ETAPAS DE UN CIBERATAQUE

Los ciberataques se pueden dividir en dos tipos: dirigidos y no dirigidos.

En los ataques no dirigidos, los atacantes se dirigen indiscriminadamente a tantos dispositivos, servicios o usuarios como sea posible. No les importa quién es la víctima, ya que habrá una serie de máquinas o servicios con vulnerabilidades. 

Para ello, los atacantes utilizan técnicas que aprovechan la apertura de Internet, entre las que se incluyen:

  • Phishing: Envío de correos electrónicos a un gran número de personas solicitando información confidencial (como datos bancarios) o alentándolos a visitar un sitio web falso.
  • WaterHoling: Configurar un sitio web falso o comprometer uno legítimo para explotar a los usuarios visitantes.
  • Ransomware: Difusión de malware de extorsión de cifrado de disco.
  • Escáner: Atacar amplias franjas de Internet al azar.

En un ataque dirigido, el atacante tiene un interés específico en una empresa/organización o se le ha pagado para atacarlo. El trabajo preliminar para el ataque podría llevar meses para que puedan encontrar la mejor ruta para entregar un exploit directamente a sus sistemas (o usuarios). 

Un ataque dirigido a menudo es más dañino que uno no dirigido porque se ha diseñado para atacar específica y puntualmente los sistemas, procesos o personal, en la oficina y, a veces, en el hogar. 

Los ataques dirigidos pueden incluir:

  • Spear-phishing: Envío de correos electrónicos a personas específicas que podrían contener un archivo adjunto con software malicioso o un enlace que descarga software malicioso.
  • Implementación de una botnet: Lanzamiento de un ataque DDOS (Distributed Denial of Service).
  • Subversión de la cadena de suministro: Para atacar el equipo o el software que se entrega a la organización.

Independientemente de si un ataque es dirigido o no, o si el atacante está utilizando herramientas básicas o personalizadas, los ataques cibernéticos tienen una serie de etapas en común

Un ataque, particularmente si lo lleva a cabo un adversario persistente, puede consistir en etapas repetidas. El atacante está sondeando efectivamente sus defensas en busca de debilidades que, si se pueden explotar, las acercarán a su objetivo final. 

Las cuatro etapas de un ciberataque son:

  1. Encuesta
  2. Entrega
  3. Violación
  4. Afectación

Los atacantes utilizarán todos los medios disponibles para encontrar vulnerabilidades técnicas, de procedimiento o físicas que puedan intentar explotar.

Usarán información de código abierto como LinkedIn y Facebook, servicios de gestión/búsqueda de nombres de dominio y redes sociales. Emplearán conjuntos de herramientas y técnicas básicas, y herramientas de escaneo de red estándar para recopilar y evaluar cualquier información sobre las computadoras, los sistemas de seguridad y el personal de su organización.

El error del usuario también puede revelar información que puede usarse en ataques. Los errores comunes incluyen:

  • publicar información sobre la red de la organización en un foro de soporte técnico.
  • no eliminar las propiedades ocultas de los documentos, como el autor, la versión del software y las ubicaciones para guardar archivos.

Los atacantes también utilizarán la ingeniería social (a menudo a través de las redes sociales) para explotar la ingenuidad y la buena voluntad de los usuarios para obtener más información disponible de forma menos abierta.

Durante la etapa de entrega, el atacante buscará llegar a una posición en la que pueda explotar una vulnerabilidad que haya identificado o que crea que podría existir. Ejemplos incluyen:

  • intentar acceder a los servicios en línea de una organización.
  • enviar un correo electrónico que contenga un enlace a un sitio web malicioso o un archivo adjunto que contenga código malicioso.
  • regalar una memoria USB infectada en una feria comercial.
  • crear un sitio web falso con la esperanza de que un usuario visite.

La decisión crucial para el atacante es seleccionar la mejor ruta de entrega para el software malicioso o los comandos que le permitirán romper sus defensas. En el caso de un ataque DDOS, puede ser suficiente que realicen múltiples conexiones a una computadora para evitar que otros accedan a ella.

En la etapa de violación o ruptura, el daño a la organización dependerá de la naturaleza de la vulnerabilidad y el método de explotación. Puede permitirles:

  • realizar cambios que afectan el funcionamiento del sistema
  • obtener acceso a cuentas en línea
  • lograr el control total de la computadora, tableta o teléfono inteligente de un usuario

Habiendo hecho esto, el atacante podría hacerse pasar por la víctima y usar sus derechos de acceso legítimos para obtener acceso a otros sistemas e información.

El atacante puede buscar explorar sus sistemas, ampliar su acceso y establecer una presencia persistente (un proceso que a veces se denomina “consolidación”). Tomar el control de la cuenta de un usuario generalmente garantiza una presencia persistente. Con acceso de administración a un solo sistema, pueden intentar instalar herramientas de escaneo automatizado para descubrir más sobre sus redes y tomar el control de más sistemas. Al hacerlo, tendrán mucho cuidado de no disparar los procesos de monitoreo del sistema e incluso pueden deshabilitarlos por un tiempo.

Los atacantes determinados y no detectados continúan hasta que logran sus objetivos finales, que pueden incluir:

  • recuperar información a la que de otro modo no podrían acceder, como propiedad intelectual o información comercialmente confidencial
  • hacer cambios para su propio beneficio, como crear pagos en una cuenta bancaria que controlan
  • interrumpir el funcionamiento comercial normal, como sobrecargar la conexión a Internet de la organización para que no se pueda comunicar con el exterior, o eliminar todo el sistema operativo de las computadoras de los usuarios

Después de lograr sus objetivos, el atacante saldrá, eliminando cuidadosamente cualquier evidencia de su presencia. O podrían crear una ruta de acceso para futuras visitas suyas o de otras personas a las que les hayan vendido el acceso. Del mismo modo, algunos atacantes querrán dañar seriamente su sistema o hacer el mayor “ruido” posible para anunciar su éxito.