Miguel Ángel Hernández
- Offensive Security Technical Expert en S21Sec
La seguridad informática es un campo en constante evolución y los ciberdelincuentes siempre están buscando nuevas formas de superar incluso los sistemas más avanzados de protección. En muchas ocasiones, lo hacen aprovechándose de las brechas en los servicios de telefonía, videoconferencia o mensajería instantánea.
Estos sistemas raramente son cubiertos por las soluciones tradicionales de protección de red, lo que provoca que la seguridad informática sea una tarea cada vez más desafiante. Para evitarlo, se han creado los ejercicios de Red Team, que ayudan a las organizaciones a identificar estas brechas antes de que lo hagan los atacantes.
Se trata de una práctica que se utiliza en el ámbito de la seguridad informática para simular ataques realistas a una organización y evaluar la capacidad de la empresa para protegerse contra ellos.
Al realizar estas pruebas, que incluyen diferentes métodos y técnicas utilizadas por los posibles atacantes, el Red Team permite a las empresas identificar vulnerabilidades y debilidades en su sistema de seguridad, así como tomar medidas para mejorar su protección.
Además, este sistema también sirve para evaluar y mejorar la capacidad del equipo de seguridad de la empresa, conocido como Blue Team, que detecta y responde a ataques reales.
Una 'vieja' conocida de los hackers
A pesar de que nos situamos en un momento de auge de la ciberdelincuencia, esta práctica lleva existiendo desde los primeros usos de la telefonía móvil, de hecho, el origen del hacking y de la seguridad informática se encuentra en el llamado phreaking.
El phreaking era una técnica para manipular o ‘hackear’ sistemas telefónicos con el fin de obtener acceso ilimitado a servicios de telefonía de forma gratuita. Esta actividad surgió en la década de los 60 y se volvió realmente popular entre los ciberdelincuentes y entusiastas de la tecnología de aquella época. Sin embargo, fue perdiendo popularidad con el tiempo debido al incremento de la seguridad y las mejoras de los sistemas telefónicos, así como la amplia disponibilidad del acceso a Internet en la sociedad.
En la actualidad, el riesgo relacionado con la manipulación o el ‘hackeo’ de los sistemas telefónicos ha vuelto a convertirse en una de las principales preocupaciones de las empresas y organizaciones, así como de los propios individuos.
A menudo, estos sistemas se utilizan como herramientas de autenticación de doble factor o como medio de recuperación de cuentas en sistemas corporativos, aplicaciones web o dispositivos móviles. Por ejemplo, entre los dos medios de autenticación de múltiple factor (MFA) más comúnmente usados por servicios tan diversos como Office 365 o PayPal, se encuentran el código de un solo uso mediante mensajes de texto SMS y la confirmación de identidad mediante llamada de voz al teléfono del usuario.
Esto significa que, si un atacante logra comprometer el sistema telefónico, sea el de la propia empresa o el de su operador de telecomunicaciones, puede obtener acceso a cuentas de usuario en diferentes aplicaciones corporativas o personales, que van desde el correo electrónico a la gestión documental y, de esta forma, causar daños o fraudes muy significativos.
Para evitarlo, se usa un equipo Red Team, el cual pone a prueba a los equipos de defensa de las organizaciones frente a una amplia gama de técnicas, tácticas y procedimientos usados por atacantes sofisticados, logrando paralizar las amenazas y proteger la seguridad e integridad de las empresas y de sus integrantes.
Así, las técnicas que utilizan los ciberdelincuentes para finalizar con éxito sus ataques son realmente variadas y dependen de los sistemas de comunicaciones, bien como vía de contacto con la víctima o para la explotación de vulnerabilidades intrínsecas en sistemas de comunicaciones.
Entre todas ellas, destacan las basadas en problemas de seguridad de los SMS. Esto se debe a que, aunque los mensajes de texto hayan perdido su uso como forma de comunicación personal, siguen siendo una manera conveniente y ampliamente utilizada para el envío de notificaciones, lo cual presenta serias vulnerabilidades de seguridad.
Dado que los SMS no están cifrados ni autenticados a nivel aplicación, pueden ser interceptados mediante ataques de redireccionamiento de mensajes SMS y ser leídos sin consentimiento.
Además, no hay forma de garantizar el origen de un SMS, lo que significa que los mensajes pueden ser falsificados o manipulados para parecer que provienen de alguien que no es quien dice ser, el conocido ‘SMS spoofing’.
Por todo ello, los expertos en seguridad informática no recomiendan este método como sistema de autenticación o verificación de identidad. Tanto es así que, en los últimos meses, empresas tan relevantes como Coinbase, Uber, Twilio o Zendesk han sido objetivos de ataques exitosos basados en el compromiso mediante mensajes SMS.
Sin irnos muy lejos, en marzo de 2023, la Guardia Civil efectuó la detención de un individuo con una sofisticada infraestructura de envío de mensajes SMS maliciosos que había defraudado a varias empresas y administraciones locales españolas en la ‘Operación Alhedizos’.
En conclusión, es realmente importante que las organizaciones adopten medidas de seguridad para proteger sus sistemas telefónicos, de mensajería y dispositivos móviles. De no ser así, la compañía estará comprometida a convertirse en una víctima de fraude, así como quienes trabajan en ella.
Para ello, los equipos de Red Team se han convertido en una herramienta imprescindible para evaluar la seguridad de la empresa, identificar vulnerabilidades y mejorar su capacidad para protegerse contra ataques cibernéticos.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios