La mayoría de los usuarios de TIC en las universidades reciben información sobre los riesgos del phishing, incluyendo versiones avanzadas como Meddler in the Middle. Sin embargo, no todos saben de uno de los modos más insidiosos para inducir a los incautos al error: el phishing por consentimiento. Este malware, también llamado consent phishing, requiere cierto nivel de autenticación para instalar aplicaciones de nube aparentemente inofensivas, pero en realidad maliciosas.
Una opción muy recurrente para el phishing por consentimiento es el uso de aplicaciones OAuth 2.0 (autorización abierta). Se trata de apps alojadas en plataformas legítimas en la nube. Están diseñadas para engañar y obtener acceso fraudulento a los servicios y datos en la nube de una universidad. Para ello, recurren a trucos probados de ingeniería social, incluso potenciados con inteligencia artificial. Si el ataque es exitoso, el usuario termina por otorgar permisos permanentes que dichas aplicaciones usan en perjuicio de la universidad.
Uno de los principales desafíos respecto a estas amenazas consiste en que cualquiera puede registrar una aplicación maliciosa en plataformas legítimas. Y como es usual en este tipo de engaños, un ataque de phishing por consentimiento suele comenzar con un correo electrónico o un mensaje disfrazado como si proviniese de una organización reconocida.
Anatomía de un ataque
Los pasos más comunes para montar un ataque de phishing por consentimiento son los siguientes:
●Se registra la app en un proveedor OAuth 2.0 legítimo, como Office 365 o Azure Active Directory, por ejemplo.
●Se hace llegar a los usuarios mensajes con un enlace a la URL de la aplicación.
●Al hacer clic en el enlace, la aplicación genera un cuadro de consentimiento de OAuth 2.0 para compartir ciertos datos.
●El consentimiento genera un código de autorización que recibe el atacante, el cual puede entonces acceder, mediante una API, a los datos que solicitó.
Controlar identidades y accesos
Los usuarios en las universidades pueden verse fácilmente expuestos a engaños de phishing por consentimiento. Por ello resulta importante que los departamentos de TIC implementen diversas medidas para bloquearlos eficazmente, aun si algún usuario cae en el engaño.
●Usar autenticación de múltiples factores (MFA) y gestores de identidades y accesos (IAM). La MFA reduce el riesgo al obligar a quienes se conectan a los recursos universitarios en la nube a que proporcionen, además de un nombre de usuario y contraseña, un elemento adicional de identificación, como un mensaje de texto de confirmación enviado a un teléfono celular.
En cuando a las actividades en la nube, las soluciones IAM son eficaces para exponer actividades inusuales. Pueden configurarse para que los equipos de TIC sean alertados cuando se detecten además de bloquear los intentos de inicio de sesión.
●Implementar un control riguroso de los permisos y aprobaciones de las aplicaciones externas. Aun con la protección de soluciones MFA e IAM, existe el riesgo de que algunos usuarios sean engañados y concedan accesos indebidos a aplicaciones maliciosas en la nube. Por ello, los ataques de phishing por consentimiento sólo pueden preverse completamente evitando que los usuarios otorguen accesos a aplicaciones de terceros. Esto obliga a que sea el personal de TIC quien apruebe las solicitudes de aplicaciones nuevas de todos los usuarios. Si bien esto puede significar cargas de trabajo adicionales, el precio suele valer la pena.
Conciencia para frenar el phishing por consentimiento
●Realizar auditorías anuales. Estos ejercicios —que idealmente deben ser realizados por técnicos externos— permiten detectar vulnerabilidades en la ciberseguridad de la universidad. Se deben poner a prueba las políticas de seguridad y el uso efectivo de las mejores prácticas. También se debe revisar la documentación y el cumplimiento de los sistemas y dispositivos centrales y remotos.
Cobra especial importancia comprobar que sólo se conecten a las redes universitarias dispositivos debidamente registrados y controlados. Por supuesto, igualmente crucial es verificar la seguridad de todo el software —especialmente el firewall— utilizado por la institución. Se debe ser muy riguroso con los programas provistos por proveedores externos, para comprobar la pertinencia del proceso de aprobación de sus aplicaciones por parte del departamento de TIC.
●Notificar al proveedor afectado por el engaño. Una manera de contribuir a la reducción del phishing por consentimiento es avisar a los proveedores cuando se identifican apps maliciosas colgadas de sus plataformas para engañar a los usuarios. Por supuesto, para ello conviene reforzar la ciberseguridad de los sistemas de correo electrónico. El software utilizado debe, por defecto, buscar spam y bloquear el acceso a los sitios web y aplicaciones maliciosas conocidos.
Sin embargo, como siempre que se trata de ciberseguridad, lo más importante es crear conciencia en los usuarios para que eviten prácticas peligrosas y presten atención a los mensajes que reciben, para que aprendan a identificar los sospechosos. También se les debe enfatizar la importancia de no hacer clic en ninguna liga o botón hasta no estar perfectamente seguros de su legitimidad.