Comprender cómo actúa el atacante para implementar adecuadas estrategias de prevención y defensa.
En el marco de las buenas prácticas en materia de seguridad de la información, LIDECO ofrece a sus partes interesadas instancias regulares de formación con fines de sensibilización y actualización sobre los riesgos implicados en el tema.
Es así que, el 21.06.23 llevamos a cabo un webinar que estuvo a cargo de los profesionales de Quinta Disciplina Consultores: Ignacio Pérez* y Diego Llovet**. En la instancia, se hizo foco en la importancia de comprender cómo actúan los atacantes para poder prevenir y mitigar los riesgos de la seguridad cibernética. A partir de casos reales, se analizó el marco de referencia de Mitre Attack. Compartimos a continuación una reseña de los contenidos abordados en el encuentro.
Ciberataques en aumento, en todo el mundo y en entornos diversos.
En 2022 la cantidad de ciberataques se incrementó en un 22%, lo que significa que cada vez más usuarios son vulnerados en su actividad digital. Si bien las noticias suelen reportar los ataques sufridos por grandes y conocidas empresas, todos los usuarios y todas las organizaciones son pasibles de ser alcanzados por esa amenaza, siendo que la mayoría de los incidentes se originan en un error humano que deja expuesta a toda la organización al riesgo de robo de datos o de interrupción de servicios. Los atacantes o hackers maliciosos conocen muy bien las vulnerabilidades de personas y organizaciones. Los profesionales de Quinta Disciplina Consultores incursionaron en la visión de los hackers para comprender cómo actúan y describir las principales técnicas que utilizan.
El ámbito de acción y afectación de los ataques que interfieren los sistemas son de público conocimiento y comprenden, para citar solo algunos ejemplos, situaciones como:
- La paralización de un país y el colapso de las entidades gubernamentales cuando al estar los sistemas interferidos se imposibilita la realización de cualquier tipo de trámite.
- La interferencia en procesos electorales.
- La fuga de datos personales de plataformas varias que suponen para las empresas multas millonarias.
- La afectación del acceso a los datos financieros de una compañía.
- La vulneración, en instituciones de salud, de sus bases de datos o peor aún, del normal funcionamiento de la infraestructura que impide brindar una adecuada atención al punto de afectar la vida de las personas.
Por qué crecen los ciberataques.
El escenario es favorable a los ciberataques por diversos motivos. Uno de ellos es que el ciberdelito es un negocio que involucra montos comparables al que se mueve en el narcotráfico. Otros factores están implícitos en la propia transformación digital que hace que los datos de las empresas estén digitalizados. Tal es el valor de la información, que muchas organizaciones están incluyendo en sus balances el valor de sus datos como parte de su activo.
La extensión del trabajo remoto es otro de los elementos que colabora con el crecimiento del ciberdelito, pues supone que muchas personas están por fuera de la infraestructura tecnológica de sus organizaciones. A todo ello se suma un elemento nada menor: una moneda de intercambio y extorsión (criptomoneda) que permite a los atacantes hacerse de un rescate sin dejar rastros.
La carencia de personal especializado en ciberseguridad fue señalada como un factor preocupante, así como también el hecho de que aún muchas empresas no han tomado conciencia del que el tema de la seguridad de la información debe incorporarse a la agenda de la alta dirección y que no es un tema de exclusiva competencia del departamento de IT. El último reporte del Business Continuity Institute de 2022 que predice las principales amenazas que pueden poner en aprietos a las organizaciones en materia de continuidad de negocio, ubica en segundo lugar la ocurrencia de ciberataques, lo cual debe considerarse un llamado a los directores de las organizaciones para que prioricen la seguridad de la información como tema estratégico dentro de la perspectiva de riesgos.
Motivación, sofisticación y potencial de daño.
Sea la diversión, el pedido de rescates, intencionalidades políticas u otras, las motivaciones se vuelven irrelevantes si se considera que no se requieren complejas estrategias de ciberataques para vulnerar los sistemas, lo cual puede lograrse mediante un simple phishing no percibido por un usuario de una organización, aunque ésta tenga excelentes sistemas de seguridad de la información.
Los hackers.
La RAE define al hacker como una persona con grandes habilidades en el manejo de computadoras, que investiga el sistema informático para conocer sus fallos y desarrollar técnicas de mejora. No habría inconveniente con la labor del hacker, si no fuera porque además de los hackers de gorro blanco existen los de gorro negro que no buscan el bien para las organizaciones. Dentro de esta última categoría hay subcategorías: los que buscan un rédito económico y los que buscan mostrar las vulnerabilidades de los sistemas sin pedir rescate a cambio (lo cual también supone un problema a la hora de procurar detener su acción).
Los hackers actúan en forma sistemática constituyendo grupos que conforman organizaciones criminales que contratan especialistas. Habitan mayormente por debajo de la web de superficie (surface web), que constituye solamente 4% de lo que existe en internet. El 90% de internet está constituido por la deep web o internet privada, que es la fracción de internet reservada para que las organizaciones permitan que, con ciertas credenciales (usuario, contraseña, doble factor de autenticación), los usuarios utilicen ciertos servicios, como ser la banca, servicios de salud, etc. La dark web es el 6% y es la porción de internet reservada para los aspectos más oscuros (ilegales). Acceder a ella requiere una VPN, un navegador específico y conocer los market places que existen en ella para acceder y comprar datos con bitcoins.
El eslabón más débil: las personas.
La prevención implica tecnología, procesos y personas. En materia de seguridad de la información, el eslabón más débil es la persona, independientemente de la infraestructura y sistemas de que disponga una organización. Las personas deben estar permanentemente en el foco de las actividades de sensibilización, concientización y actualización en el tema.
Entendiendo a los atacantes: Mitre Attack.
Si no se entiende qué hacen los atacantes para vulnerar los sistemas difícilmente se podrá evaluar qué defensa adoptar como protección. A tal fin existe Mitre Attack: un modelo de referencia que enumera y organiza las tácticas, técnicas y procedimientos que los atacantes emplean para comprometer sistemas, redes y entornos empresariales. Es una base de conocimiento de los adversarios, basado en observaciones reales: el 100 % de la información del modelo refiere a ataques reales.
Mitre organiza las observaciones del mundo real en diferentes matrices que apuntan a diversos objetivos: los dispositivos móviles, controles industriales y sistemas operativos y servicios en la nube. Cada matriz incluye técnicas, tácticas y procedimientos utilizados por los atacantes, ofreciendo un detalle muy fino de los procedimientos y herramientas que utilizan. Define además los grupos que están detrás de las violaciones a los sistemas de seguridad.
Las tácticas.
Al identificar una organización como objetivo, los atacantes desarrollan diversas tácticas. Son 14 las tácticas que Mitre contempla en la actualidad, siendo que se está en un proceso constante de actualización e incorporación de las tácticas, técnicas, subtécnicas, herramientas y procedimientos que se van detectando como prácticas de los atacantes. ¿Cuáles son? Lo vemos a continuación.
- Reconocimiento: el atacante recolecta información sobre la organización a atacar. Es relevante cuidar la información que tenemos expuesta en internet, pues puede facilitar la acción del atacante.
- Desarrollo de recursos: cuando el atacante considera que ha recolectado la información suficiente para lograr su objetivo desarrolla los recursos para lograr el acceso inicial.
- Acceso inicial: en esta fase el atacante se hace visible y es pasible de ser identificado. Procura ganar acceso a la red comprometiendo cuentas válidas o utilizando phishing.
- Ejecución: luego del acceso inicial el atacante intentará ejecutar código malicioso dentro del equipo en el que ganó acceso utilizando las propias herramientas del equipo.
- Persistencia: ejecutado el código malicioso el atacante procurará mantenerse vivo, logrando que el acceso perdure ante un reinicio del equipo, manipulando cuentas, procesos, o creando cuentas en el equipo.
- Escalada de privilegios: una vez dentro del equipo el objetivo será avanzar en privilegios procurando alcanzar el usuario administrador del equipo para acceder a mayor libertad de movimiento.
- Evasión de defensa: acto seguido, el atacante procurará desinstalar o deshabilitar el software de seguridad a efectos de poder pasar inadvertido.
- Acceso a credenciales: evadidas las defensas, actuando en forma oculta, el paso siguiente es procurar hacerse de la mayor cantidad de usuarios y claves del sistema, mediante fuerza bruta o keylogging (registro de todo loque se typea en el teclado) para tener más versatilidad en los movimientos que siguen.
- Descubrimiento: ya dentro del sistema y habiendo identificado usuarios y claves procurará descubrir su entorno e identificar cuáles son los equipos, los servidores, los elementos de seguridad, etc., con el fin de lograr expandirse y trascender el acceso al equipo inicial e introducirse en otros. Para ello usa Sniffer de red o descubre carpetas compartidas.
- Movimiento lateral: cuando el atacante tiene claro el entorno en el que se encuentra procurará moverse lateralmente y en forma oculta a archivos, equipos, servidores o hacerse pasar por usuarios internos (spearphishing interno) enviando archivos o links maliciosos.
- Recopilación: habiendo logrado posicionarse en lugares claves merced al punto anterior reunirá la mayor cantidad de información de la empresa.
- Comando y control: una vez acopiada la información el atacante procurará comunicarse con los sistemas externos o los servidores de comando y control para lograr que desde afuera haya un vínculo constante a ese lugar a fin de lograr el siguiente objetivo: el robo de información.
- Exfiltración: es el momento en que el atacante comienza a extraer información de la empresa, mediante exfiltración por protocolos alternativos o transferencias programadas, continuando oculto a los ojos de la organización que continúa con su operativa como si las condiciones de funcionamiento fueran normales. Llegados a este punto, se destacó que la mayoría de las organizaciones que sufren vulneraciones llegan a esta fase sin haber tomado conocimiento de que están siendo vulneradas. De ahí la relevancia de que los sistemas de seguridad de la información cuenten con recursos para detectar cuando están siendo vulnerados: es necesario que las organizaciones puedan tener visibilidad de lo que está sucediendo en su red, a efectos de evitar tomar conocimiento de ello cuando ya ha habido filtración de datos o peor aún, cuando se les está pidiendo un rescate. Se requieren sistemas de detección y prevención en todos los pasos, para poder darse cuenta de que alguien está tratando de ingresar desde la fase de reconocimiento de la organización.
- Impacto: es la fase en la que el atacante intentará manipular, interrumpir o destruir la información y los accesos a ella que tiene la organización. Es el momento en que se pone en juego el randsomware: el atacante descifró la información de la empresa y pide un rescate. Esto, luego de recorrer los 13 pasos anteriores (que pueden insumir meses) sin que el atacante haya sido identificado.
Conocer al atacante: infraestructura y configuración.
El hecho de que existan importantes organizaciones que son vulneradas conduce a reflexionar que la seguridad de la información no se trabaja exclusivamente desde la infraestructura y los sistemas: éstos deben ser potenciados con el conocimiento de las prácticas de los atacantes. Saber cómo actúa el adversario permite tomar decisiones y desarrollar estrategias para evitar que los sistemas sean vulnerados.
Partiendo del concepto de IOT (Internet de las cosas), se actúa concibiendo la interconexión como sustrato: todos los equipos de la empresa están conectados y pueden ser una puerta de entrada para los hackers. Además de tener equipos, firewall, antivirus y otros recursos, es clave saber cómo configurarlos a partir del conocimiento de cómo pueden atacarlos.
Mitre define grupos de adversarios por diferentes temáticas: finanzas, educación, retail, etc. El grupo tiene por objetivo la táctica, que se sirve de técnicas sustentadas en softwares que las implementan. Mitre logra mapear las tácticas, técnicas y subtécnicas que usan los distintos grupos para lograr sus objetivos, compilando información para ayudar a las organizaciones a tomar medidas preventivas respecto a las tácticas y técnicas utilizadas por los atacantes, permitiendo que sea posible visualizar qué estrategias de prevención son más eficaces. Ello a su vez permite a las organizaciones identificar qué tan preparadas están para enfrentar posibles ataques.
¿Qué sucede cuando ocurre una vulneración?
No es posible contrarrestar todos los riesgos. Ello no significa que estemos indefensos. Las herramientas del Mitre Attack permiten identificar cuáles son las principales o más dañinas amenazas a las que estamos expuestos con base en un adecuado análisis de riesgos, para que los recursos que se destinan a ciberseguridad sean optimizados a través de un destino y uso eficaz.
Los planes de contingencia son una herramienta que debe estar prevista ante la probabilidad de sufrir un ataque. Un plan de contingencia supone tener claro cuáles son las actividades críticas del negocio (Business Impact Analysis), para poder diseñar un plan de continuidad operativo que permita a la organización seguir funcionando ante un desastre.
Un recurso importante en materia de planes de contingencia es el cifrado de caja fuerte, que impide que la información pueda ser descifrada aun cuando se haya accedido a ella. También la política de respaldos que evita que se pierda información, se yergue como recurso clave para la continuidad del negocio. La dirección de la organización debe tomar decisiones estratégicas respecto a las áreas y actividades críticas de la empresa, así como al riesgo que está dispuesta a correr en materia de pérdida de tiempo de información, mucho antes de tomar decisiones respecto a aspectos tecnológicos.
Buenas prácticas.
La primera recomendación es que la organización entienda en qué situación se encuentra (gap analysis) en materia de seguridad de la información en comparación con marcos de referencia internacionales como ser Mitre, las normas ISO 27001, el estándar NIST u otros.
Fundamental es la sensibilización del factor humano, lo cual va más allá de la realización de charlas anuales de sensibilización. Supone aplicar phishing ético, randsomware ético y tener probados los sistemas a nivel de las personas, no para penalizar sino para identificar vulnerabilidades que necesitan ser contrarrestadas a nivel comportamental.-
*Ignacio Pérez - Gerente General en Quinta Disciplina Consultores. Máster en Consultoría Tecnológica. Docente en la Universidad de la Empresa. Docente en LSQA. Auditor Líder en LSQA (Latu Sistemas Quality Austria) en ISO 9001, 14001 y 27001. Auditor de productos certificables en LSQA. Oficial de Seguridad de la Información en Medicina Personalizada. Delegado de Protección de Datos en Medicina Personalizada. Delegado de Protección de Datos en El País.
**Diego Llovet - Experto en seguridad informática y seguridad de la información. Consultor e implementador de soluciones de seguridad. Auditor 27001 en LSQA. Experticia en áreas clave como el networking e infraestructuras Open Source. Sólida trayectoria en gestión de personal, tareas y proyectos. Certificación en Mitre Attack.