Reddit ha sido víctima de un incidente de seguridad. Las medidas de protección de la plataforma, que está valorada en unos 10.000 millones de dólares, no han sido completamente efectivas para esquivar un ataque de phishing, y ahora lamenta las consecuencias. Acceso no autorizado a su sistema interno, robo de documentos, código y datos comerciales.
Viendo la noticia desde esa perspectiva, y sin añadir información de contexto, podríamos escandalizarnos. Pero lo cierto es que las empresas están cada vez más expuestas al accionar de los ciberdelincuentes, y los empleados suelen ser el 'talón de Aquiles' de los departamentos de seguridad, incluso en los de empresas con presupuestos millonarios.
El phishing más allá de Reddit
Los atacantes de Reddit utilizaron las técnicas empleadas en la mayoría de los ataques de phishing, solo que dirigidas específicamente al portal para aumentar su tasa de efectividad. En concreto, de acuerdo a la versión oficial de la compañía, algunos empleados recibieron un correo electrónico falso pero con “indicaciones plausibles” para llevarlos a la intranet.
Desconocemos el contenido del mensaje, pero los actores malintencionados suelen recurrir a peticiones de jefes o superiores falsas, que generalmente deben realizarse lo antes posible. En cualquier caso, uno de los empleados mordió el anzuelo (entiéndase en relación al nombre figurativo de phishing) y acabó regalando sus credenciales de acceso.
El enlace del correo electrónico no enviaba a un destino legítimo, sino a una página que clonaba el comportamiento del sistema utilizado en la red informática interna de Reddit. Sin percibir que estaba siendo engañado, este introdujo su nombre de usuario, contraseña y código de verificación en dos pasos (2FA), que fueron recibidos por los atacantes.
Con las credenciales en su poder, las personas detrás de este movimiento ilegal contra la plataforma entraron en sus sistemas y accedieron a información de uso interno, como documentos, códigos e información comercial y de la plantilla. En el caso de esto último, se expusieron datos de contacto “limitados” de anunciantes y empleados, actuales y anteriores.
El departamento de seguridad de la empresa no había percibido nada extraño, precisamente porque este tipo de ataques tiene esa finalidad. Sin embargo, el empleado fue el encargado de avisar que había sido víctima de un ataque, lo que permitió tomar medidas para mitigar el alcance del ataque, como revocar las credenciales que habían sido robadas.
Reddit asegura que las contraseñas y cuentas de sus usuarios no se ha visto afectadas. Sin embargo, recomienda a quienes utilizan la plataforma que adopten la autenticación en dos pasos, cambien sus contraseñas aproximadamente cada dos meses y utilicen gestores de contraseñas (aunque estos últimos tampoco son perfectos: 'Hola LastPass').
Pero, como decimos arriba, es una buena oportunidad para poner este ataque en contexto. La semana pasada la víctima fue uno de los empleados de Reddit, pero próximamente podría haber sido cualquier otra persona, uno de nosotros. La firma de seguridad Tessian asegura que los empleados reciben 14 correos electrónicos de phishing en promedio cada año.
Ciertamente, no todos los ataques son dirigidos, y muchos acabarán fracasando. Sin embargo, las técnicas han ido perfeccionándose, y todo parece indicar que seguirán haciéndolo. La respuesta detrás de esto es simple: ataques efectivos, dinero para los bolsillos de los atacantes. En Estados Unidos, según IBM, el phishing hizo perder a las empresas 4,91 millones de dólares en 2022.
Las reglas básicas de ciberseguridad que casi todos conocemos nos invitan a prestar atención al remitente del correo para identificar si es sospechoso. También, a buscar el HTTPS en la barra de direcciones, que es sinónimo de una conexión segura, y a mirar detenidamente la URL. Ahora, esto está dejando de ser efectivo por los nuevos métodos implementados por los atacantes.
The inception bar: a new phishing methodhttps://t.co/FQtrn8aUI7 pic.twitter.com/omWrPjyS4Y
— Hisxo (@adrien_jeanneau) April 29, 2019
Algunos atacantes utilizan cuentas de correo robadas, por lo que el origen del mensaje puede parecer completamente lícito. Y, por si eso fuera poco, las páginas de destino también suelen incluir conexiones seguras y son capaces de mostrar URLs que parecen legítimas utilizando trucos de HTML y CSS, según el investigador James Fisher.
Saliendo del terreno corporativo, es preciso señalar que el phishing y sus variantes también son una amenaza para cualquier tipo de usuario. El vishing, que se basa en las mecánicas del phishing pero vía llamada telefónica, está detrás del famoso timo de la doble llamada del que han alertado la OCU y la Guardia Civil. En conclusión, tenemos que estar más atentos que nunca para evitar morder el anzuelo.
Imágenes: Reddit | Clint Patterson | Genbeta
Ver 10 comentarios