Cómo se infiltran los cibercriminales en la red corporativa

La seguridad no es una opción añadida. Es un componente clave para el éxito empresarial. Esto significa que los Directores de Seguridad Informática (CISOs) deben ocupar un puesto en el consejo ejecutivo que asegure que los planes de seguridad TI están alineados con los objetivos de negocio.

Todos estamos conectados a Internet, lo que implica que nos encontramos en un gran ecosistema. Lo que ocurre en una compañía afectará a muchas otras, no solo a sus socios de negocio más directos sino también a otras empresas más alejadas del entorno. Por ejemplo, cuando se produce una brecha en una compañía, con frecuencia los datos de carácter personal (PII) son robados. Estos datos pueden no solo ser vendidos para su uso como identificación fraudulenta sino también para hacer más creíbles los ataques de phishing. Cuanta más información tenga el atacante sobre nosotros, más fácil le resultará que el mensaje de correo parezca real y hagamos click.

Muchas de las técnicas de ataque utilizadas ahora son similares a las de hace varios años, como comprometer contraseñas débiles, ataques de phishing y la descarga de virus desde webs infectadas. Sin embargo, hay algunos resquicios en el mundo cibernético que permiten a los atacantes distribuir su exploit de forma más efectiva y sigilosa.

Uno de ellos tiene que ver con las redes sociales y servicios online. Actualmente casi todo el mundo se conecta a redes sociales como Facebook y LinkedIn, así como a sitios de citas online. Debido a ello, los atacantes están cambiando los puntos de entrada a los dispositivos del usuario por estos sitios a través de la ingeniería social, aprovechándose de las emociones humanas. Los conceptos de ingeniería social son los mismos pero el vector y superficie de ataque ha cambiado. Por otro lado están las técnicas de evasión utilizadas por los atacantes. La capacidad del atacante para camuflarse sigue avanzando. Por eso, en muchas ocasiones tener un antivirus tradicional no es suficiente.

Entre las nuevas técnicas de hacking, los ataques de phishing son el número uno para conseguir acceso no autorizado a las redes corporativas. Un email con phishing llevará adjunto un archivo de malware o link malicioso, y ha sido creado para parecer legítimo y tentar a los usuarios a hacer click en el link.

Otra técnica utilizada por los hackers es el ataque drive-by. Los atacantes comprometen un sitio web e instalan un java script malicioso que redirecciona, sin levanter sospechas, al usuario a otro sitio web con carga maliciosa que se descargará silenciosamente en el dispositivo del usuario. En un ataque dirigido, los atacantes invertirán varios meses investigando sitios web que las compañías o industrias frecuenten para infectarlos.

La siguiente técnica es la conocida como malvertising. Este ataque es similar a los ataques drive-by excepto porque el objetivo del atacante es infectar los sitios de publicidad. Así, infectando a un solo sitio web puede propagarse a miles de otros sitios. Se alcanza a más pájaros de un tiro.

Por ultimo pero no menos importante están los ataques a móviles. Muchos ataques dirigidos a dispositivos móviles son similares a los anteriormente descritos; simplemente están adaptados a este entorno. Además, el malware puede llegar a través de mensajes SMS o escondidos en divertidas aplicaciones como juegos e incluso pornografía.

Una vez el atacante ha entrado en la red y se encuentra en el dispositivo del usuario, en su portátil/sobremesa o móvil, necesita descargar más malware y herramientas para completar sus misiones. Normalmente los datos que buscan no se encuentran en el puesto de trabajo; está en servidores/bases de datos.

He aquí los pasos que seguirá el atacante cuando entre en la red:

1. Descargará otras herramientas y malware para comprometer la red en el futuro.
2. Inspeccionará la red para encontrar otros servidores y buscar los datos que quiere. Tratará de localizar el servidor del Directorio Activo que contiene todos los nombres de usuario y contraseñas. Si consigue descubrirlos, ya tiene las llaves del reino.
3. Una vez que encuentre los datos, utilizará un servidor para copiar toda la información. El servidor ideal para ello será uno que sea estable (siempre encendido) y al que se pueda acceder desde Internet.
4. Los datos se enviarán poco a poco de vuelta a sus servidores que en ocasiones están en nube, lo que complica el bloqueo de la fuente.

Si los cibercriminales están dentro de la red por un largo periodo de tiempo, tendrán posibilidad de obtener cualquier tipo de información que esté disponible. La mayoría de los datos de la compañía se almacenan electrónicamente. Cuando más tiempo estén, mayores oportunidades de aprender los procesos del negocio y los flujos de datos. Un ejemplo de ello fue el ataque de Carbanak. En este ataque, los miembros de este grupo de cibercriminales fueron capaces de localizar los ordenadores del administrador para conseguir acceso a los vídeos de las cámaras de vigilancia, ver cómo trabajaban los cajeros del banco y grabar cada detalle del proceso y posteriormente imitarles para transferir dinero a través de sus propios sistemas.

Como se menciona anteriormente, el punto de entrada habitual a la red es a través de usuarios que acceden a links maliciosos. Una vez que el dispositivo del usuario está comprometido, los atacantes comenzarán a moverse por la red para encontrar los datos que buscan. Es en este punto donde la segmentación de la red es especialmente importante. Por un lado, ayuda a reducir el impacto de la brecha ya que la compañía puede aislar dicha brecha en una localización específica sin que afecte al resto de la red. Por otro lado, permite que los datos sensibles puedan ser guardados en un área de alta seguridad que dificultará al hacker su extracción. Por último, “no podemos proteger y controlar todo lo que tenemos dentro de nuestras redes”. Las redes son demasiado grandes y complejas; hay que identificar los datos críticos, aislarlos y poner el foco en controlar las vías de acceso a dichos datos.