Sistema de autogestión de campañas de ingeniería social para la concientización de la ciberseguridad: enfoque en el cliente y diseño

Abstract

En el contexto de Programa de Memorias Multidisciplinarias 2020 de la Universidad Técnica Fe derico Santa Maria, la empresa Dreamlab Technologies (desde ahora referido como la contraparte) ha propuesto la siguiente interrogante: ¿Cómo podemos ofrecer servicios de awareness de phishing, de manera que nuestros clientes sean capaces de lanzar y auto gestionar los mismos? Actualmente, uno de los grandes desafíos para las organizaciones es resguardarse de potenciales amenazas y estar preparadas para defenderse de ciber ataques, con el fin de que sus sistemas de información no se vean perjudicados y así, reducir perdidas monetarias para el negocio. La amenaza a cubrir en esta ´ memoria es la técnica de ingeniería social, el phishing, dada la necesidad detectada de que el personal se pueda capacitar para así reducir la propensión a caer en dicha amenaza. En la presente memoria se muestra la investigación, diseño, desarrollo e implementación de un sistema centralizado que permite la autogestión del servicio de campañas de phishing ofrecido por la contra parte, donde interactúan usuarios clientes y consultores de seguridad. Estos últimos son los encargados de ofrecer soporte a modo de administrador global de la plataforma. Para lograr lo anterior, se ha desarrollado una aplicación web, dispuesta para funcionar de cara a dos roles definidos: cliente y súper administrador. El rol de cliente tiene la habilidad de crear, editar, eliminar, lanzar y solicitar campanas de phishing. En la otra interfaz, el usuario súper administrador cuenta, en general, con cargo de consultor con experiencia ofreciendo los servicios, y puede gestionar todo el aplicativo de manera global, dando soporte al usuario cliente. Como resultado, se llegó a una prueba de concepto con una arquitectura simplificada que permite el envío de las campanas de phishing y la recolección de resultados, mediante base de datos local, servidor web y servicio en contenedor Docker. Además, se logra levantar una interfaz de usuario capaz de ofrecer el manejo de usuarios, creación de plantillas de phishing, envió de pruebas y lectura de resultados. De dicha forma, el sistema fue verificado funcionalmente enviando campanas de phishing que demuestran la efectividad de la solución, cumpliendo así los requerimientos de la contraparte.