El usuario privilegiado de una red se denomina así porque puede acceder a recursos sensibles y, a menudo, altamente confidenciales. Si un ciberdelincuente puede comprometer la cuenta de un usuario privilegiado, tiene las llaves del castillo corporativo.

Una investigación de FINN Partners y Centrify descubrió que en el 74% de los casos de violación de datos, el ataque comenzó en la puerta de un usuario con privilegios. La empresa de análisis Forrester establece una tasa aún más alta: el 80% de las violaciones de datos están asociadas a credenciales privilegiadas.

Sea cual sea la estadística más precisa, la cuestión es que el acceso privilegiado conduce a violaciones de datos. Por lo tanto, la formación de concienciación sobre seguridad para usuarios privilegiados es vital.

He aquí las mejores prácticas para garantizar el éxito de esta formación.

Por qué hay que proteger el acceso de los usuarios con privilegios con una formación de concienciación sobre la seguridad

Los usuarios con privilegios aportan un nivel de riesgo único a una organización. Este nivel de riesgo justifica centrarse en este grupo y crear una campaña de concienciación sobre seguridad que tenga en cuenta el papel del usuario privilegiado en un ciberataque.

Los ciberdelincuentes tienen como objetivo a los usuarios privilegiados debido a sus derechos de acceso. Pero los usuarios privilegiados necesitan estos derechos de acceso para realizar su trabajo: este enigma es un escenario perfecto que permite el spear-phishing y otras estafas de ingeniería social.

Un solo descuido de un usuario privilegiado, y ¡bang! El pirata informático está dentro del sistema. Una vez en la red corporativa, los atacantes pueden utilizar diversas técnicas y tecnologías para moverse por la red, incluso mejorando los derechos de acceso(movimiento lateral), para localizar datos y/o instalar malware como el ransomware.

Los ataques contra cuentas de usuarios privilegiados suelen implicar una gran cantidad de vigilancia. La inteligencia recopilada se utiliza para crear correos electrónicos de spear-phishing a medida y muy creíbles. El trabajo híbrido ha agravado el problema, según informa el FBI en un aviso reciente. El aviso contiene detalles de estafas que implican ciberataques en varias partes contra usuarios privilegiados, ciberdelincuentes que utilizan el reconocimiento, el phishing de voz por teléfono (Vishing) y páginas web falsas que luego se utilizan para robar códigos de autenticación de segundo factor y eludir medidas de seguridad como las VPN.

Esta compleja mezcla de astutas tácticas cibercriminales significa que la tecnología por sí sola no puede evitar un ciberataque contra un usuario con cuenta privilegiada. La concienciación en materia de seguridad es imprescindible para garantizar que estos usuarios no entreguen inadvertidamente las claves corporativas.

Tres prácticas recomendadas importantes en la formación para la concienciación sobre la seguridad de los usuarios con privilegios

A la hora de desarrollar un paquete de formación sobre concienciación en materia de seguridad para usuarios privilegiados, se utilizan las tres líneas de base siguientes para las mejores prácticas:

1. Reconocer a los usuarios con privilegios como rol de superusuario

La formación para la concienciación sobre la seguridad basada en funciones es un marco para proporcionar formación a medida basada en un tipo de función en una organización. ¿Por qué es una buena idea la formación basada en roles? Los ciberdelincuentes ajustan sus tácticas para reflejar un rol en la empresa o se dirigen a determinados puestos corporativos para ciertos tipos de ciberataques y estafas.

Por ejemplo, alguien en cuentas por pagar es una propuesta atractiva para un ciberdelincuente que quiera llevar a cabo una estafa de compromiso de correo electrónico empresarial (BEC) que engañe a un empleado para que transfiera dinero a la cuenta bancaria del estafador. Alguien con acceso privilegiado en RRHH puede ser el objetivo para obtener información de los empleados para estafas fiscales.

Los usuarios con privilegios deben considerarse como un «papel de superusuario» y las campañas de formación sobre concienciación en materia de seguridad deben diseñarse para reflejar este hecho. A partir de aquí, podrá desarrollar un paquete a medida de concienciación sobre el phishing y la ingeniería social que se adapte a los tipos de ataques que se centran en los usuarios con acceso privilegiado.

2. Incluya la ingeniería social en su formación de concienciación sobre seguridad

La ingeniería social se utiliza para construir el perfil de una organización y de un usuario privilegiado objetivo para que un ciberataque tenga éxito. Los recientes ataques de ransomware del grupo Lapsus$ contra múltiples empresas utilizaron la ingeniería social. Un post de Microsoft que analiza los ataques explica la importancia de la ingeniería social:

«(el grupo Lapsus$) centraron sus esfuerzos de ingeniería social en recopilar conocimientos sobre las operaciones empresariales de su objetivo. Dicha información incluye conocimientos íntimos sobre los empleados, las estructuras de los equipos, los servicios de asistencia, los flujos de trabajo de respuesta a las crisis y las relaciones de la cadena de suministro. Ejemplos de estas tácticas de ingeniería social incluyen enviar spam a un usuario objetivo con avisos de autenticación multifactor (MFA) y llamar al servicio de asistencia de la organización para restablecer las credenciales de un objetivo.»

Las estafas de ingeniería social adoptarán cualquier forma que el ciberdelincuente necesite para reunir esta información. Esto incluye el uso de las redes sociales, llamadas a un servicio de asistencia y llamadas de oficina en general que ayuden a formar una relación; incluso las visitas a una oficina podrían utilizarse para construir la información necesaria para llevar a cabo un ataque. Los intentos de ingeniería social pueden llevar meses de trabajo para construir el perfil de un usuario privilegiado, en disposición de llevar a cabo un ataque con éxito.  

Asegúrese de que sus usuarios privilegiados comprenden los niveles a los que llegará un ciberdelincuente para hacer creíbles sus correos electrónicos de spear-phishing y sus sitios web falsos.

3. Concienciación sobre el spear-phishing

Sepa qué tipos de amenazas se centrarán en el rol de superusuario. Normalmente, las personas con acceso privilegiado serán el objetivo de ese acceso. Sin embargo, esto también puede significar que forman parte de una cadena de ataque más amplia y compleja.

Normalmente, se utiliza el spear-phishing o spear-vishing (phishing basado en la voz) para robar las credenciales de inicio de sesión de este grupo de usuarios. La información recopilada por los ciberdelincuentes durante la ingeniería social les ayuda a crear escenarios, correos electrónicos y sitios web falsos creíbles para engañar al usuario privilegiado.

Proporcione ejercicios de simulación de phishing adaptados y basados en roles para educar a los empleados sobre los trucos utilizados por los estafadores.

Lea más sobre el spear-phishing en estos artículos:«Qué es el spear-phishing y cómo evitarlo» e«Identificación de un ataque de spear-phishing«.

Cerrar la puerta al compromiso de cuentas privilegiadas

Una organización necesita dar acceso privilegiado a ciertos usuarios; de hecho, crear una jerarquía de acceso es una parte importante de la gestión de identidades y accesos. Pero el privilegio es también una vulnerabilidad potencial en la armadura de una organización; un hecho que no se les escapa a los ciberdelincuentes. Utilizando una base de buenas prácticas en la formación de concienciación sobre seguridad para usuarios privilegiados, puede endurecer esta armadura y controlar los privilegios.

Para reforzar realmente su postura de seguridad, es esencial reconocer el papel vital que desempeñan los altos ejecutivos en la creación de una cultura cibersegura. Su liderazgo, compromiso y participación activa en las iniciativas de seguridad pueden marcar la pauta para toda la organización. Al dar prioridad a la seguridad en los niveles más altos de la dirección, las empresas pueden fomentar una cultura de concienciación, vigilancia y responsabilidad.

Explore cómo los altos ejecutivos pueden defender la ciberseguridad y liderar el camino hacia un entorno organizativo más seguro.