✨ ¿Qué es el abuseware y cómo puedes combatirlo?

Un problema subestimado

Como Director de Hackeo en la plataforma de recompensas por errores y divulgación de vulnerabilidades Intigriti y miembro fundador del Consejo de Políticas de Hackeo, Inti De Ceukelaire está en una posición privilegiada para observar lo que están haciendo los ciberdelincuentes. Él ve el software malicioso como el problema más subestimado en el fraude en línea.

“Por supuesto, las personas siempre están encontrando vulnerabilidades reales, errores de software que, por ejemplo, te permiten hablar con una computadora y convencerla de que te dé todos los registros de datos que tiene. Pero también hay escenarios en los que algo no se clasificaría realmente como una vulnerabilidad. Es un comportamiento de un sistema, o tal vez puedes modificar un comportamiento de cierta manera, pero no afecta realmente la integridad o la confidencialidad de ese sistema. Sin embargo, si te pones el sombrero de un estafador o alguien con malas intenciones, realmente puedes hacer algo malicioso con eso.”

Tenemos un archivo sobre ti

Quizás el ejemplo más conocido de software malicioso actualmente sea el mal uso de las cargas de archivos. Muchas empresas tienen algún tipo de funcionalidad de carga de archivos como parte de su presencia en línea. A veces, solo es para subir tu foto personal a tu perfil. En otros casos, puedes alojar archivos. Sin embargo, a veces un estafador puede encontrar una manera de eludir los límites de tamaño de archivo y cargar archivos más grandes.

“Ahora puedes decir, está bien, aparte de tal vez ocupar un espacio extra, ¿por qué deberíamos preocuparnos?” comenta Inti. “Pero luego mucha gente comenzó a abusar de eso para, por ejemplo, alojar sitios de phishing maliciosos o contenido que, si lo aloja, como empresa, realmente podría meterte en problemas. Entonces, aunque es una funcionalidad prevista, si la gente puede abusar de ella, puede causar mucho daño a tu empresa.”

Tomando un viaje en Uber

Otro uso de aplicaciones legítimas para fines nefastos es el lavado de dinero. Un ejemplo famoso explotó la conocida aplicación de viajes compartidos Uber. La estafa involucraba la falsificación de señales GPS a dos teléfonos separados (representando al conductor y al pasajero) para hacerles creer que estaban viajando por rutas legítimas, aunque muy largas. De hecho, ambos teléfonos estaban sobre el escritorio de un estafador. El autor de la estafa luego usaría una tarjeta de crédito robada para pagar la 'tarifa' a través de Uber, con el dinero recibido en la cuenta del 'conductor'.

“Por supuesto, Uber ha implementado muy buenas medidas para prevenir esto, y es algo que cualquier empresa puede enfrentar”, dice Inti. Pero es solo otro ejemplo de cómo las empresas legítimas se ven involucradas en el fraude. Y no es fácil implementar algo como una matriz de evaluación de riesgos o un sistema de puntaje de gravedad de vulnerabilidades.”

Reserva doble.com

Un tercer ejemplo común que recientemente ha tomado una nueva forma es la explotación de los mercados en línea. Probablemente conozcas a alguien que ha tenido la experiencia de comprar algo en línea que nunca llegó. Sin embargo, Inti destaca un fenómeno creciente en el que los estafadores hackean las credenciales de inicio de sesión de un hotel en un sitio como booking.com y se hacen pasar por este negocio legítimo para obtener ganancias ilegales. Por ejemplo, los estafadores envían un mensaje a través de la cuenta del hotel a los usuarios que han reservado para quedarse en la propiedad explicando que necesitan pagar una tasa de turismo, ¡y proporcionando amablemente un código QR para hacerlo!

“Es algo que para la mayoría de las empresas no estaba realmente en su radar. Saben que las cuentas de usuario pueden ser hackeadas, y piensan en el impacto individual”, comenta Inti. “Pero rara vez piensan en el ecosistema más amplio, donde la interacción entre tus usuarios se está aprovechando fundamentalmente para llevar a cabo un esquema de phishing. Eso es ciertamente algo que hemos visto aumentar en los últimos años.”

Consejos de Inti

Como alguien que está en contacto diario con el comportamiento y las vulnerabilidades tanto de individuos como de empresas en línea, Inti tiene un consejo sabio que va más allá de los consejos más comunes que existen.

Separa tu perfil profesional y personal en línea: Muchos de nosotros operamos ahora en un entorno de trabajo híbrido donde puede ser difícil mantener la línea divisoria entre tu vida profesional y tu vida privada. Puede parecer una extensión natural tener una foto de tus hijos en tu escritorio a agregar una como protector de pantalla en tu computadora de trabajo. Incluso puedes sentirte cómodo accediendo a una amplia gama de archivos personales a través de tu computadora de trabajo. Sin embargo, si tu empresa se convierte en víctima de un ataque de ransomware, tus fotos familiares o información financiera personal también pueden ser secuestradas, y el problema de la empresa se convierte en tu problema personal.

Dispón adecuadamente de direcciones de correo electrónico antiguas: La mayoría de las personas cambian de trabajo con el tiempo, mientras que las empresas a menudo cambian de nombre o se fusionan con otros negocios. Como resultado, las direcciones de correo electrónico de la empresa a menudo se vuelven redundantes, sin embargo, no siempre son retiradas o eliminadas adecuadamente. A menudo, estas direcciones se utilizan para registrarse en servicios de terceros como Dropbox o Jira sin protección de autenticación de dos factores. Con el tiempo, el dominio de correo electrónico se vuelve disponible, lo que permite a un estafador comprar tu dirección de correo electrónico, configurar un enlace de restablecimiento de contraseña y acceder a todo lo que configuraste a través de esa cuenta de correo electrónico. Los CISO, en particular, deben ser conscientes de este problema y asegurarse de que se implementen los protocolos necesarios para evitar que las direcciones de correo electrónico redundantes sean explotadas de esta manera.