Cada vez es más común que los usuarios de TIC en la atención sanitaria reciban información de ciberseguridad. Un lugar destacado en dichas advertencias lo ocupa el phishing, incluyendo versiones avanzadas como Meddler in the Middle. Sin embargo, no todos saben de uno de los modos más insidiosos para engañar a las víctimas: el consent phishing. Este tipo de ataques, también llamado phishing por consentimiento, requiere autenticación para instalar aplicaciones de nube aparentemente inofensivas, pero en realidad maliciosas.
Una opción muy recurrente para el consent phishing es el uso de aplicaciones OAuth 2.0 (autorización abierta). Se trata de apps alojadas en plataformas legítimas en la nube. Están diseñadas para engañar y obtener acceso fraudulento a los servicios y datos en la nube. Para ello, recurren a trucos probados de ingeniería social, incluso potenciados con inteligencia artificial. Si el ataque es exitoso, el usuario termina por otorgar permisos permanentes que dichas aplicaciones usan en perjuicio de la institución.
Uno de los principales desafíos respecto a estas amenazas consiste en que cualquiera puede registrar una aplicación maliciosa en plataformas legítimas. Y como es usual en este tipo de engaños, un ataque de consent phishing suele comenzar con un correo electrónico o un mensaje disfrazado como si proviniese de una organización reconocida.
El ataque, paso a paso
Las etapas más comunes de un ataque de consent phishing son los siguientes:
●Se registra la app en un proveedor OAuth 2.0 legítimo, como Office 365 o Azure Active Directory, por ejemplo.
●Se hace llegar a los usuarios mensajes con un enlace a la URL de la aplicación.
●Al hacer clic en el enlace, la aplicación genera un cuadro de consentimiento de OAuth 2.0 para compartir ciertos datos.
●El consentimiento genera un código de autorización que recibe el atacante, el cual puede entonces acceder, mediante una API, a los datos que solicitó.
Accesos monitoreados
Los usuarios en clínicas y hospitales pueden verse fácilmente expuestos a engaños de consent phishing. Por ello resulta importante que los departamentos de TIC implementen diversas medidas para bloquearlos eficazmente, aun si algún usuario cae en el engaño.
●Usar autenticación de múltiples factores (MFA) y gestores de identidades y accesos (IAM). La autenticación de múltiples factores reduce el riesgo al obligar a quienes se conectan a las redes hospitalarias a que proporcionen, además de un nombre de usuario y contraseña, un elemento adicional de identificación, como un mensaje de texto de confirmación enviado a un teléfono celular.
En cuando a las actividades en la nube, las soluciones de gestión de identidades eficaces para exponer actividades fuera de lo normal. Pueden configurarse para que los equipos de TIC sean alertados cuando se detecten además de bloquear los intentos de inicio de sesión.
●Implementar un control riguroso de los permisos y aprobaciones de las aplicaciones externas. Aun con la protección de soluciones MFA e IAM, existe el riesgo de que algunos usuarios sean engañados y concedan accesos indebidos a aplicaciones maliciosas en la nube. Por ello, los ataques de consent phishing sólo pueden preverse completamente evitando que los usuarios otorguen accesos a aplicaciones de terceros.
Esto obliga a que sea el personal de TIC quien apruebe las solicitudes de aplicaciones nuevas de todos los usuarios. Si bien esto puede significar cargas de trabajo adicionales, el precio suele valer la pena.
Capacitación contra el consent phishing
●Realizar auditorías anuales. Estos ejercicios —que idealmente deben ser realizados por técnicos externos— permiten detectar vulnerabilidades en la ciberseguridad de las instituciones de salud. Se deben poner a prueba las políticas de seguridad y el uso efectivo de las mejores prácticas. También se debe revisar la documentación y el cumplimiento de los sistemas y dispositivos centrales y remotos.
Cobra especial importancia comprobar que sólo se conecten a las redes hospitalarias dispositivos debidamente registrados y controlados. Por supuesto, igualmente crucial es verificar la seguridad de todo el software —especialmente el firewall— utilizado por la institución. Se debe ser muy riguroso con los programas provistos por proveedores externos, para comprobar la pertinencia del proceso de aprobación de sus aplicaciones por parte del departamento de TIC.
●Notificar al proveedor afectado por el engaño. Una manera de contribuir a la reducción del consent phishing es avisar a los proveedores cuando se identifican apps maliciosas colgadas de sus plataformas para engañar a los usuarios. Por supuesto, para ello conviene reforzar la ciberseguridad de los sistemas de correo electrónico. El software utilizado debe, por defecto, buscar spam y bloquear el acceso a los sitios web y aplicaciones maliciosas conocidos.
Sin embargo, como siempre que se trata de ciberseguridad, lo más importante es crear conciencia en los usuarios para que eviten prácticas peligrosas y presten atención a los mensajes que reciben, para que aprendan a identificar los sospechosos. También se les debe enfatizar la importancia de no hacer clic en ninguna liga o botón hasta no estar perfectamente seguros de su legitimidad.