Mentalidad de atacante, la mejor opción para la seguridad cibernética

En el mundo de la ciberseguridad no es necesario seguir al pie de la letra el refrán “Se necesita un ladrón para atrapar a un ladrón”, pero sin duda ayuda (y mucho) a comprender su forma de pensar. Porque para conocer la mentalidad de los ciberdelincuentes resulta muy útil saber los tipos de vulnerabilidades que pretenden explotar. Dos cosas que comúnmente causan vulnerabilidades son las fallas de diseño y la codificación insegura.

Por qué a los atacantes les encanta explotar los defectos de diseño

El objetivo de los atacantes respecto a los entornos TI es hacer que el sistema trabaje contra sí mismo, haciendo que los sistemas y las aplicaciones vulnerables ayuden, por ejemplo, en el robo de datos y propiedad intelectual.

Uno de esos defectos de diseño, descubierto cuando el control por voz de los dispositivos móviles estaba comenzando a despegar, era sorprendentemente simple, lo que permitía que la interfaz de usuario amigable de los asistentes de voz se pasara por alto fácilmente. Lo que significaba que se podía decir a los iPhones que llamaran a los números de los atacantes, o bien usarlo para abrir un sitio malicioso desde el que se podría descargar e instalar más malware.

Los investigadores de la Universidad de Zhejiang que descubrieron la vulnerabilidad encontraron que la traducción de comandos vocales a frecuencias demasiado altas para que el oído humano las pudiera escuchar aún podía ser “escuchada” por los asistentes de voz estando a pocos metros de distancia para que la técnica se pusiera en práctica. Así, el smartphone objetivo, con un equipo adicional mínimo, incluido un pequeño altavoz y un amplificador, fue suficiente para que tuviera éxito.

Foco en el código inseguro

La otra clase de vulnerabilidad importante es el código inseguro. Estas vulnerabilidades surgen cuando los programadores no siguen las reglas para la programación segura, algo muy común en el mundo del software.

Estas vulnerabilidades vienen en muchas formas, incluidos errores basados en la memoria, que permiten a los atacantes escribir código en lugares de la memoria donde no deberían poder hacerse, así como vulnerabilidades de administración de credenciales, donde los atacantes pueden obtener acceso a las credenciales que se supone que no deben ver. A veces, los programas simplemente muestran información de depuración que puede proporcionar a los atacantes más información útil que pueden explotar.

Un buen ejemplo es el bug del comando Sudo (este comando se usa ampliamente en todos los sistemas operativos Linux). El error se descubrió en enero de 2021 y permite a un atacante escalar los privilegios de un usuario sin ningún permiso a root, el equivalente a un administrador, en una máquina host local. La programación insegura potencialmente le da al atacante acceso a cualquier cosa en el host. Y en la actualidad existen millones de máquinas en uso que son vulnerables a este bug fácil de explotar.

¿Cómo encuentran los atacantes estas vulnerabilidades? Una técnica común es el fuzzing, es decir, una técnica de prueba de software automatizada que busca bugs de software mediante entradas aleatorias y datos no válidos e inesperados en un programa, con el fin de encontrar bugs de programación y lagunas de seguridad. El atacante asumirá que, en algún lugar del programa, hay un bug oculto, por lo que solo se le plantean dos problemas que resolver. El primero es averiguar exactamente dónde está el error y el segundo,  averiguar qué entrada se debe pasar a través del programa para desencadenar el error.

Afortunadamente, los investigadores de vulnerabilidades también pueden explotar estas técnicas para encontrar fallos de programación y corregirlos. Las herramientas de fuzzing son fáciles de ejecutar y el especialista no tiene que entender todo el programa. Solo necesita investigar una parte muy pequeña del software y dejar que el programa haga el resto.

La conclusión es que la mejor arma que tiene un investigador es aprender a pensar como un atacante, para desarrollar una mentalidad similar. Al analizar las mismas vulnerabilidades que buscan los atacantes, los investigadores pueden encontrar las brechas explotables y mejorar la postura de seguridad de sus organizaciones.

Las consecuencias de no hacerlo pueden ser graves. Explotar la vulnerabilidad correcta puede provocar abrir un y permitir que un atacante escale los privilegios y, a su vez, comprometa las cuentas privilegiadas. Esto último es el núcleo del ciclo de los ciberataques. Para más información sobre cómo la gestión de acceso privilegiado puede ayudar a romper el ciclo y ayudar a proteger los datos, la infraestructura y los activos más críticos de las organizaciones, puede descargar una copia gratuita del Cuadrante Mágico de Gartner 2021 para la Gestión de Acceso Privilegiado, disponible desde este enlace: https://lp.cyberark.com/gartner-mq-pam-leader-es.

(1) Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Abhyuday Data, Michael Kelley, Swati Rakheja, 19 de julio de 2021

Gartner no respalda a ningún proveedor, producto o servicio descrito en sus publicaciones de investigación y no aconseja a los usuarios de tecnología que seleccionen solo a los proveedores con las calificaciones más altas u otra designación. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hechos. Gartner rechaza todas las garantías, expresas o implícitas, con respecto a esta investigación, incluidas las garantías de comerciabilidad o idoneidad para un propósito particular.

Lavi Lazarovitz, Head of Security Research, CyberArk