Blog

En este momento estás viendo Somos el origen de ciertas fallas y podemos evitarlo

Somos el origen de ciertas fallas y podemos evitarlo

  • Autor de la entrada:
  • Categoría de la entrada:Seguridad

Aunque pensemos en firewalls, cifrado o antivirus como nuestras principales defensas, más del 90% de los ciberataques exitosos comienzan con un simple error humano. Técnicas como el phishing, vishing o pretexting aprovechan la confianza y el desconocimiento de los usuarios para vulnerar incluso los sistemas más robustos. En este artículo exploro cómo los ataques de ingeniería social representan una amenaza real y creciente, y cómo podemos contrarrestarlos con pruebas de seguridad adaptadas a entornos ágiles, apoyándonos en estándares como ISTQB, OWASP y NIST.

Entrando en tema

Los ataques de ingeniería social y el rol del factor humano en la ciberseguridad tiene una conexión directa con varios conceptos fundamentales del ISTQB Certified Tester Security Test Engineer, particularmente se encuentran en el Capítulo 1 del syllabus oficial (Security Paradigms).

Análisis técnico del enfoque

La Ingeniería Social como vía de ataque

Aunque el ISTQB STE no nombra directamente el phishing, vishing o smishing como ejemplos concretos, sí se abordan los ataques que explotan vulnerabilidades humanas bajo el marco de los paradigmas de seguridad y Zero Trust, en especial en la sección:

  • 1.3.2. Zero Trust en las pruebas de seguridad
    • Se promueve un modelo donde ningún usuario ni dispositivo es confiable por defecto, precisamente para mitigar ataques como los de ingeniería social, donde el atacante se aprovecha de la confianza del usuario para ganar acceso no autorizado.

Punto para reflexionar: El concepto de Zero Trust (Confianza Cero) es un modelo de seguridad basado en la premisa de “no confiar en nada, verificar todo”. Este modelo se fundamenta en el principio de aplicar controles de acceso estrictos y no confiar automáticamente en ninguna entidad, incluso si está dentro del perímetro de la red. (ver artículo)

Evaluación de vulnerabilidades basadas en factores humanos

El syllabus señala que la evaluación de riesgos desde la perspectiva de sensibilidad de la información (1.1.2) debe permitir al Security Test Engineer:

  • Identificar vulnerabilidades originadas en el comportamiento humano, como el uso de contraseñas débiles o el clic en enlaces maliciosos.
  • Diseñar casos de prueba enfocados a verificar los mecanismos de autenticación, autorización y control de acceso que pueden fallar ante un error humano.

Importancia del entrenamiento y concienciación

Aunque el ISTQB STE se enfoca principalmente en pruebas técnicas, reconoce el rol de los procesos organizativos y las políticas de seguridad (Capítulo 5 y 7):

  • 5.1.1. Contexto organizacional: destaca que los procedimientos de seguridad deben alinearse con la estructura organizativa.
  • 7.3.1. Mejora de la visión holística del ISMS: sugiere que el Security Test Engineer debe colaborar en la mejora continua del sistema de gestión de seguridad de la información (ISMS), lo cual incluye la concienciación del personal.

Punto para reflexionar: La certificación ISTQB® Certified Tester Security Test Engineer (CT-SEC) se centra en cómo se deben realizar las pruebas de seguridad, presentando metodologías, estándares, técnicas, procesos y herramientas de seguridad. (ver artículo)

Recomendaciones alineadas al ISTQB STE

Basado en lo anterior, el ISTQB STE recomienda:

  • Incluir casos de prueba de tipo exploratorio y simulaciones de ataques internos (como ingeniería social) en el plan de pruebas de seguridad.
  • Integrar pruebas de seguridad en el ciclo de vida del desarrollo del software (SDLC), lo que permite detectar estas fallas antes de que sean explotadas.
  • Utilizar herramientas y técnicas de análisis dinámico (DAST) para detectar patrones de uso indebido.

OWASP: Prevención de Phishing y otros ataques de ingeniería social

OWASP recomienda prácticas específicas para mitigar ataques como phishing, vishing, smishing y pretexting:

  • Educación del usuario y simulaciones de phishing periódicas
  • Autenticación multifactor (MFA) como defensa contra el robo de credenciales
  • Políticas de correo electrónico seguras, incluyendo SPF, DKIM y DMARC
  • Análisis de comportamiento del usuario (UBA) para detectar acciones sospechosas post-compromiso

Fuente: OWASP Phishing Defense Cheat Sheet

Punto para reflexionar: OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. (ver artículo ) Este tema era mi preocupación desde hace algunos años. 🙂

NIST SP 800-50 y SP 800-16: Concienciación y Capacitación en Seguridad

NIST enfatiza que la concienciación en seguridad no es opcional, especialmente para amenazas basadas en ingeniería social. Destaca:

  • La implementación de programas continuos de concienciación y entrenamiento, con mensajes breves, repetitivos y específicos para roles
  • El uso de simulaciones de ataques realistas para reforzar la detección y la respuesta ante amenazas
  • El seguimiento de la efectividad mediante métricas de respuesta a campañas simuladas

Fuente: NIST SP 800-50 – Building an IT Security Awareness and Training Program

Punto para reflexionar: El 26 de julio de 2024, el NIST publicó el documento NIST-AI-600-1, Artificial Intelligence Risk Management Framework: Perfil de Inteligencia Artificial Generativa. Desarrollado en parte para cumplir una Orden Ejecutiva del 30 de octubre de 2023, el perfil puede ayudar a las organizaciones a identificar los riesgos únicos que plantea la IA generativa y propone acciones para la gestión de riesgos de la IA generativa que mejor se alineen con sus objetivos y prioridades. (ver artículo)

Recomendación combinada STE + NIST/OWASP

Para robustecer un plan de pruebas de seguridad que integre el factor humano:

  1. Integrar simulaciones de phishing y smishing en el entorno de pruebas
  2. Diseñar pruebas de control de acceso (autenticación/autorización) para validar contramedidas como MFA
  3. Evaluar la eficacia de las campañas de concienciación con métricas técnicas (tasa de clics, respuesta, reporte)
  4. Aplicar pruebas de caja negra que simulen escenarios de pretexting y vishing usando perfiles de ataque definidos

Plan de Pruebas de Seguridad: Mitigación de Ingeniería Social

1. Objetivo General

Evaluar la resiliencia de la organización frente a ataques de ingeniería social (phishing, smishing, vishing, pretexting), mediante pruebas técnicas, simulaciones y análisis de control de acceso, en el marco del enfoque Zero Trust.

2. Fuentes de Diseño de Pruebas

  • Syllabus ISTQB STE (Cap. 1, 2, 5, 7)
  • NIST SP 800-50, 800-16
  • OWASP Phishing Defense CS y Testing Guide
  • Resultados de campañas previas de concienciación
  • Análisis de riesgos organizacionales (RA)

3. Tipos de Prueba y Técnicas Aplicadas

Tipo de AtaqueTécnica de PruebaHerramientas/TécnicasObjetivo
PhishingSimulación de campañasGoPhish, KnowBe4, herramientas internasMedir tasa de clics y reporte
SmishingMensajes controladosEmuladores de SMS o plataformas segurasEvaluar respuesta ante enlaces SMS falsos
VishingLlamadas controladas con guiones predefinidosGrabación y análisis de respuestaDetectar si se comparte información crítica
PretextingSimulación de escenarios con historia falsaScripts por perfiles sociales o internosEvaluar la validación de identidad e información
MFA BypassPruebas de autorización/autenticaciónOWASP ZAP, Burp Suite, brute-force testingVerificar resistencia a robo de credenciales
Evaluación de privilegiosRevisiones y fuzzing de rolesRevisión de IAM y fuzz testingDetectar escalamiento de privilegios horizontal/vertical

4. Criterios de Aceptación

  • Tasa de clics en phishing < 5%
  • Tasa de reporte de simulaciones > 80%
  • Todos los accesos cumplen principio de mínimo privilegio
  • No se permiten accesos no autenticados a segmentos de red
  • Las credenciales no pueden reutilizarse ni filtrarse sin detección

5. Consideraciones del Entorno de Pruebas

  • Uso de entorno aislado para simulaciones
  • Separación entre pruebas técnicas y humanas
  • Datos ofuscados si se usan escenarios reales
  • Permisos explícitos para pruebas de llamadas o simulaciones directas

6. Métricas y Seguimiento

  • Porcentaje de usuarios comprometidos por tipo de ataque
  • Tiempo de respuesta y reporte de incidentes simulados
  • Hallazgos técnicos (e.g., falta de MFA, privilegios excesivos)
  • Mejoras en conocimiento pos-campaña (test A/B pre/post)

7. Recomendaciones Finales

  • Incorporar este plan dentro del ciclo continuo de evaluación de seguridad (Cap. 7 del syllabus)
  • Usar los resultados como input del ISMS para mejorar políticas
  • Incluirlo como parte del entrenamiento anual obligatorio

A continuación, te presento una adaptación del plan de pruebas de ingeniería social para un entorno Ágil, manteniendo los principios del ISTQB Security Test Engineer (STE) e integrando prácticas de NIST y OWASP, todo alineado al enfoque DevSecOps y entrega continua:

Plan Ágil de Pruebas de Seguridad contra Ingeniería Social

1. Objetivo General

Integrar pruebas de resiliencia frente a ingeniería social como parte de los sprints, priorizando la seguridad desde el backlog hasta la entrega continua, mediante simulaciones iterativas y validaciones automáticas de controles de acceso.

2. Marco de Trabajo

  • Metodología: Scrum / Kanban
  • Ciclo de Seguridad: Integrado en CI/CD (shift-left y shift-right)
  • Roles involucrados:
    • Product Owner: prioriza historias de seguridad
    • Dev Team: desarrolla con seguridad por diseño
    • Security Test Engineer (STE): diseña y ejecuta pruebas
    • SecOps / IAM: valida eventos, privilegios y políticas

Punto para reflexionar: En este sentido, la aplicación del principio de “shift-left” o desplazamiento hacia la izquierda es clave. Este enfoque implica que las actividades de prueba comiencen lo antes posible en el ciclo de desarrollo, incluso durante la fase de análisis y diseño, no esperando a que el código esté completamente desarrollado. (ver artículo)

3. Integración en el Sprint

ActividadFase ÁgilResponsableHerramienta sugerida
Definir historias de usuario “maliciosas” (e.g., “Como atacante quiero…”)Refinamiento de backlogPO + STEJira + threat modeling (STRIDE/PASTA)
Planificar simulaciones de phishing / smishing como tareas técnicasSprint PlanningSTE + DevGoPhish, KnowBe4
Automatizar verificación de MFA y roles mínimosDesarrollo + CI pipelineDev + STEOWASP ZAP, Snyk, Burp Suite, GitLab CI
Ejecutar pruebas dinámicas no intrusivasSprint Review / Hardening SprintSTEDAST / pruebas exploratorias
Recolectar métricas de clics, accesos y comportamientoSprint RetrospectiveSTE + SecOpsDashboards de Awareness, SIEM
Ajustar campañas y controles según retroalimentaciónContinuous ImprovementTodo el equipoFeedback loop

4. Ejemplos de Historias de Usuario de Seguridad

  • US01 – Phishing Awareness: Como empleado, quiero identificar correos sospechosos para evitar comprometer credenciales.
  • US02 – Validación de Accesos: Como usuario, solo debo acceder a los módulos que mi rol permite.
  • US03 – Control de fuga de datos: Como sistema, debo bloquear el acceso a segmentos no autorizados, incluso si el atacante está dentro.

5. Criterios de Aceptación Ágil (DoD)

  • Simulación de ingeniería social ejecutada con resultados documentados
  • MFA activo y probado con técnicas de evasión comunes
  • No se permite escalación horizontal ni vertical sin trazabilidad
  • Métricas de concienciación analizadas y compartidas
  • Ajustes en historias futuras según resultados

Punto para reflexionar: Tener en cuenta que MFA activo (Autenticación Multifactor activa) se refiere a que un sistema tiene implementado y en uso efectivo más de un mecanismo de verificación para autenticar a un usuario. En lugar de solo una contraseña, se requiere al menos dos factores de distinta categoría, como: Algo que sabes (ej. contraseña), Algo que tienes (ej. token, app móvil, SMS), Algo que eres (ej. huella dactilar, reconocimiento facial). El término “activo” implica que está habilitado, probado y funcionando correctamente como capa adicional de seguridad para prevenir accesos no autorizados, incluso si las credenciales han sido comprometidas.

6. Métricas en el Flujo Ágil

  • Tasa de éxito de campañas de phishing simuladas
  • Porcentaje de historias con pruebas de seguridad integradas
  • Cobertura de pruebas de roles, privilegios y MFA
  • Velocidad de remediación ante hallazgos

7. Entregables del STE en cada Sprint

  • Casos de prueba y evidencia de ataques simulados
  • Informes breves sobre vulnerabilidades humanas detectadas
  • Recomendaciones para refuerzo de controles técnicos y capacitación

Momento para reflexionar: Desde el Security Testing por lo visto, se pueden tratar estos tema que Seguridad Informática aborda e implementa con diversas acciones por toda la compañía. Se puede comprobar el Syllabus nos propone diferentes enfoques para ocuparnos de este tipo de incidencias y un muy buen control de calidad podemos lograr.

Espero haberte ayudado en algo con estas ideas.😎

Publicación en LinkedIn

Etiquetas: , , ,

Gus Terrera

Apasionado por el agile testing y la ia.