Anatomía de un ciberataque




por Víctor Ruiz, fundador de SILIKN

No es novedad que los ciberataques se han estado convirtiendo en una de las mayores amenazas contra las organizaciones en todo el mundo . Diferentes y numerosas noticias a diario nos confirman que estamos en constante riesgo y que es una prioridad mantenernos alerta.

Sin embargo, para poder hacer frente a estas amenazas, es crucial entender en la medida de lo posible, la forma en que se planean y ejecutan, porque de ello depende algunas medidas que podemos tomar para prevenirlas o mitigarlas.

En principio, los ciberataques son muy parecidos a las prácticas militares, pues hay elementos que comparten entre sí, como las fases de reconocimiento, preparación del ataque, despliegue, explotación, instalación, comando y control, mantenimiento de posición y acciones sobre los objetivos.

Este año ha sido crítico en términos de ciberataques para empresas como EDP, Enel, Cognizant, Canon, Honda, Twitter, Garmin, Diebold, LG Electronics, Mitsubishi, BancoEstado, Cencosud, Sopra Steria, Capcom, Mattel, Campari, entre muchas otras, lo cual solo ha demostrado que los delincuentes van por empresas de cualquier tamaño, sector y ubicación geográfica.

Es por esto que con algunas claras señales de que podría haber ataques mayores en el 2021, es un momento idóneo para integrar la ciberseguridad a los planes y estrategias del siguiente año y examinar la anatomía de un ciberataque.

Las infracciones

Las infracciones pueden ocurrir cuando un delincuente ataca una red corporativa para robar datos privados. También ocurren cuando la información se extrae de la infraestructura basada en la nube.

Mucha gente piensa que las violaciones de seguridad solo le ocurren a corporaciones importantes, pero un análisis de la unidad de ivestigación de SILIKN encotró que alrededor del 56.1% de las violaciones afectan a las pequeñas empresas (en el caso de México) y el daño que experimentan estas empresas es considerable: el 72.3% deja de funcionar dentro de los seis meses posteriores a un ataque.

Las pequeñas empresas son objetivos atractivos porque su seguridad no suele ser tan avanzada como la que se encuentra en las grandes empresas. Los sistemas pueden estar desactualizados y los errores a menudo no se reparan durante períodos prolongados. Las PyMEs también suelen tener menos recursos disponibles para administrar un ataque, lo que limita su capacidad para detectar, responder y recuperarse. Además, las pequeñas empresas pueden servir como campo de prueba para que los cibercriminales prueben sus métodos antes de lanzar un ataque contra otra organización más grande.

Los pasos más comunes en un ciberataque son:
  • Reconocimiento: En esta fase, el atacante busca opciones para un ataque que maximicen las posibilidades de lograr sus objetivos, ya sea robar datos o secretos comerciales, causar interrupciones del servicio o desviar fondos. El atacante implementa una serie de técnicas para averiguar qué tipo de defensas tiene una organización y qué tan bien se mantienen. Por ejemplo, ¿existe una gran brecha entre el momento en que se emite una actualización o parche y el momento en que se instala? Los delincuentes quieren obtener toda la información que puedan sobre la red y los hábitos de los usuarios. Adoptan las herramientas y los trucos que se desarrollaron para ayudar a las organizaciones a armarse contra un ataque, dándoles la vuelta para ayudar a ejecutar un ataque.
  • Ataque o explotación: Haciendo uso de lo encontrado en la fase de reconocimiento, los delincuentes despliegan la estrategia más adecuada y eficiente. Hay elementos comunes de los ataques, por ejemplo, en primer lugar, un atacante debe infiltrarse en el sistema. Por lo general, lo hacen obteniendo credenciales a través del spear-phishing, elevando sus privilegios y entregando malware para cubrir sus rastros. Una vez hecho esto, el atacante puede deambular libremente por la red sin ser detectado, a menudo durante meses, esperando y observando algo de valor. Tal maniobra podría significar enumerar los servicios web o buscar más áreas objetivo, además de examinar las fuentes de datos.
  • Post-Explotación: El siguiente paso es la post-explotación, cuando ocurre el robo real. Para lograr la post-explotación con el menor riesgo de detección, los datos deben comprimirse para que se puedan eliminar rápidamente sin llamar demasiado la atención. Con la limitación del ancho de banda, los datos se pueden extraer sin activar alarmas. Los datos robados se envían a un servidor controlado por cibercriminales o una fuente de datos basada en la nube.
  • Persistencia: Una vez que se ejecuta el ataque y se eliminan los datos, los atacantes deben asegurarse de que la organización a la que están atacando no vuelva a crear una imagen de sus sistemas, no pueda detectar la intrusión, no tenga posibilidades de recuperación o no pueda mantener la continuidad de sus operaciones. Como tal, los delincuentes probablemente instalarán malware en varias máquinas para que tengan las claves del sistema y puedan volver a la red cuando lo deseen.

Con una comprensión de los conceptos básicos de los ciberataques, las organizaciones pueden defender mejor su posición. Pueden priorizar aspectos como la actualización y protección de sus sistemas clave. También pueden realizar pruebas de penetración en un horario regular para que una red de pentesters capacitados ataque los sistemas y aplicaciones para identificar posibles puntos a explotar. Una vez que se encuentran estos puntos, las empresas pueden tomar medidas rápidas para remediarlos.

La administración y las pruebas continuas del sistema son solo dos formas en las que las empresas pueden mantenerse a la vanguardia, encontrando configuraciones erróneas y vulnerabilidades antes de un ataque. En el entorno actual, la vigilancia es clave, así como un enfoque preventivo es totalmente necesario.