Las 5 etapas de un cibercriminal para lograr un ataque*
La ciberseguridad es uno de los principales focos de la inversión tecnológica para la mayoría de las empresas en América Latina para el 2023. Según un estudio de la consultora IDC, los ingresos mundiales en seguridad para gobernanza, riesgo y cumplimiento se incrementarán en un 35% para el año 2026 comparado con 2021.
Los efectos desastrosos de un ataque exitoso a un negocio cada vez son más conocidos. Seguro que muchas personas se sorprenderían al conocer el tiempo que puede llevar un solo ataque cibernético de principio a fin, y el tiempo de permanencia promedio de un intruso en un ecosistema de TI, que a veces puede ser de 9 meses…
En este contexto, estas son las 5 etapas que usan un gran porcentaje de los hackers para lograr un ciberataque en una empresa:
- Conocer a la víctima: Los cibercriminales comienzan identificando organizaciones objetivo y recopilando información sobre ellas. Los enfoques clave incluyen qué datos valiosos podrían robar, qué tan grande sería la recompensa que podrían obtener de un ataque de ransomware y qué tan difícil podría ser la misión. El reconocimiento puede ser pasivo, lo que implica el uso de fuentes públicas como registros de impuestos, ofertas de trabajo y redes sociales para descubrir qué sistemas y aplicaciones usa la organización, los nombres de sus empleados, etc.
El proceso también puede involucrar técnicas activas como el escaneo de redes y puertos para comprender la arquitectura de red de la organización objetivo, los firewalls y los programas de detección de intrusos, los sistemas operativos y las aplicaciones, y los servicios alojados en sus puertos. - Planificación: A continuación, el atacante determina qué método de ataque usar. Los ejemplos incluyen explotar una vulnerabilidad de día cero, lanzar una campaña de phishing o sobornar a un empleado para que proporcione detalles de inicio de sesión o implemente malware.
- Ataque inicial: Luego, el cibercriminal usa el método de ataque elegido para intentar violar la red de la organización. Por ejemplo, podría lograr adivinar la identificación de usuario y la contraseña de un empleado, obtener acceso a través de un sistema sin parches o mal configurado, o engañar a un empleado para que inicie malware oculto en un archivo adjunto malicioso de un correo electrónico de phishing.
- Elegir una ruta de ataque: Una vez dentro de la red, el hacker buscará escalar sus privilegios y comprometer sistemas adicionales para ubicar datos confidenciales o llegar a otros recursos críticos. También quieren mantener su acceso. Para lograr esto, pueden crear nuevas cuentas de usuario o modificar configuraciones. Aquí es donde entran en juego las rutas de ataque. Al aprovecharlas, puede escalar sus privilegios de usuario común a administrador e incluso a administrador de dominio, otorgándole un poder ilimitado.
Al comprometer las cuentas de usuarios y administradores autorizados, los cibercriminales pueden dificultar la detección de su actividad. Y una vez que tienen suficientes privilegios, pueden evadir aún más la detección al hacer que los sistemas informen falsamente que todo funciona normalmente. - Limpiar el desorden: Por último, el hacker roba o cifra los datos de la organización, o quizás corrompe los sistemas para interrumpir las operaciones comerciales. Además, a menudo también intentan cubrir sus huellas para frustrar las investigaciones y evitar que la organización mejore sus defensas contra futuros ataques. Las técnicas incluyen la desinstalación de los programas utilizados en el ataque, la eliminación de las carpetas o cuentas que crearon y la modificación o eliminación de cualquier rastro de que estuvieran allí.
¿Dónde se deben enfocar las empresas para protegerse?
Este proceso de 5 etapas ofrece varias oportunidades para que el equipo de ciberseguridad interrumpa el ataque. Si bien es óptimo tratar de garantizar que se evite la intrusión inicial, es crucial enfocarse en la cuarta etapa: interrumpir la ruta de ataque donde el atacante puede escalar sus privilegios y tomar el control total.
Las rutas de ataque son una cadena de acciones que permiten que un atacante comprometa una cuenta de usuario, obteniendo privilegios administrativos, o incluso el control total del entorno de TI. Puede comenzar con algo tan simple como un ataque de phishing.
El problema es más agudo para Microsoft Active Directory (AD), por varias razones. Primero, AD es, con mucho, el servicio de directorio más utilizado: el 95% de las compañías Fortune 1000 usan AD. Los adversarios que se enfocan en comprender y explotar las rutas de ataque en Active Directory tienen una gran cantidad de objetivos para elegir.
Para una fuerte seguridad de AD, se necesita tecnología de gestión de rutas de ataque para identificar los cuellos de botella que comparten varias rutas de ataque. También es vital recordar que la gestión de la ruta de ataque no es una tarea de “una vez y listo”. Los entornos de TI modernos son complejos y muy dinámicos. Como resultado, surgen nuevas rutas de ataque todo el tiempo, por lo que se deben buscar activamente de forma regular y tomar medidas de inmediato para remediarlas o al menos monitorearlas.