Ataques «quid pro quo»: por qué los controles técnicos son lo primero

Comprender las vulnerabilidades de «quid pro quo» en las empresas

Los servicios de asistencia técnica de las empresas tramitan miles de solicitudes de asistencia al mes, lo que genera una presión constante para resolver los problemas rápidamente. Los atacantes se aprovechan de esta realidad operativa haciéndose pasar por proveedores legítimos durante los periodos de mayor actividad del servicio de asistencia, cuando se suelen omitir los pasos de verificación.

Hay tres deficiencias organizativas que hacen que los entornos empresariales sean desproporcionadamente vulnerables:

• Acceso no verificado al canal de asistencia: Las comunicaciones de asistencia entrantes suelen aceptarse sin más, ya que verificar cada solicitud genera dificultades operativas. Los atacantes se aprovechan de ello creando identidades de proveedores que parecen legítimas antes de realizar solicitudes que requieren acceso al sistema.
• Protocolos estandarizados de servicio de asistencia técnica que dan prioridad a la rapidez: la misma coherencia que hace que las operaciones del servicio de asistencia técnica sean eficientes las hace predecibles. Una vez que un atacante comprende el flujo de trabajo de tu servicio de asistencia, puede elaborar solicitudes que encajen en él de forma natural.
• Complejidad de las relaciones con los proveedores: gestionar decenas de relaciones con proveedores implica una superposición de canales de asistencia y cambios frecuentes de personal. Esta complejidad genera puntos ciegos en la autenticación que los atacantes identifican y aprovechan de forma sistemática.

Marco técnico de autenticación

Una defensa eficaz basada en el principio de «quid pro quo» requiere la implementación de controles técnicos que autentiquen los canales de asistencia antes de que intervenga el criterio humano. El objetivo es interceptar las comunicaciones falsificadas o no verificadas en el punto de entrada de la cola, antes de que lleguen a un analista del servicio de asistencia que trabaja bajo presión.

Controles de verificación de la comunicación

Configura las colas de asistencia de entrada para que verifiquen la autenticación del correo electrónico antes de enviar las solicitudes a los analistas. Una comunicación falsa de un proveedor procedente de un dominio como support@microsoft-helpdesk.com no superará DMARC , ya que el dominio del encabezado «De» no coincide con una fuente de envío autenticada. Un filtro automático puede detectar esto antes de que nadie lo vea.

El primer paso es filtrar los correos electrónicos falsos. El segundo es verificar la identidad en el caso de las solicitudes de alto riesgo. Para las solicitudes relacionadas con el acceso al sistema, el restablecimiento de credenciales o la instalación de software, es necesario exigir una verificación criptográfica de la identidad del proveedor, en lugar de basarse en la autenticación por correo electrónico o por teléfono.

Mantener una base de datos de contactos verificada con el personal y los canales de comunicación autorizados para cada proveedor, actualizada mediante una gestión formal de cuentas.

Sistemas de validación de devoluciones de llamada

Establezca protocolos obligatorios de devolución de llamada para todas las solicitudes de asistencia de alto riesgo. Estos protocolos deben utilizar información de contacto verificada de forma independiente procedente de la base de datos de proveedores, y no los números de teléfono facilitados en la solicitud inicial, que podrían estar en manos de un atacante.

Crear canales de comunicación independientes para la validación de las devoluciones de llamada que eludan las colas de asistencia habituales. En el caso de las solicitudes relacionadas con infraestructuras críticas, implementar un proceso de verificación implementar que requiera la aprobación tanto del personal técnico como de los gestores de relaciones con los proveedores antes de conceder el acceso.

Gestión de la autenticación de proveedores

Desarrollar y mantener registros de autenticación de proveedores que se integren directamente con los flujos de trabajo del servicio de asistencia técnica, proporcionando una verificación en tiempo real durante las interacciones de soporte. En el caso de los proveedores con acceso privilegiado al sistema, implementar tokens implementar o certificados que proporcionen una prueba criptográfica de identidad.

Revise y actualice los registros de autenticación de proveedores cada trimestre, especialmente tras cambios de personal o actualizaciones de la información de contacto.

Cómo ayuda Sendmarc

Los servicios de asistencia técnica son objetivos muy valiosos precisamente porque están diseñados para ofrecer rapidez. Las brechas de autenticación que aprovechan los atacantes de tipo «quid pro quo» pueden solucionarse con la solución adecuada.

La plataforma de Sendmarc te ayuda a subsanar esas deficiencias al ofrecerte:

• DMARC : Aplicar p=reject en todos tus dominios para que los correos electrónicos falsos de proveedores nunca lleguen a tu equipo de asistencia técnica
• Lookalike Domain Defense: Identifica los dominios que se hacen pasar por tu organización antes de que se utilicen con fines maliciosos
• Breach Detection: Detecta las credenciales de los empleados comprometidas antes de que se utilicen para eludir los procesos de verificación

Sendmarc también te ofrece una visión global de todas DMARC SPF, DKIM y DMARC , de modo que los errores de autenticación no pasen desapercibidos, lo que reduce la carga de trabajo de investigación de los equipos de seguridad y de TI, que ya están desbordados.

¿Estás listo para eliminar las brechas de autenticación que aprovechan los atacantes?