Despierta, prepara el desayuno, lleva a los niños a la escuela, conduce al trabajo, entra en la bandeja de entrada del director financiero y roba los registros de impuestos de los empleados de toda la compañía. Quizás más tarde agarres un bagel al otro lado de la calle.
Para los "equipos rojos", o investigadores de seguridad ofensivos, es solo otro día en el trabajo.
Estos equipos de seguridad ofensivos están formados por piratas informáticos calificados que están autorizados para encontrar vulnerabilidades en los sistemas, redes de una empresa, pero también en sus empleados. Al piratear una empresa desde dentro, la empresa puede comprender mejor dónde necesita apuntalar sus defensas para ayudar a prevenir un verdadero hacker en el futuro. Pero la ingeniería social, donde los hackers manipulan sus objetivos, puede tener serias consecuencias en el objetivo. Aunque los compromisos del equipo rojo están autorizados y son legales, la ética de ciertos ataques y esfuerzos puede pasar desapercibida.
La investigación recientemente publicada analiza la ética involucrada en los compromisos de seguridad ofensivos. ¿Es éticamente aceptable enviar correos electrónicos de phishing, sobornar a una recepcionista o colocar documentos comprometedores en la computadora de una persona si esto significa evitar una infracción en el futuro?
Los hallazgos mostraron que los profesionales de la seguridad, como los terapeutas rojos y los respondedores de incidentes, tenían más probabilidades de considerar éticamente aceptable llevar a cabo ciertos tipos de actividades de piratería en otras personas que con esas actividades dirigidas contra ellos mismos.
La investigación – a encuesta de más de 500 personas trabajando en puestos de seguridad y no seguridad, presentado por primera vez en Shmoocon 2020 en Washington DC esta semana, descubrió que los profesionales que no son de seguridad, como los empleados que trabajan en recursos legales, humanos o en la recepción, tienen nueve años veces más propensos a oponerse a recibir un correo electrónico de phishing como parte de un compromiso de equipo rojo que un profesional de seguridad, como un equipo rojo o una respuesta a un incidente.
Se espera que los hallazgos ayuden a comenzar una discusión sobre los efectos del compromiso de un equipo rojo en la moral de una empresa durante una prueba de penetración interna, y ayuden a las empresas a ayudar a comprender los límites de las reglas de compromiso de un equipo rojo.
"Cuando los terapeutas rojos se ven obligados a confrontar el hecho de que sus objetivos son como ellos mismos, su actitud sobre lo que está bien hacerle a otra persona sobre la prueba de seguridad en otras personas cambia drásticamente después de enfrentar el hecho de que podría sucederles". dijo Tarah Wheeler, investigadora de políticas de seguridad cibernética en Nueva América y coautora de la investigación.
La encuesta preguntó sobre una variedad de posibles tácticas en las pruebas de seguridad ofensivas, como el phishing, el soborno, las amenazas y la suplantación. A los encuestados se les asignó aleatoriamente una de las dos encuestas que contenían todas las mismas preguntas, excepto que una preguntó si era aceptable realizar la actividad y la otra preguntó si era aceptable si les sucedía.
Los hallazgos mostraron que los profesionales de la seguridad se opondrían hasta cuatro veces si se usaran ciertas tácticas contra ellos, como correos electrónicos de phishing y la siembra de documentos comprometedores.
"Los humanos son malos para ser objetivos", dijo Wheeler.
Los hallazgos llegan en un momento en que los equipos rojos son cada vez más los titulares de sus actividades como parte de los compromisos. Solo esta semana, dos investigadores de seguridad ofensivos en Coalfire tuvieron cargos retirados contra ellos por irrumpir en un juzgado de Iowa como parte de un compromiso de equipo rojo. Los investigadores fueron encargados y autorizados por el brazo judicial de Iowa para encontrar vulnerabilidades en sus edificios y redes informáticas en un esfuerzo por mejorar su seguridad. Pero el sheriff local atrapó a la pareja y se opuso a sus actividades, a pesar de presentar una carta de "salir de la cárcel" que detalla el compromiso autorizado. El caso dio un vistazo al mundo de las pruebas de penetración de seguridad y la formación de equipos rojos, incluso si los arrestos fueron universalmente criticados por la comunidad de seguridad.
La encuesta también encontró que los profesionales de seguridad en diferentes partes del mundo eran más reacios a ciertas actividades que otras. Los profesionales de seguridad en América Central y del Sur, por ejemplo, se oponen más a plantar documentos comprometedores, mientras que los de Medio Oriente y África se oponen más a sobornos y amenazas.
Los autores de la investigación dijeron que las conclusiones no son que los equipos rojos deben evitar ciertas prácticas de seguridad ofensivas, sino ser conscientes del impacto que pueden tener en los objetivos, que a menudo incluyen a sus colegas corporativos.
"Cuando establezca un equipo rojo y alcance sus objetivos, considere el impacto en sus compañeros de trabajo y clientes", dijo Roy Iversen, director de ingeniería de seguridad y operaciones de Fortalice Solutions, quien también fue coautor de la investigación. Iversen dijo que los hallazgos también pueden ayudar a las compañías a decidir si quieren que un equipo rojo externo lleve a cabo un compromiso para minimizar cualquier conflicto interno entre el equipo rojo interno de una compañía y el personal más amplio.
Los investigadores planean expandir su trabajo durante el próximo año para mejorar su conteo general de encuestas y comprender mejor la demografía de sus encuestados para ayudar a refinar los hallazgos.
"Es un proyecto en curso", dijo Wheeler.