AVA, ¿un software para impedir hackeos como los sufridos por el Pentágono?

Laura Bell/Linkedin

Vulneraciones de datos como la que atacó al sistema de correo electrónico del Pentágono el mes pasado a menudo empiezan cuando una persona comete un sencillo error como abrir un mensaje de phishing. Pero la industria de la seguridad informática se ha construido sobre todo con herramientas que exploran, parchean o escudriñan el software en lugar de los errores humanos.

La CEO de SafeStack, una empresa de seguridad de Auckland (Nueva Zelanda), Laura Bell, cree que ha dado con un método para abordar esa discrepancia. Está desarrollando un tipo de escáner de seguridad para las personas, en forma de un software llamado Ava. Envía correos electrónicos dirigidos o mensajes de redes sociales para poner a prueba a los receptores y determinar lo bien que se les da resistirse a las trampas que dan paso a ataques peligrosos.

"Si yo fuese el hacker, me dirigiría a las personas", dice Bell, que presentó Ava en la conferencia de seguridad informática Black Hat en agosto. "Las personas representan la menor resistencia, y tenemos que hacer algo al respecto".

Ava coge datos de sistemas informáticos corporativos para mapear los permisos de los que disponen los empleados y evaluar la frecuencia con la que se comunican entre sí. También busca los perfiles de redes sociales de los empleados y las conexiones entre ellos, que pueden hacer resaltar relaciones claves que podrían resultar valiosas para un atacante.

Entonces se puede utilizar Ava para enviar mensajes de estilo phishing a los empleados para poner a prueba sus reacciones. Podría haber un mensaje de un alto mando pidiendo una contraseña a un empleado de menor rango, por ejemplo, o uno de un compañero desconocido que utilice el nombre de un amigo en común y que pida que se comparta un documento con él por Facebook.

La industria de la seguridad dispone de algunas maneras establecidas para intentar frenar los llamados ataques de ingeniería social. La formación de seguridad se ha convertido en una práctica estándar en muchas organizaciones grandes, y algunas empresas simulan ataques de phishing periódicamente para subrayar los riesgos que representan los correos electrónicos falsos. Pero Bell dice que el flujo constante de los ataques causados por error humano demuestra que la educación no funciona. Mientras tanto, las empresas que realizan pruebas de phishing son pocas, y generalmente son pruebas únicas realizadas de forma manual, afirma.

La intención de Ava es permitir que las organizaciones sondeen patrones de comunicación y relaciones claves de forma periódica, explica Bell – siendo algo más parecido a un sistema automatizada de defensa, como un cortafuegos. Esto podría posibilitar que se rastreen cambios en el nivel de vulnerabilidad humana de una empresa con el paso del tiempo, quizás descubriendo relaciones con los plazos de entrega de los proyectos o eventos de formación, dice.

No obstante, Ava sigue siendo un trabajo en curso. Bell ha probado el software con varias pequeñas organizaciones del sector público y privado en Nueva Zelanda, y el equipo que trabaja en el software ha aumentado. Ahora, un comité de ética y privacidad recién formado está considerando los retos legales y de privacidad que rodean el engaño intencionado de la gente.

• Por Tom Simonite
• Traducido por Teresa Wood

http://www.technologyreview.es