La semana pasada Twitter fue comprometido mediante un ataque de ingeniería social directo, es decir que fue a través de una campaña de phishing destinado a la empresa solamente, según el reporte periodístico.
Este ataque logró comprometer 130 cuentas de Twitter. El atacante logró reiniciar credenciales, publicar mensajes, entre otros robos de información personales. La manera que la empresa identificó que su infraestructura estaba comprometida fue mediante publicaciones de usuarios solicitando bitcoin a cambio de reenviarle el doble de la transacción al remitente. Bitcoin es una de las más famosas criptomonedas que existen. Lo que es alarmante de este hack es que no levanto ningún tipo de alerta entre los empleados de Twitter de anomalías del uso de las credenciales comprometidas.
En estos tipos de ciber ataques podemos ver como ejemplo el impacto que puede generar una campaña de phishing a una empresa. Esto quiere decir que no importa si tienes toda tu infraestructura con las últimas actualizaciones, los mejores controles de seguridad del mercado (Firewall, Anti-Virus, SIEM, etc.) o simplemente toda tu infraestructura se encuentra dentro de una red privada sin acceso al internet, lamentablemente sigue siendo vulnerable a un ataque de ingeniería social que puede poner en riesgo toda tu infraestructura. Este tipo de ataques se puede reducir a un menor impacto mediante concientización de la seguridad de la información, un plan de contingencia y un plan de respaldo de los servidores.
Este ataque de ingeniería social nos hace pensar si en las empresas de República Dominicana se practica la concientización de seguridad de la información, si se tiene un plan de contingencia correcto y se mantiene al día el respaldo de los servidores al momento de un ataque como este. También, debemos entender que el manejo de SIEM no es solo almacenar los registros de cada acción que se lleva acabo en cada computadora o servidor de la infraestructura, sino que se cuenta con un análisis en un tiempo casi real de lograr identificar el comportamiento extraño de usuarios dentro del dominio de la empresa. Al final, lo que esto quiere decir es que en su infraestructura usted debe crear diferentes tipos de alertas al momento de que existan anomalías de usuarios dentro del dominio.