El punto de vista de los hackers: un estudio pone al descubierto sus estrategias

Negocios

Trend Micro analiza en este artículo las conclusiones más destacadas de una encuesta realizada entre black hat hackers y pen testers para saber, entre otras cosas, que el periodo de tiempo para la intrusión se está reduciendo.

Las empresas actuales no pueden correr riesgos con su ciberseguridad. Sólo un único punto débil puede abrir la puerta a actividades maliciosas que pueden derribar una empresa. A medida que las compañías tratan de reforzar su protección contra los hackers, algunas de las ideas más poderosas provienen de la gente que tiene el propósito de luchar contra estas medidas de seguridad.

Con esta intención, Nuix puso en marcha una encuesta en el evento DEFCON de Las Vegas en 2016, llamada The Black Report. En lugar de entrevistar a los responsables de la toma de decisiones en las empresas o a líderes de TI y administradores de seguridad, la encuesta buscó recoger ideas directamente “de la boca del lobo”, por decirlo de alguna manera.

Proporcionando acceso a un nuevo punto de vista

Esta encuesta representa un soplo de aire fresco en el ámbito de la ciberseguridad, donde de muchos estudios se centran en los profesionales de TI. Por su parte, este tipo de informes son sin duda importantes, puesto que ofrecer acceso a los puntos de vista de un hacker también tiene un indudable valor.

Además de entrevistar a los propios ciberdelincuentes, The Black Report también incluyó ideas de los penetration testers que, según uno de ellos, realizan casi los mismos procesos que los hackers, pero con el beneficio de una declaración de trabajo que lo hace legal. En total, 70 black hat hackers y pen testers – o white hat hackers – participaron en la encuesta.

Hector Monsegur, un ex-black hat hacker y actual director de evaluación de Rhino Security Labs, comentó a TechTarget que este tipo de encuestas son especialmente imprescindibles, ya que puede ofrecer importantes detalles de seguridad que fortalecen a individuos y empresas en su conjunto.

“Normalmente, un hacker solo necesita unas 24 horas para forzar una intrusión exitosa”.

Explorar [los hackers y penetration testers] pensamientos y experiencias que tratan de la ciberseguridad es un muy buen primer paso”, asegura Monsegur a TechTarget. “Aunque conferencias como DEFCON, Black Hat, HackInTheBox, etc., ofrecen una oportunidad para que estos investigadores divulguen información de vulnerabilidades, metodologías y técnicas, la verdad es que la mayoría de la gente simplemente no sabe cómo acceder a este contenido o ni siquiera sabe que existe”.

Ideas clave de la comunidad cibercriminal

Otro beneficio de este tipo de investigación es la capacidad de ver cómo las respuestas de los hackers difieren de las de los profesionales de TI y otros representantes de las compañías que los ciberdelincuentes tratan de atacar.

“Es importante entender cómo el adversario piensa y actúa”, afirma Chris Pogue, CISO de Nuix. “Cuanto más saben los defensores, mejor pueden prepararse.”

Algunos puntos de vista se mostraron directamente en contra de ciertas creencias que habían sido fundamentales en las estrategias de ciberseguridad en el pasado. Los hallazgos más sorprendentes incluyeron:

* El periodo de tiempo para la intrusión se está reduciendo: una de las estadísticas más reveladoras es la velocidad con la que los hackers de hoy en día son capaces de entrar eficazmente en un sistema objetivo. Aunque Nuix informó que pueden pasar entre 250 y 300 días hasta que las empresas detecten una violación de datos, normalmente un hacker necesita apenas unas 24 horas para forzar una intrusión exitosa y robar datos clave. De hecho, el estudio también descubrió que alrededor de un tercio de los ataques nunca son descubiertos por la compañía víctima. “Las organizaciones necesitan mejorar mucho la detección y reparación de las brechas utilizando una combinación de personas y tecnología”, concluye Pogue.

* Algunas medidas de protección tradicionales no funcionan: el estudio también desveló que, a pesar de la fe en las protecciones de seguridad convencionales como firewalls y soluciones antivirus, los hackers demostraron que estas soluciones casi nunca logran frenar su actividad maliciosa. En un plano más positivo, las protecciones de seguridad endpoint han demostrado ayudar a mitigar las actividades de los hackers.

* Los hackers no utilizan siempre el mismo enfoque: contrariamente a la creencia de que una vez que los hackers descubren un método exitoso de ataque lo mantienen, el estudio mostró que más del 50% de los cibercriminales cambia su enfoque con cada nuevo objetivo. Esto significa que los actores maliciosos están actuando con metodologías potencialmente desconocidas que no se pueden proteger con soluciones basadas en ataques conocidos. Es más, esto también aumenta las posibilidades de que el negocio será víctima de una vulnerabilidad zero-day.

* Los exploit kits no son tan populares como creen los expertos: también resultó sorprendente para los investigadores que los exploit kits no estuvieran en la parte superior de la lista en cuanto a las herramientas que se utilizan para apoyar los ataques. De hecho, mientras la mayoría de los hackers aprovecha la ingeniería social (72%) para recopilar los detalles antes de una intrusión, las herramientas comerciales y los exploit kits solo se utilizan en el 3% de los ataques. La mayoría de los atacantes prefieren herramientas de código abierto (60%) o herramientas personalizadas (21%).

“[Los exploit kits que se venden en la dark web suelen ser buggy, altamente específicos y con más frecuencia, clandestinos”, explicaba Monsegur. Los hackers de hoy en día simplemente no confían en estos kits. Los hackers no están utilizando el mismo enfoque todas las veces, y los exploit kits no son tan populares entre los ciberdelincuentes como pensaban los expertos en seguridad.

Comprendiendo el ataque típico

Si bien las herramientas para apuntalar el ataque y el enfoque para la intrusión pueden estar cambiando, muchos ataques dirigidos siguen el mismo ciclo de vida. Según Trend Micro, un ataque dirigido comienza con:

* Recopilación de información (ingeniería social) sobre un negocio objetivo y, potencialmente, empleados individuales y líderes empresariales.

* A continuación, el hacker apunta a un dispositivo individual perteneciente a un empleado. Esto puede ser un endpoint propiedad de la empresa o un dispositivo compatible con el programa BYOD de una empresa. Ambos puntos proporcionarán el acceso a la red de la compañía que el atacante necesita.

* Una vez que un dispositivo ha sido atacado e infectado, el ciberdelincuente establecerá un servidor de Comando y Control (C&C) y creará un enlace a la red de la víctima.

* El hacker se moverá entonces lateralmente a través de la red, buscando datos valiosos para enviarlos al servidor C&C.

* Finalmente, se extraen los datos. Esto, sin embargo, no significa que el ataque haya concluido; el cibercriminal puede permanecer sin ser detectado durante días o incluso meses, y localizar y extraer nuevos datos todo el tiempo.

Con el fin de mejorar la seguridad empresarial, hay que entender el punto de vista del enemigo. Recopilando información sobre los procesos, las metodologías y las herramientas que utilizan los hackers actuales, las empresas pueden proteger mejor su información confidencial y su reputación.


Leer la biografía del autor  Ocultar la biografía del autor