La ciberseguridad será uno de los principales focos de la inversión tecnológica para la mayoría de las empresas en Latinoamérica durante 2023. Según un estudio de la consultora IDC, los ingresos mundiales en seguridad para gobernanza, riesgo y cumplimiento se incrementarán 35% para 2026, comparado con 2021.
Los efectos desastrosos de un ataque exitoso a un negocio cada vez son más conocidos. Seguro que muchas personas se sorprenderían al conocer el tiempo que puede tomar un solo ataque cibernético de principio a fin. Y que el tiempo de permanencia promedio de un intruso en un ecosistema de TIC a veces puede ser de nueve meses…
Estas son las cinco etapas que usan un gran porcentaje de los hackers para montar un ciberataque contra una empresa:
●Conocer a la víctima: Los cibercriminales comienzan identificando organizaciones objetivo y recopilando información sobre ellas. Los enfoques clave incluyen qué datos valiosos podrían robar, qué tan grande sería la recompensa que podrían obtener de un ataque de ransomware y qué tan difícil podría ser la misión. El reconocimiento puede ser pasivo. Ello implica el uso de fuentes públicas —como registros de impuestos, ofertas de trabajo y redes sociales— para descubrir qué sistemas y aplicaciones usa la organización, los nombres de sus empleados, etc.
El proceso también puede involucrar técnicas activas. Entre otras, el escaneo de redes y puertos para comprender la arquitectura de red de la organización objetivo; los firewalls y los programas de detección de intrusos; los sistemas operativos y las aplicaciones, y los servicios alojados en sus puertos.
●Planificación: A continuación, el atacante determina qué método de ataque usar. Los ejemplos incluyen explotar una vulnerabilidad de día cero, lanzar una campaña de phishing o sobornar a un empleado para que proporcione detalles de inicio de sesión o implemente malware.
Detección dificultada
●Ataque inicial: Luego, el cibercriminal usa el método de ataque elegido para intentar violar la red de la organización. Por ejemplo, podría lograr adivinar la identificación de usuario y la contraseña de un empleado. También obtener acceso a través de un sistema sin parches o mal configurado. O bien, engañar a un empleado para que inicie malware oculto en un archivo adjunto malicioso de un correo electrónico de phishing.
●Elegir rutas de ataque: Una vez dentro de la red, el hacker buscará escalar sus privilegios y comprometer sistemas adicionales para ubicar datos confidenciales o llegar a otros recursos críticos. También quiere mantener su acceso. Para lograr esto, pueden crear nuevas cuentas de usuario o modificar configuraciones. Aquí es donde entran en juego las rutas de ataque. Al aprovecharlas, puede escalar sus privilegios de usuario común a administrador e incluso a administrador de dominio, otorgándole un poder ilimitado.
Al comprometer las cuentas de usuarios y administradores autorizados, los cibercriminales pueden dificultar la detección de su actividad. Y una vez que tienen suficientes privilegios, pueden evadir aún más la detección al hacer que los sistemas informen falsamente que todo funciona normalmente.
●Limpiar el desorden: Por último, el hacker roba o cifra los datos de la organización, o quizás corrompe los sistemas para interrumpir las operaciones comerciales. Además, a menudo también intentan cubrir sus huellas para frustrar las investigaciones y evitar que la organización mejore sus defensas contra futuros ataques. Las técnicas incluyen la desinstalación de los programas utilizados en el ataque, la eliminación de las carpetas o cuentas que crearon y la modificación o eliminación de cualquier rastro de que estuvieron allí.
Bloquear las rutas de ataque
Este proceso de cinco etapas ofrece varias oportunidades para que el equipo de ciberseguridad interrumpa el ataque. Si bien es óptimo tratar de garantizar que se evite la intrusión inicial, es crucial enfocarse en la cuarta etapa: interrumpir las rutas de ataque donde el atacante puede escalar sus privilegios y tomar el control total.
Las rutas de ataque son una cadena de acciones que permiten que un atacante comprometa una cuenta de usuario, obteniendo privilegios administrativos, o incluso el control total del entorno de TIC. Puede comenzar con algo tan simple como un ataque de phishing.
El problema es más agudo para Microsoft Active Directory (AD), por varias razones. Primero, AD es, con mucho, el servicio de directorio más utilizado: el 95% de las compañías Fortune 1000 usan AD. Los adversarios que se enfocan en comprender y explotar las rutas de ataque en Active Directory tienen una gran cantidad de objetivos para elegir.
Para una fuerte seguridad de AD, se necesita tecnología de gestión de rutas de ataque para identificar los cuellos de botella que comparten varias de ellas. También es vital recordar que la gestión de las rutas de ataque no es una tarea de “una vez y listo”. Los entornos de TIC modernos son complejos y muy dinámicos. Como resultado, surgen nuevas rutas de ataque todo el tiempo. Por ello se deben buscar activamente, de forma regular, y tomar medidas de inmediato para remediarlas o al menos monitorearlas.