Con los ciberataques a la orden del día, la falta de cultura cibernética, la mínima cantidad de empresas, negocios y organizaciones que implementan una solución de protección en seguridad de datos e información, posicionan a México como un blanco fácil y atractivo para los ciberdelincuentes.
Durante el marco del Kaspersky Summit 2019, celebrado en el Centro Banamex de la Ciudad de México, el especialista Fernando Thompson, Dir. Gral. de tecnologías de la información de la Universidad de las Américas de Puebla, expreso su opinión hacía el tema, “México está entre los 10 países que más ciberataques recibe a nivel mundial, por diferentes factores: el tamaño de mercado, número de gente que se conecta y una falta muy fuerte que tenemos en seguridad informática y un nulo control por parte del gobierno”.
El especialista menciona “que, del total de Pymes, solo el 6% tiene infraestructura para protegerse”.
“Estamos hablando de 50% del producto interno bruto y de menos del 80% de las compañías que generan empleo. Y ha habido problemas de compañías que han desaparecido por problemas de ciberseguridad”. De esta manera Fernando Thompson afirma que esto ha ocasionado que México descienda 35 lugares en el índice de ciberseguridad a nivel mundial.
Es importante que las empresas entiendan y atiendan su situación de seguridad informática, ya que el problema del robo de datos e información no solo perjudica a la parte interna de la empresa, sino que además termina por afectar a sus clientes y usuarios, ampliando el problema hasta la usurpación de identidad. Thompson confirma que este tipo de situaciones ya se han presentado, es el caso de Target, Liverpool, Banorte y SPEI.
“La gente no está acostumbrada. Con un solo clic que dé para descargar un archivo todo está perdido. Porque puede bajar un ransomware que secuestre la información de la computadora y secuestre lateralmente la red muy rápido. Puedes tener el mejor antivirus, cortafuegos y seguridad del mercado, pero si el usuario da clic ya nos amolamos todos”.
El cambio en la cultura de ciberseguridad depende en gran medida del director CEO, quien es responsable de inculcar y desarrollar la cultura dentro de la empresa con todos sus colaboradores.
Si por otro lado, el CEO toma como poco importante la seguridad de su infraestructura TI, tendrá que asumir las consecuencias del mal uso de datos y probablemente del declive o pérdida total de la compañía.
La prevención y cultura en ciberseguridad son parte fundamental para Fernando Thompson, pues gracias a ello han logrado evitar que “13 mil ataques” diarios tengan éxito en la Universidad de las Américas de Puebla.
Queda claro que la única forma en que los datos de las empresas se encuentren protegidos, es aplicando soluciones eficientes en ciberseguridad, que mantengan reforzados los puntos vulnerables en toda la infraestructura y eviten el éxito de los ataques cibernéticos.
Esta semana, Mozilla, la empresa propietaria del navegador Firefox, ha recomendado a sus usuarios que actualicen su navegador ya que en la actualización han incluido un parche para su software que soluciona una vulnerabilidad zero-day crítica en sus scripts que ha sido utilizada por cibercriminales para realizar ataques dirigidos.
Esta vulnerabilidad permite a los hackers entrar a los equipos que usan Firefox y usarlos a su antojo, por lo que es fundamental actualizar el navegador lo más pronto posible.
La vulnerabilidad (CVE-2019-11707) es considerada de impacto «crítico», fue descubierta por Samuel GroB, del equipo de expertos en ciberseguridad de Google Project Zero, y la compañía Coinbase Security.
De acuerdo con Mozilla, es una "una vulnerabilidad de confusión de tipo que puede ocurrir cuando se manipulan objetos JavaScript debido a problemas en Array.pop. Esto puede dar lugar a un crash explotable. Somos conscientes de ataques dirigidos que están abusando de este problema".
¿Qué necesitas hacer para actualizar Firefox?
Si el navegador no se actualizó sólo (lo hace comúnmente), sigue los siguientes pasos:
Pulsa en el desplegable de opciones
Busca en la parte baja el letrero de 'Ayuda', da click ahí y luego en 'Acerca de Firefox'
Ahí verás la versión de Firefox que tienes y, en caso de que no esté actualizada, se actualizará a la siguiente y te pedirá confirmar la acción
Comenzamos esta nota definiendo Collection #1, es un conjunto de direcciones de correo electrónico y contraseñas que suman 2, 692, 818,238 filas. Se compone de muchas violaciones de datos individuales de literalmente miles de fuentes diferentes.
Have I Been Pwned, el servicio de notificación de infracciones que sirve como un referente para la seguridad de las contraseñas de inicio de sesión, acaba hacer pública la mayor transferencia de datos, una lista que incluye casi 773 millones de direcciones de correo electrónico únicas y 21 millones de contraseñas únicas que son usadas para iniciar sesión en sitios de terceros.
De acuerdo con Troy Hunt, fundador de Have I Been Pwned, la lista es una compilación de muchas listas más pequeñas tomadas de brechas pasadas y que ha tenido una amplia circulación durante la semana pasada. Nombrada "Colección # 1", los datos agregados probablemente fueron recopilados para servir como una lista maestra que los hackers podrían usar en los ataques de relleno de credenciales. Estos ataques utilizan scripts automatizados para inyectar las credenciales de un sitio web dañado en un sitio web diferente con la esperanza de que los titulares reutilicen las mismas contraseñas.
Las 773 millones de direcciones de correo electrónico y 21 millones de contraseñas superaron fácilmente la notificación de violación de registro anterior de Have I Been Pwned que contenía 711 millones de registros. Pero hay otras cosas que hacen que esta última entrega se destaque. En total, contiene 1.16 mil millones de combinaciones de correo electrónico y contraseña. Eso significa que la lista cubre a las mismas personas varias veces, pero en muchos casos con contraseñas diferentes.
Datos significativos:
La lista, contenida en 12,000 archivos separados que ocupan más de 87 gigabytes de espacio en disco, tiene 2,69 billones de filas, muchas de las cuales contienen entradas duplicadas.
Aproximadamente 663 millones de las direcciones se han enumerado en las notificaciones anteriores de Have I Been Pwned, lo que significa que el servicio nunca había visto 140 millones de direcciones. Have I Been Pwned ha comenzado la tarea de enviar por correo electrónico a más de 768,000 personas que se registraron para recibir notificaciones y cerca de 40,000 personas que monitorean los dominios.
Hunt comentó también: "Las personas recibirán notificaciones o navegarán al sitio, esto será un pequeño recordatorio más sobre el uso indebido de nuestros datos personales". En el mismo comunicado mencionó: "Si, como yo, está en esa lista, las personas que intentan entrar en sus cuentas en línea lo están haciendo circular entre ellos y buscan aprovechar los atajos que pueda estar tomando con su seguridad en línea".
Hunt dijo que una de las preguntas que más le hacen es si divulgará la contraseña que acompaña a la dirección de correo electrónico en caso de incumplimiento. Él se ha negado rotundamente por las siguientes razones: en primer lugar, el emparejamiento de nombres de usuario y contraseñas convertiría su servicio en un objetivo importante para los piratas informáticos. También le requeriría almacenar las contraseñas en texto claro, que es algo que ningún sitio debería hacer.
¿Tu correo está dentro de esta brecha? Puedes averiguarlo aquí.
Durante el desarrollo de estrategias o procesos de ciberseguridad, las pruebas de Pentest se han convertido en un paso importante para poder evaluar la efectividad de los procesos y mecanismos de ciberseguridad en las organizaciones, así como el identificar la fragilidad de sus sistemas de Seguridad e incluso justificar la adopción de nuevas herramientas y procesos en el área.
Este tipo de pruebas tienen como objetivo principal el identificar vulnerabilidades potenciales en los sistemas y estructuras de red de las organizaciones, y por medio de herramientas especializadas intentar lograr una intrusión desde el punto de vista de un atacante, midiendo el impacto y alcance que se tendría al recibir un ataque dirigido hacia la empresa. De esta manera se conocerían sus debilidades y huecos de Seguridad, permitiendo al departamento de Seguridad blindar y robustecer las capas de Seguridad implementadas en su infraestructura.
Este tipo de pruebas se recomiendan realizarse al menos una vez al año para que de esta manera se pueda tener un esquema de mejora continua en los procesos y mecanismos de Seguridad, buscando que el proveedor encargado de realizar el servicio se encuentre debidamente calificado y certificado para ejecutar dichas pruebas.
Los pentest pueden clasificarse en 3 modos:
White Box: El PenTester debe de tener pleno conocimiento del objetivo a atacar, por lo que es necesario que el administrador de Seguridad de TI pueda compartir esta información con el Tester. El administrador tendrá un conocimiento sobre el tipo de prueba a realizar y en qué momentos se llevarán a cabo.
Black Box:El PenTester no cuenta con ningún tipo de información del objetivo, simulando un atacante externo a la organización, por lo que el Tester se encargaría de realizar la debida investigación por sus propios medios, ya sea por medio de ingeniería social, escaneos de puertos, escaneos de vulnerabilidades, etc.Dichas pruebas pueden ser realizadas desde localidades remotas o incluso dentro de las oficinas de la organización
Gray Box: El PenTester cuenta con determinada cantidad de información del objetivo, por lo que se trata de una combinación entre White y Black Box.
En relación con la información compartida por Bloomberg sobre el hackeo que empresas americanas como Apple y Amazon sufrieron por atacantes chinos, la semana pasada y después de que algunas de las compañías involucradas negaran dicho ataque, esta semana se compartió nueva información relacionada con el tema.
Continuando con la investigación, Yossi Appleboum, director ejecutivo de Sepio systems en Gaithersburg, Maryland presentó algunos documentos que indican que Super Micro Computer, la encargada de la producción de las tarjetas madre vulneradas, no trabajó en conjunto con el grupo de hackers chinos. Explicó además que se encontraron en el conector Ethernet del servidor, chips espías en una de las computadoras de Super micro.
“El hardware manipulado se encontró en una instalación que tenía un gran número de servidores Super Micro, y los técnicos de la compañía de telecomunicaciones no pudieron responder qué tipo de datos abarcaba el hackeo”, dijo Appleboum, quien los acompañó para una inspección visual de la máquina.
¿Quieres más información sobre el Gran Hackeo? La encuentras aquí.
La semana pasada se publicó en Bloomberg BusinessWeek una investigación en la que se informaba que Apple y otras empresas estadounidenses habían sido víctimas de un hackeo masivo orquestado por el ejército chino. Las empresas involucradas ya están compartiendo su postura respecto a esa información. Esto es lo que dijo Steve Schmidt, Director de Seguridad de la Información de Amazon Web Services.
“La semana pasada, Bloomberg BusinessWeek publicó una historia en la que afirmaba que AWS sabía sobre los chips maliciosos alojados en las placas base SuperMicro del hardware de Elemental Media en el momento en que Amazon adquirió Elemental.
Como compartimos con Bloomberg BusinessWeek varias veces durante los últimos dos meses, esto no es cierto. En ningún momento, pasado o presente, hemos encontrado problemas relacionados con hardware modificado o chips maliciosos en las placas base SuperMicro en los sistemas Elemental o Amazon. Tampoco hemos participado en una investigación con el gobierno.
Hay tantas inexactitudes en este artículo en relación con Amazon que son difíciles de contar. Vamos a nombrar sólo algunas de ellas aquí. Primero, cuando Amazon estaba considerando adquirir Elemental, hicimos una investigación con nuestro propio equipo de seguridad y también encargamos a una sola compañía de seguridad externa que hiciera una evaluación de seguridad para nosotros. Ese informe no identificó ningún problema con los chips o hardware modificados. Como es típico en la mayoría de estas auditorías, ofreció algunas áreas recomendadas para remediar y solucionamos todos los problemas críticos antes de que se cerrara la adquisición. Este fue el único informe de seguridad externo encargado. Bloomberg admite que nunca ha visto nuestro informe de seguridad comisionado ni ningún otro (y se ha negado a compartir con nosotros cualquier detalle de cualquier otro informe).
El artículo también afirma que después de conocer las modificaciones de hardware y los chips maliciosos en los servidores Elemental, llevamos a cabo una auditoría en toda la red de las placas base SuperMicro y descubrimos los chips maliciosos en un centro de datos de Beijing. Esta afirmación es igualmente falsa. La primera y más obvia razón es que nunca encontramos hardware modificado o chips maliciosos en los servidores Elemental. Aparte de eso, nunca encontramos hardware modificado o chips maliciosos en los servidores de ninguno de nuestros centros de datos. Y esta idea de que vendimos el hardware y el centro de datos en China a nuestro socio Sinnet porque queríamos deshacernos de los servidores SuperMicro es absurda. Sinnet había estado ejecutando estos centros de datos desde que lanzamos en China, desde el principio eran propietarios de estos centros de datos y el hardware que "vendimos" era un acuerdo de transferencia de activos exigido por las nuevas regulaciones de China para la Nube no china.”
Steve Schmidt, termina el mensaje asegurando que AWS emplea estrictos estándares de seguridad en todas y cada una de sus cadenas de suministro; investiga todo el hardware y software aún antes de comenzar con la producción y que además realizan auditorías de seguridad periódicas de manera interna.
“La seguridad siempre será nuestra máxima prioridad. AWS cuenta con la confianza de muchas de las organizaciones más sensibles, precisamente porque hemos demostrado este compromiso inquebrantable de poner su seguridad por encima de todo lo demás. Estamos constantemente atentos a las posibles amenazas a nuestros clientes y tomamos medidas rápidas y decisivas para abordarlas cada vez que se identifican.”
Un ataque de espías chinos llegó a casi 30 empresas estadounidenses, entre ellas Amazon y Apple, al comprometer la cadena de suministro de tecnología de Estados Unidos, de acuerdo con información compartida por fuentes gubernamentales y corporativas.
En 2015, Amazon comenzó a evaluar una nueva empresa llamada Elemental Technologies, una posible adquisición para ayudar con una importante expansión de su servicio de transmisión de video, Amazon Prime Video. Con sede en Portland, Elemental hizo un software para comprimir archivos de video masivos y formatearlos para diferentes dispositivos.
Para ayudar con la diligencia debida, AWS, que estaba supervisando la posible adquisición, contrató a una compañía de terceros para que examinara la seguridad de Elemental, según una persona familiarizada con el proceso. En la primera revisión se descubrieron problemas, lo que llevó a AWS a observar más detenidamente el producto principal de Elemental: los servidores que los clientes instalaron en sus redes para manejar la compresión de video, estos servidores fueron ensamblados para Elemental por Super Micro Computer Inc. A fines de la primavera de 2015, el personal de Elemental encajó varios servidores y los envió a Ontario, Canadá, para que la compañía de seguridad de terceros los probara, dice la persona.
Anidados en las placas base de los servidores, los evaluadores encontraron un pequeño microchip, no mucho más grande que un grano de arroz, que no formaba parte del diseño original de las tablas. Amazon informó sobre el descubrimiento a las autoridades de EE. UU., lo que generó un estremecimiento en toda la comunidad de inteligencia; los servidores de Elemental se pueden encontrar en los centros de datos del Departamento de Defensa, las operaciones de aviones no tripulados de la CIA y las redes a bordo de los buques de guerra de la Armada.
Durante la investigación secreta que siguió y que permanece abierta más de tres años después, los investigadores determinaron que los chips permitieron a los atacantes crear una puerta oculta en cualquier red que incluyera las máquinas alteradas. Múltiples personas familiarizadas con el asunto dicen que los investigadores descubrieron que los chips habían sido insertados en fábricas dirigidas por subcontratistas en China.
Este ataque fue algo más grave que los incidentes basados en software que el mundo está acostumbrado a ver. Los trucos de hardware son más difíciles de lograr y potencialmente más devastadores, además, prometen el tipo de acceso sigiloso a largo plazo en el que las agencias de espionaje están dispuestas a invertir millones de dólares.
Hay dos maneras en que los espías pueden alterar las entrañas de los equipos informáticos:
La primera, conocida como interdicción, consiste en manipular dispositivos cuando están en tránsito desde el fabricante hasta el cliente.
La segunda, implica cambios de siembra desde el principio. Un país en particular tiene una ventaja en la ejecución de este tipo de ataque: China, que según algunas estimaciones representa el 75 % de los teléfonos móviles del mundo y el 90 por ciento de sus PC. Sin embargo, lograr un ataque de siembra en realidad significaría desarrollar una comprensión profunda del diseño de un producto, manipular los componentes en la fábrica y asegurar que los dispositivos manipulados hayan llegado a través de la cadena logística global a la ubicación deseada.
Los investigadores de Estados Unidos encontraron que los chips fueron insertados durante el proceso de fabricación – de acuerdo con dos funcionarios - por agentes de una unidad del Ejército Popular de Liberación.
De acuerdo con un funcionario, los investigadores descubrieron que eventualmente afectó a casi 30 compañías, incluyendo un banco importante, contratistas del gobierno y la compañía más valiosa del mundo, Apple Inc. Apple era un cliente importante de Supermicro.
En declaraciones enviadas por correo electrónico, Amazon, Apple y Supermicro disputaron los resúmenes de los informes de Bloomberg Businessweek.
"Es falso que AWS supiera sobre un compromiso de la cadena de suministro, un problema con chips maliciosos o modificaciones de hardware al adquirir Elemental", escribió Amazon.
"En esto podemos ser muy claros: Apple nunca ha encontrado chips maliciosos, manipulaciones de hardware o vulnerabilidades plantadas a propósito en ningún servidor", escribió Apple.
"No tenemos conocimiento de ninguna investigación de este tipo", escribió un portavoz de Supermicro, Perry Hayes. El gobierno chino no abordó directamente las preguntas sobre la manipulación de los servidores de Supermicro, solamente emitió una declaración que decía, en parte, que "la seguridad de la cadena de suministro en el ciberespacio es un tema de preocupación común, y China también es una víctima".
El FBI y la Oficina del Director de Inteligencia Nacional, en representación de la CIA y la NSA, declinaron hacer comentarios.
En total, 17 personas confirmaron la manipulación del hardware de Supermicro y otros elementos de los ataques. Un funcionario del gobierno dice que el objetivo de China es el acceso a largo plazo a secretos corporativos de alto valor y redes gubernamentales sensibles. No se sabe que los datos de los consumidores hayan sido robados.
{{cta('97f6c714-3d5f-4f4b-a8c4-bbb34ce4bf71')}}
Los funcionarios familiarizados con la investigación dicen que la función principal de los implantes como estos es abrir puertas que otros atacantes puedan atravesar. "Los ataques de hardware tienen que ver con el acceso", como lo expresó un ex funcionario de alto rango. En términos simplificados, los implantes en el hardware de Supermicro manipularon las instrucciones de operación principales que le dicen al servidor qué hacer cuando los datos se mueven a través de una placa base, dicen dos personas familiarizadas con la operación de los chips. Esto sucedió en un momento crucial, ya que pequeños bits del sistema operativo se almacenaban en la memoria temporal de la placa en ruta al procesador central del servidor, la CPU. El implante se colocó en la placa de manera que le permitiera editar efectivamente esta cola de información, inyectando su propio código o alterando el orden de las instrucciones que debía seguir la CPU.
Como los implantes eran pequeños, la cantidad de código que contenían también era pequeña. Pero fueron capaces de hacer dos cosas muy importantes: decirle al dispositivo que se comunique con una de varias computadoras anónimas en otro lugar que se cargaron con un código más complejo. Los chips ilícitos podían hacer todo esto porque estaban conectados al controlador de administración de la placa base. Este sistema podía permitir a los atacantes alterar cómo funcionaba el dispositivo, línea por línea, sin que nadie se diera cuenta.
Mientras los agentes monitoreaban las interacciones entre los funcionarios chinos, los fabricantes de placas base y los intermediarios, vislumbraron cómo funcionaba el proceso de siembra. En algunos casos, los gerentes de planta fueron contactados por personas que decían representar a Supermicro o que tenían cargos que sugerían una conexión con el gobierno. Los intermediarios solicitarían cambios en los diseños originales de las placas base, inicialmente ofreciendo sobornos junto con sus solicitudes inusuales. Si eso no funcionaba, amenazaban a los gerentes de fábrica con inspecciones que podrían cerrar sus plantas. Una vez que los arreglos estaban en su lugar, los intermediarios organizarían la entrega de los chips a las fábricas.
Los investigadores concluyeron que este complejo esquema era el trabajo de una unidad del Ejército Popular de Liberación que se especializa en ataques de hardware, según dos personas informadas sobre sus actividades. La existencia de este grupo nunca se ha revelado antes, pero un funcionario dijo: "Hemos estado rastreando a estos individuos durante más tiempo del que nos gustaría admitir". Se cree que la unidad se enfoca en objetivos de alta prioridad, incluidos los comerciales avanzados.
Cómo funcionó el hackeo, según los funcionarios de los Estados Unidos
Una unidad militar china diseñó y fabricó microchips tan pequeños como una punta de lápiz afilada. Algunos de los chips se construyeron para que parecieran acopladores de acondicionamiento de señal, e incorporaron memoria, capacidad de red y suficiente capacidad de procesamiento para un ataque.
Los microchips se insertaron en las fábricas chinas que suministraban a Supermicro, uno de los vendedores más grandes de placas base para servidores.
Las placas madre fueron construidas en servidores ensamblados por Supermicro.
Los servidores saboteados se abrieron paso dentro de los centros de datos operados por docenas de compañías.
Cuando se instaló y encendió un servidor, el microchip modificó el núcleo del sistema operativo para que pudiera aceptar modificaciones. El chip también podría contactar a las computadoras controladas por los atacantes en busca de más instrucciones y código.
Facebook acaba de admitir mediante un comunicado que un grupo de hackers desconocido explotó una vulnerabilidad de día cero en su plataforma, lo que le permitió robar el token (son el equivalente a las claves digitales que mantienen a las personas conectadas a Facebook, por lo que no necesitan volver a ingresar su contraseña cada vez que usan la aplicación) de acceso a más de 50 millones de cuentas.
En el mismo comunicado, Facebook explicó que su equipo de seguridad descubrió el ataque tres días antes y que todavía están investigando el incidente.
La vulnerabilidad usada para realizar el ataque (ahora parchada por el equipo de Facebook) se encontró en la función “Ver como”, que permite a los usuarios descubrir cómo se ve su perfil por quienes lo visitan. De acuerdo con Facebook, esta vulnerabilidad permitió a los hackers robar los tokens de seguridad para posteriormente usarlos para acceder directamente a la información privada de los usuarios sin necesidad de una contraseña o validación de un código de seguridad.
Para evitar las cuentas de sus usuarios, Facebook ya ha restablecido tokens de acceso para casi 50 millones de cuentas de Facebook afectadas y 40 millones de cuentas adicionales, como medida de precaución.
"Nos tomamos esto muy en serio y queremos que todos sepan lo que sucedió y la acción inmediata que hemos tomado para proteger la seguridad de las personas", dijo Facebook.
"Como resultado, alrededor de 90 millones de personas tendrán que volver a iniciar sesión en Facebook, o cualquiera de sus aplicaciones que usen el inicio de sesión de Facebook. Después de que hayan vuelto a iniciar sesión, las personas recibirán una notificación en la parte superior de sus noticias explicando qué sucedió."
Como medida extra de seguridad, la función "Ver como" ha sido desactivada temporalmente.
Todas las personas y empresas que se encuentran conectadas a la red, están en peligro de sufrir un ataque cibernético y los aeropuertos no son la excepción, esto lo pudimos comprobar en marzo de este año cuando el Aeropuerto Internacional Hartsfield-Jackson de Atlanta, cerró su red interna de Wi-Fi como medida de seguridad, pues la red gubernamental de Atlanta había sufrido un ataque de ransomware.
Este este mes tocó el turno al aeropuerto de Bristol en Reino Unido: las pantallas de información de los vuelos estuvieron apagadas, ya que de acuerdo con los especialistas de hacking ético, los sistemas informáticos que las ejecutan sufrieron una infección de ransomware.
De acuerdo con las redes sociales oficiales del aeropuerto, la infección entró en los sistemas el viernes por la mañana y su funcionalidad se restauró el domingo por la mañana, por lo que el domingo por la noche todos los sistemas del aeropuerto habían vuelto a la normalidad.
Los funcionarios del aeropuerto se negaron a pagar el rescate y recurrieron al restablecimiento manual de todos los sistemas afectados para solucionar al problema. Tras el incidente el aeropuerto publicó el siguiente mensaje:
“Agradecemos a los pasajeros su paciencia mientras trabajamos para resolver los inconvenientes suscitados este fin de semana. Las pantallas digitales trabajan normalmente ahora. Continuaremos trabajando para solucionar cualquier otro hecho derivado del ataque a nuestros sistemas”
Un ataque informático se puede describir como una actividad hostil contra un sistema, un instrumento, una aplicación o un elemento que tenga un componente informático.
Un ataque informático tiene un objetivo, ¿Pero cómo llegan al objetivo? Creando estrategias casi invisibles para cualquier empresa o usuario, los atacantes son conscientes de ello, por lo que era de esperarse que desarrollaran una metodología con una serie de fases o pasos a seguir para que el ataque sea exitoso.
A continuación te presentamos las 5 fases o etapas de un ataque informático: ¡TOMA NOTA!
1. Reconocimiento:
Como su nombre lo indica, esta fase consiste en la recopilación de información del entorno, con el fin de buscar un objetivo potencial, el cual puede ir desde la búsqueda en Internet sobre una persona o empresa por ejemplo (Ingeniería Social), hasta el poder hacer un sniffing en la red objetivo para comprender cómo está estructurada la red, los rangos de direccionamiento de red que manejan, Hostname, servidores y otros servicios disponibles (Impresoras, conmutadores, etc.)
2. Escaneo e investigación:
Una vez teniendo claro el objetivo, el atacante procede a escanear y a examinar toda la información recopilada, con el fin de encontrar huecos de seguridad en los equipos objetivos, ya que puede obtener detalles como el sistema operativo que usa el equipo, los puertos de comunicación abiertos, cuentas de usuarios y vulnerabilidades en los aplicativos de los equipos.
3. Acceso:
Aquí es donde empieza la magia, porque el atacante empieza a explotar cada vulnerabilidad encontrada en los sistemas, con el fin de tener el acceso a dicho equipo o de empezar a causar estragos, ya sea causando una saturación en los recursos de los equipos de cómputo y por ende generando un ataque DoS (Denial of Service), Secuestro de sesión (Hijacking), ataques de fuerza bruta para poder adivinar o romper las credenciales de acceso al sistema, una vez teniendo acceso al sistema objetivo, el atacante puede prácticamente explorar todo.
{{cta('84f90223-9086-4b97-9ee6-243b7971c809')}}
4. Manteniendo el acceso:
La prioridad en esta etapa es la de mantener abierta la puerta para poder entrar y salir cuando guste, permitiéndole utilizar el equipo comprometido para seguir explorando otros sistemas en la red o para lanzar nuevos ataques desde la misma red interna. En muchas ocasiones se utilizan rootkits para poder ocultar los procesos, sesiones y las conexiones que mantiene hacia el servidor maestro.
5. No dejar rastro:
En esta última fase, el atacante buscará el borrar toda la evidencia que pueda ser utilizada para rastrear su actividad, con el fin de no ser detectado por los administradores de red al instalar software o en las modificaciones que haya ejecutado, de esta manera puede seguir entrando y saliendo del sistema comprometido sin mayor problema y evitar ser atrapado.
La mayoría de las veces hacen uso de una técnica llamada Esteganografía, para que de este modo no pueda ser percibida su existencia en la red, ocultando información sobre algún otro elemento.
Como podemos ver, es de vital importancia conocer este tipo de fases de ataque, ya que con esto podemos darnos una idea del tipo de soluciones que debemos implementar como parte de nuestra estrategia de ciberseguridad, buscando siempre tener esa visibilidad de lo que acontece en nuestra red interna y en las comunicaciones que se hacen hacia el exterior.
