100% de seguridad.

Todos los que estáis dentro de una empresa y que gestionáis dinero tenéis que asumir que la probabilidad de que os ataquen es del 100%. Los cibercriminales son cibercriminales y lo que van a buscar es conseguir que su objetivo se cumpla: ganar dinero por medio del cibercrimen.

 

 

Genís Camps

[email protected]

Departamento de IT de TAX

 

© Tax 2020 - Todos los derechos reservados

{-- !! FnxSocial::whatsappchat('608 741 883') !! --}