Herramientas legítimas son utilizadas en el 30% de los ciberataques

Recomendados:  España Digital 2025 Leer  La persistencia del ransomware Webinar

En casi un tercio (30%) de los ciberataques investigados por el equipo de Kaspersky Global Emergency Response en 2019 se utilizaron herramientas legítimas de administración y gestión remota. Como resultado, los atacantes pudieron permanecer un período de tiempo más largo sin ser detectados. Concretamente, los incidentes tuvieron una duración media de 122 días, en los que los ciberdelincuentes pudieron recopilar datos confidenciales de las víctimas.

El software de monitorización y gestión ayuda a los administradores de redes y de TI a realizar sus tareas diarias, como la resolución de problemas y la prestación de asistencia técnica a los empleados. Sin embargo, los ciberdelincuentes también pueden aprovechar estas herramientas legítimas en ciberataques a la infraestructura de una empresa. Este software les permite ejecutar procesos en terminales, acceder y extraer información confidencial, eludiendo varios controles de seguridad destinados a detectar malware.

En total, el análisis de datos anonimizados de casos de respuesta a incidentes mostró que los atacantes abusaron de 18 herramientas legítimas con fines maliciosos. La más utilizada fue PowerShell (25% de los casos), una herramienta de administración que se puede utilizar con múltiples propósitos, desde recopilar información hasta ejecutar malware. Le sigue PsExec, que se usó en el 22% de los ataques. Esta aplicación de consola está diseñada para iniciar procesos en endpoints remotos. Otra es SoftPerfect Network Scanner (14% de los casos), cuyo objetivo es recuperar información sobre entornos de red.

Es más difícil para las soluciones de seguridad detectar ataques realizados con herramientas legítimas, porque estas acciones pueden ser parte de una actividad de ciberdelito planificada o una tarea regular del administrador del sistema. Sin embargo, los expertos de Kaspersky señalan que a veces las acciones maliciosas con software legítimo se revelan con bastante rapidez. Por ejemplo, a menudo se utilizan en un ataque de ransomware y el daño se ve claramente.

“Para evitar la detección y permanecer invisibles en una red comprometida durante el mayor tiempo posible, los atacantes utilizan ampliamente software desarrollado para la actividad normal del usuario, realizar tareas de administrador y diagnóstico del sistema. Con estas herramientas, los atacantes pueden recopilar información sobre las redes corporativas y luego realizar movimientos laterales, cambiar la configuración de software y hardware o incluso llevar a cabo alguna forma de acción maliciosa. Por ejemplo, podrían utilizar software legítimo para cifrar los datos de los clientes. El software legítimo también puede ayudar a los atacantes a permanecer fuera del radar de los analistas de seguridad, ya que a menudo detectan el ataque solo después de que se ha hecho el daño. No es posible excluir estas herramientas por muchas razones, sin embargo, los sistemas de registro y monitorización correctamente implementados ayudarán a detectar actividad sospechosa en la red y ataques complejos en etapas anteriores”, señala Konstantin Sapronov, jefe del Equipo Global de Respuesta a Emergencias de Kaspersky.