Vectores de ataque utilizados por ciberdelincuentes

Los virus nos están acompañando desde que los ordenadores empezaron a estar encima, o debajo, de las mesas de trabajo hace ya algunas décadas, e incluso antes de que existiera internet. En sus comienzos eran demostraciones ingeniosas de errores de los programas y se propagaban a través de disquetes. Pronto empezaron a explotar con fines maliciosos provocando borrado de datos, intrusión, inutilización de sistemas o caída de servicios.

Los sistemas y las redes informáticas son ahora más complejas y por ello las vías de ataque se han diversificado. Los ataques llegan como adjuntos a correos, se sirven de intermediarios humanos, de dispositivos extraíbles, a través de conexiones inalámbricas, por WhatsApp, en páginas web y también vía nuestros proveedores de servicios tecnológicos.

Los ciberdelincuentes buscan continuamente nuevas formas de hacer llegar su “carga maliciosa” o de ganar acceso a nuestros equipos aprovechando errores humanos, fallos en la configuración o defectos de los sistemas. A estas formas de llegar a nuestros sistemas se las conoce como vectores de ataque. Vamos a ver cuáles son los más frecuentes y qué podemos hacer para impedir a los ciberdelincuentes que los utilicen en su beneficio y, casi siempre, para nuestro perjuicio.

¿Cómo operan los ciberdelincuentes?

Como cabría de esperar, los sistemas y redes (el hardware y el software) no son perfectos. Pueden tener fallos de seguridad o vulnerabilidades que se conocen bien en los círculos que frecuentan los ciberdelincuentes, en foros en la dark web, por ejemplo. También ahí pueden adquirir desarrollos específicos para explotarlas y lanzar sus ataques.

Además, están constantemente y de forma automatizada explorando las redes en busca de sistemas vulnerables (con fallos no parcheados) o mal configurados y de usuarios no concienciados que puedan servirles de punto de entrada. Esto, lo que puede ser atacado, se conoce como superficie de ataque, formado por los puntos del perímetro del dispositivo, componente de red, servicio sistema o entorno que pueden ser utilizados para entrar, causar algún daño o extraer datos. Y esto incluye a los usuarios con sus valiosas credenciales de acceso.

Como en toda economía de escala, cuanto mayor sea el alcance y las posibilidades de éxito del ataque, mayores podrán ser sus beneficios, por lo que intentarán explotar vulnerabilidades muy extendidas. Incluso intentarán entrar físicamente en nuestras instalaciones o aprovecharse de empleados internos, bien sobornándoles o simplemente engañándoles para obtener sus credenciales de acceso, la llave que abre las “puertas”.

¿Cuáles son los vectores de ataque más frecuente?

Los vectores de ataque están sujetos a cambios con los avances tecnológicos y los ciberdelincuentes pueden utilizar varios en cada ataque, por ello en las actualidad estos son los vectores más frecuentes:

• Correo electrónico y mensajería instantánea: son, por ejemplo, los correos y SMS de phishing que suplantan a organizaciones conocidas por el receptor, como bancos, empresas de transporte, la Agencia Tributaria, nuestros proveedores o clientes, o incluso nuestro soporte técnico, para engañarnos con diversos señuelos, a seguir enlaces a páginas web falsas donde nos pedirán introducir nuestros credenciales o descargar adjuntos maliciosos que instalan malware. Lo más frecuente es que se trate de ransomware, es decir, el malware que bloquea los datos a cambio de un rescate. En otros casos, el malware convierte a nuestros dispositivos en zombis a su servicio para lanzar ataques a terceros o para otros fines poco éticos.
• Navegación web: este ataque se produce o bien por la falta de actualización de los navegadores o por instalación de plugins maliciosos, bien por visitar páginas fraudulentas. Ante navegadores no actualizados. los ciberdelincuentes podrían explotar vulnerabilidades con técnicas como:
  • drive-by download: permite descargar de malware sólo con visitar una página maliciosa o ver un correo html;
  • browser in the browser: simula una ventana emergente de autenticación, donde nos pedirán credenciales.

También puede que el usuario llegue en sus búsquedas, o por otros medios, a seguir enlaces que descargan malware o llevar a páginas de phishing. Los ciberdelincuentes suplantan webs legítimas copiándolas y poniéndoles direcciones web similares como homógrafos o enlaces que se parecen a las reales cambiando algún carácter que a la vista no es fácil distinguir.

• Endpoints o terminales y otros dispositivos en los que no se han configurado las opciones de seguridad lo que los deja vulnerables. Las configuraciones de los fabricantes por defecto son, en muchos casos, poco seguras. Por ejemplo, si usan contraseñas débiles o si permiten que se conecten USB o discos extraíbles, estos podrían llevar malware. Otras veces son configuraciones incompletas o insuficientes de las redes a las que pertenecen esos dispositivos y permiten el acceso a ellos y su manipulación. Uno de estos casos son los dispositivos IoT.
• Aplicaciones web, portales corporativos, intranet y redes sociales con configuraciones defectuosas o desactualizadas pueden suponer una vía de entrada o bien una forma de dar información al ciberdelincuente para posteriores ataques.

Por ejemplo, si contienen o se muestra demasiada información sobre la estructura de la empresa, direcciones de correo o detalles de sus empleados podría ser utilizado en ataques de spear phishing, ataque dirigido contra un objetivo específico, el que los atacantes intentan, mediante un correo, conseguir información confidencial de la víctima.

Si la empresa posee una página o aplicaciones web, ha de tener en cuenta la ciberseguridad en su diseño y en su mantenimiento para evitar ataques como los de inyección SQL entre otros. Como veremos más adelante, se han de proteger las credenciales de acceso y los mecanismos de autenticación, tanto para usuarios como para administradores.

Un caso particular a tener en cuenta es el de las aplicaciones de videollamada y otras herramientas colaborativas, que han de actualizarse y regular su uso para evitar ataques.

El auge de las aplicaciones en la nube también hace que estén siendo utilizadas como vectores de ataque. Al contratarlas hay que analizar quién es el responsable de mantener actualizados los sistemas, si el proveedor o nosotros. También debemos revisar qué aplicaciones de este tipo se permiten en la empresa y regular su uso. Por ejemplo, si se utilizan como servicios de backup, obligar a utilizar un buen cifrado.

• Software de redes y sistemas mal configurado, desactualizado o no parcheado, es decir, no se han seguido procedimientos adecuados en su configuración y no se han aplicado las actualizaciones o no existen por estar ya el software fuera de su vida útil. Un ejemplo de uso de esta vía de entrada por los ciberdelincuentes son los ataques contra el router, como DNS hijacking o los ataques DoS o Denegación de Servicio.
• Credenciales de usuario comprometidas bien porque están en fugas de datos y se reutilizan en otros sistemas, bien porque han sido obtenidas por fuerza bruta o por ataques de ingeniería social. En otros casos son obtenidas mediante software o hardware que registra las pulsaciones o keyloggers o software que espía redes wifi abiertas o con configuraciones de cifrado obsoletas.
• Contraseñas y credenciales predecibles o por defecto bien porque no se han cambiado, las típicas “admin/admin” o las que pone el fabricante y se pueden encontrar en la web; o si se han cambiado se ha hecho por otras de uso común fácilmente predecibles por el entorno de usuario; bien porque están “hardcodeadas”, es decir, incluidas en la electrónica de los dispositivos.
• Insiders o personas con acceso que pueden exfiltrar información. Pueden ser empleados insatisfechos por despecho, exempleados que conservan por fallos de procedimiento credenciales de acceso o bien los que pudieran haberse dejado sobornar por ciberdelincuentes.
• Carencias de cifrado bien por su debilidad, al usar claves simples y deducibles o protocolos obsoletos, o por no aplicarse correctamente las políticas al respecto, por ejemplo en dispositivos móviles o portátiles o por olvido de cifrar documentos en la nube.
• Debilidades de la cadena de suministro, como proveedores tecnológicos o empresas colaboradoras. Si sus sistemas sufren un incidente, nuestros datos pueden verse comprometidos. Por ello debemos revisar las cláusulas de seguridad de los Acuerdos de Nivel de Servicio.

¿Qué podemos hacer para controlar las vías de ataque?

Lo que tienen en común todas las vías de ataque es que explotan vulnerabilidades tanto humanas y organizativas, como técnicas y de configuración.

Ante la facilidad humana para cometer errores o fallos y las carencias organizativas podemos:

1. Formarnos y sensibilizarnos.
2. Aplicar políticas de uso, restricciones y usos permitidos, y si fuera necesario con sanciones.
3. Establecer acuerdos y compromisos desde el comienzo.
4. Identificar a los responsables de la seguridad de cada servicio que utilice las TIC. Asegurar su formación y competencia.

Ante los fallos técnicos y de configuración podemos:

1. Conocer nuestros activos, en nuestras instalaciones y en las de nuestros proveedores TI. Elaborar un inventario que incluya sus posibles vulnerabilidades. Si es necesario contrataremos una auditoría.
2. Revisar las amenazas que puedan afectar a nuestros activos, valorar el daño que podrían causar y cuál es nuestra preparación ante ellas con un análisis de riesgos
3. Establecer una política de actualizaciones para mantener los activos actualizados y bien configurados. Valorar si es posible cambiarlos si no se pueden actualizar o bien dejarlos de utilizar.
4. Proteger las comunicaciones y las redes wifi.
5. Monitorizar continuamente los accesos a redes y servicios. Utilizar herramientas para detectar intrusiones.
6. Gestionar los permisos de acceso, exigir doble factor de autenticación en los servicios críticos. Aplicar procedimientos de cambio de contraseña con frecuencia suficiente.

La tendencia es que los vectores de ataque se diversifiquen utilizando nuevos dispositivos como IoT, robots o vehículos conectados y en general todo tipo de endpoints y periféricos de red. También utilizarán aplicaciones nuevas que utilicen la nube, las redes 5G o tecnologías como blockchain sin dejar de utilizar las redes sociales, aplicaciones de mensajería o de teletrabajo. Por último, se estima que los ataques estarán más automatizados. Además, serán cada vez más dirigidos y persistentes, es decir, que permanecerán ocultos sigilosamente más tiempo. Por todo ello, y como también hay que estar preparados para lo peor, siempre es recomendable tener un buen backup y estar preparados para gestionar los incidentes.

Fuente: https://www.incibe.es