Ciberseguridad básica: ¿Cómo es la anatomía de un ciberataque?
Cada año aparecen 20.000 vulnerabilidades nuevas que aumentan el riesgo de sufrir un ataque cibernético; estos siguen una serie de pasos en tres niveles, conocidos como Kill Chain.
Los incidentes relacionados con la ciberseguridad se han convertido en un problema cada vez más recurrente que afecta no solo a las empresas, sino también a organizaciones y agencias de gobierno. De acuerdo con el Informe de Riesgos Globales 2022, elaborado por el Foro Económico Mundial, las fallas en ciberseguridad y la desigualdad digital se encuentran entre las 10 amenazas más críticas que enfrentará la humanidad en los próximos dos años. De hecho, se estima que para el año 2030 habrá un intento de ataque malicioso cada dos minutos.
“Todos los años aparecen 20.000 vulnerabilidades nuevas de las que hay que ocuparse de alguna manera. Es un número abrumador que hace que sea muy difícil resolver (mediante parches y actualizaciones). Dicho de forma muy simple, en el mundo del software y hardware la vulnerabilidad tiene que ver con fallas en la validación de la seguridad del sistema, las cuales son aprovechadas por los atacantes para que el sistema haga algo diferente o para acceder a activos y datos sensibles”, señaló Juan Marino, gerente de Ciberseguridad de Cisco para América Latina.
El experto en seguridad y tecnología dijo que hoy ya no se hace referencia al ciberdelincuente como un individuo, sino que se habla de bandas o grupos de delincuencia que cuentan con soporte económico y gente hábil en la parte técnica; estas organizaciones se dedican a entender la infraestructura de las redes y a generar nuevas formas de malware.
Entre los principales grupos se encuentran Lockbit, Conti y Pysa. En los casos más recientes de ciberataques, el 63 % han sido para exfiltrar datos. La extorsión promedio fue de $247 mil dólares y la extorsión máxima fue de $240 millones de dólares, ocho veces mayor a la presentada en 2020. El downtime promedio que padecieron las organizaciones atacadas fue de 22 días, mientras que el dwell time –o tiempo de permanencia de los atacantes en los sistemas– fue de nueve días.
Marino indicó que, aunque el principal motivador es el lucro –a través de la extorsión y pago de rescate para recuperar la información y el acceso a los sistemas–, también hay quienes realizan esta actividad por motivos personales o políticos, lo que puede ser considerado como hacktivismo.
Una forma sencilla de catalogar los ataques es tomar en cuenta el objetivo, ya sea masivo o dirigido. El primero generalmente se inicia a través de un malware, que se propaga de forma automatizada una vez que ingresa a una computadora. Por el contrario, detrás de un ataque dirigido está una persona o hacker que define sus acciones dependiendo de si la víctima se da cuenta o no de lo que está sucediendo.
Cabe mencionar que la mayoría de los incidentes transcurren en una serie de pasos divididos en tres niveles que se exponen en la llamada Cadena de ataque o Kill chain, cuyos términos se derivan de modelos militares.
Anatomía de un ciberataque
Marino explicó que, en el primer nivel, el objetivo inicial de los delincuentes es conseguir una forma de acceso al sistema, para lo que recopilan información (como el organigrama de la organización objetivo) desde páginas web o redes sociales para conocer e identificar a quién dirigir el ataque. “El intento de acceso inicial se puede dejar ver a través de un phishing, se puede manifestar en una llamada telefónica o correo electrónico, pero hay un engaño que aprovecha el llamado 'eslabón débil', que es el usuario, para que haga algo o para que ingrese en algún sitio que se hace pasar por otro; todo para lograr el primer acceso”, apuntó el ejecutivo de Cisco.
En caso de que el usuario no se dé cuenta de que la seguridad fue comprometida, el segundo paso es "Establish foothold" o establecer un punto de apoyo, que consiste en mantenerse en ese sistema y desde ahí descubrir a qué otros dispositivos, credenciales o redes se puede ingresar. Esa es la siguiente fase, conocida como Network discovery o descubrimiento de la red.
Si nadie detecta la amenaza, el ataque pasa al segundo nivel de la cadena con la finalidad de reconocer los recursos que son verdaderamente importantes (Key asset discovery). “Pueden ser los datos de los clientes, la propiedad intelectual del código de software o la propia red; si los atacantes hacen su análisis, seguro van a querer conseguir esa información”, precisó el encargado de Ciberseguridad de Cisco en la región, quien mencionó que posteriormente se procede al robo de datos (Data exfiltration) y a la propagación dentro de la misma red (Network propagation).
En el tercer y último nivel, el atacante se prepara para hacer el despliegue del software malicioso o ransomware, que, una vez instalado, puede mantenerse inactivo en el sistema hasta que el atacante decida ejecutarlo para proceder al acoso de la víctima y/o extorsión.
Juan Marino subrayó que todos estos pasos se realizan en un promedio de nueve días, de acuerdo con un estudio reciente entre múltiples brechas reales que adquirieron carácter público, y que el segundo nivel es el de mayor complejidad y al que mayor tiempo dedican los delincuentes.
Asimismo, aseguró que cada vez son más frecuentes los ataques dirigidos hacia objetivos que los actores maliciosos consideran de alto valor por el dinero que puedan recibir a cambio. En los casos en que no se pide el pago de un rescate, la información extraída de la organización termina a la venta en el mercado ilegal; y también hay situaciones en los que se presenta una doble extorsión, donde los delincuentes hacen una exfiltración de datos y además inhabilitan el acceso al sistema.
“Muchas veces ocurre que se paga el rescate y de todas formas tu información ya se fue. Por eso, los organismos de seguridad de cada país desalientan el pago: primero, para no financiar a los criminales; segundo, porque no hay garantía de que vas a recuperar tu información”, finalizó.