¿Cómo piensa un ciberdelincuente?

  • Reportajes

"Conócete a ti mismo y conoce a tu enemigo". La frase aún sigue siendo válida aun cuando tiene más de 2.500 años. Está recogida en El Arte de la Guerra, considerado el tratado de estrategia más famoso del mundo, válido tanto en una estrategia militar como de negocios e incluso política. Decía Sun Tzu, el general, estratega militar y filósofo de la antigua China autor del tratado, que toda guerra es un engaño y que la información es clave antes de luchar.

El cibercrimen cuesta a las empresas miles de millones de dólares cada año. Un informe de Juniper Research habla de dos trillones de dólares en 2019, millar arriba, millar abajo. Saber qué quieren los ciberdelincuentes, entender sus motivaciones, conocer qué les inspira y saber cómo hacerles frente es de vital importancia.

Este contenido fue el tema de portada del número de Febrero de la revista IT Digital Security, disponible desde este enlace.

Los cibercriminales, también conocidos como Black Hackers, tienen diferentes motivaciones para llevar a cabo sus acciones. Los unos son oportunistas, los otros avariciosos y algunos se mueven por ideales. Un informe de eSentire sin embargo, recoge que a un 86% les mueve el reto de aprender, un 21% menciona el dinero y un 6% motivaciones políticas y/o sociales. Por otra parte, el 46% está de acuerdo en que la vida sin peligro sería demasiado aburrida para ellos y un 64% dice que disfrutan de los riesgos asociados.

Las motivaciones llevan a los ciberdelincuentes a comportarse de una manera u otra, de forma que unos pueden preparar sus ataques cuidadosamente mientras otros asumen más riesgos. En todo caso lo que parece ser común es que sean cibercriminales que se mueven en solitario o a través de grupos o incluso organizaciones, lo que buscan son personas y datos.  Y cuando mayor sea la sensibilidad de los datos conseguido, mayor el estatus que consiguen en su entorno.

Cuando el objetivo es una persona las amenazas son de phishing, anuncios falsos que buscan que alguien haga click en un enlace y habilite la entrada del black hacker. Son ahora muy conocidos los BEC (Business Email Compromise), casos de fraude en lo que se busca hacerse pasar por un alto ejecutivo para desviar fondos, interceptar transferencias o que se autoricen pagos a cuentas controladas por organizaciones cibercriminales. En muchas ocasiones se buscan vulnerabilidades, y no hace falta que sean desconocidas sino sólo que aún no estén parcheadas, para que los ciberdelincuentes puedan acceder a las redes empresariales y moverse hasta encontrar información y datos sensibles. Los datos confidenciales se consideran un trofeo y prueba de gran habilidad para el hacker. Aunque reconocen el riesgo, el 77% de los ciberdelincuentes dicen que su presencia rara vez se identifica durante un ataque. Es más, según el estudio de eSentire un 90% dice que pueden cubrir sus huellas después de una violación en menos de 30 minutos, reduciendo aún más su riesgo.

Las víctimas

Hemos mencionado los ataques BEC, también llamados fraude del CEO. Explica INCIBE este timo consiste en que un empleado de alto rango, o el contable de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa. En este mensaje le pide ayuda para una operación financiera confidencial y urgente. Caer en este engaño costó a la EMT de Valencia cuatro millones de euros el año pasado.

Cuando se trata de robar información, el 40% de los ciberdelincuentes dicen que su principal objetivo era encontrar el eslabón débil en la cadena de la empresa, y a veces ese eslabón es el contratista, la cadena de suministro. Es posible que ese contratista no siempre tenga acceso a la red de la empresa, pero al no estar sujetos a todas las políticas de seguridad, les convierte en un objetivo valioso.

Además, el responsable de TI, con su nivel de administrador y acceso directo a servidores y sistemas donde se almacena muchísima información, es un objetivo importante para los ciberdelincuentes. En un mundo de servicios, donde una credencial es lo único que nos separa de los principales activos de las empresas, éstas se han convertido en el nuevo perímetro de seguridad. Y es que, una vez conseguido el control de los códigos de acceso, el ciberdelincuente puede tomar el control del sistema de manera fácil y rápida.

¿Por dónde empiezan?

Open Source Intelligence, OSINT, hace referencia al conocimiento recopilado a partir de fuentes de acceso público, y es una de las principales herramientas de los ciberdelincuentes.

Antes de que un ciberdelincuente inicie un ataque dirigido contra una organización o individuo en particular, primero recopila tanta información como pueda sobre la empresa y los empleados, y ahí es donde entra en juego OSINT. Normalmente se trata de detalles recopilados en Internet (por ejemplo, empresa y título de LinkedIn, etc.), pero, técnicamente, puede incluir información fuera de línea. Estas valiosas piezas de información se recogen utilizando una variedad de herramientas y métodos que, en general, no alertan a la víctima de la actividad de OSINT en lo más mínimo.

El objetivo de cualquier ataque dirigido es hacer que parezca lo más legítimo posible. Esto implica el uso de tantas señales contextuales como estén disponibles para mejorar la ilusión de legitimidad y reducir las defensas de la víctima potencial.

Desde 2013, el número de búsqueda de “OSINT” ha crecido un 500%, y la tendencia no decae. Hay que puntualizar que la recopilación de datos no siempre es con fines maliciosos ya que una empresa podría utilizar el OSINT para detectar vulnerabilidades en la compañía. En todo caso, el OSINT Framework es una representación visual de qué dato es capaz de recogerse con OSINT y mediante qué herramientas, muchas de las cuales se engloban dentro de la categoría de herramientas de pen testing utilizados por los analistas de seguridad.

No cabe duda de que cuando se completa la etapa del conocimiento, el adversario está en una posición ventajosa para atacar la infraestructura defensiva y las debilidades de la víctima. Y cuanto más sepa más opciones tendrá de que el ataque sea un éxito.

¿Qué busca el ciberdelincuente?

Que el ciberdelincuente conozca a la víctima es tan importante para el primero como que el segundo conozca al ciberdelincuente. Es fundamental comprender por qué los datos confidenciales de las empresas están siendo atacados y más aún: saber el riesgo asociado con la pérdida de esos datos es clave para priorizar la protección. Al respecto hay que destacar que, en el contexto de las empresas pequeñas y medianas, el 63% no ha definido claramente qué datos sensibles estaban en el contexto de su organización. De ello, un 55% carece de una política formal de clasificación de datos y solo el 51% confía en tener la capacidad de detectar y responder a un ataque de datos confidenciales dirigido. Es decir, según el informe de eSentire 63% de las organizaciones no tienen claro cuáles de sus datos son sensibles.

Parece fácil, pero empecemos por el principio, ¿cuáles son considerados datos sensibles, o confidenciales? Es toda información que debe protegerse contra el acceso no autorizado. El acceso a datos confidenciales debe limitarse a través de suficientes prácticas de seguridad de datos e información diseñadas para evitar la divulgación no autorizada y las violaciones de datos. Para complicar aún más las cosas, los sistemas son complejos y siempre cambian; los datos pueden duplicarse para entornos de prueba o archivarse y olvidarse rápidamente. Llegados a este punto, comprender el riesgo financiero asociado puede ayudar a las organizaciones a identificar y clasificar sus datos confidenciales de acuerdo con la tolerancia al riesgo.

Según el 2019 Cost of Data Breach Study de IBM y Ponemon Report, el coste medio de una brecha de seguridad es de 3,9 millones de dólares, siendo de 150 dólares el coste de cada registro perdido o hackeado. Casi peor, el tiempo medio para identificar y contener una brecha de seguridad es de 279 días.

El estudio identifica, y valora, algunas medidas que pueden reducir el impacto económico de una brecha. Por ejemplo, la formación de un equipo de respuesta ante incidentes puede reducir el coste de una brecha unos 360.000 dólares; la misma cantidad puede reducirse del coste final si se usa cifrado.

Ataques

El estudio The Black Report 2018. Decoding the mind of hackers, recoge qué tipo de ataques son los favoritos de los hackers, entendiendo hacker como “un pirata informático como alguien que accede a sistemas informáticos o aplicaciones sin permiso para ejecutar actividades nefastas para su destrucción o beneficio personal”. Un 28% prefieren los ataques basados en red, seguidos de cerca por la ingeniería social (27%) y los ataques de phishing (22%).

En cuanto a las herramientas utilizadas, los piratas informáticos utilizan con mayor frecuencia herramientas de código abierto seguidas de paquetes de exploits. Cuando se combinan, más del 80% de los encuestados dijeron que usaron estos dos tipos de herramientas; “las menos utilizadas fueron exploits privados, herramientas personalizadas (hechas a mano) y herramientas comerciales”, recoge el informe de Nuix, que destaca como interesante que no haya un umbral para obtener las herramientas necesarias para lanzar un ataque. “Cualquiera, en cualquier lugar y con las habilidades y el deseo puede obtener lo que necesita para convertirse en un hacker”, dice el informe.

El estudio también pone de manifiesto que sí, que las organizaciones se enfrentan a un panorama dinámico de amenazas. Sólo el 22% de los ciberdelincuentes mantuvo las mismas técnicas durante un año o más; otro 22% cambian las técnicas de ataque cada dos meses; un 20% lo hace al menos dos veces al año, y un 19% cada año. Los más avanzados, un 17%, aseguran cambiar sus métodos de ataque con cada enfrentamiento. El informe también quería descubrir si el lanzamiento de nuevas herramientas o técnicas permitió a los atacantes ser mejores hackers: Más de un tercio (37%) dijo que encuentra algo para mejorarlos cada mes o dos y poco menos de un tercio (29%) encontró algo nuevo en cada compromiso.

En general, casi las tres cuartas partes de los encuestados dicen que pueden cubrir sus huellas después de una violación en menos de 30 minutos, lo que añade más complejidad a la detección de sus actividades después del hecho, dependiendo del tipo de ataque y qué tipo de ofuscación usaron.

Kill Chain: las siete fases de un ciberataque

El concepto Cyber Kill Chain fue acuñado por analistas de Lockheed Martin Corporation en 2011. Lo que denominaron Intrusion Kill Chain buscaba ayudar a la toma de decisiones para detectar y responder de una forma más adecuada a los posibles ataques o intrusiones a los que se encuentra expuesto cualquier sistema. Se establecen siete etapas en un ciberataque:

1. Reconocimiento

2. Preparación

3. Distribución

4. Explotación

5. Instalación

6. Comando y control

7. Acción sobre objetivos

En la fase de reconocimiento se busca información de la víctima. Es aquí donde el marco OSINT cobra todo su sentido. Se recopilan nombres, cargos, direcciones de email… de los empleados de la organizaciones. Se buscan vulnerabilidad, identifica a las personas y se establece el plan de ataque.

En la segunda, fase, de preparación, se desarrolla el malware para explotar la vulnerabilidad detectada, o el mensaje específico a la víctima escogida. La fase de distribución es cuando ese mensaje o malware se envíe. En la fase explotación el malware empieza a ejecutarse en el sistema escogido y se activa la amenaza escondida en ese mail.

En la fase de instalación el malware crea una puerta trasera o simplemente permite que el ciberdelincuente entre en el sistema de la víctima, fase seis de esta cadena de ataque que lleva a la séptima y última: el intruso inicia el robo, corrupción o destrucción de los datos.

Esta cadena es válida para que las empresas sean capaces de identificar vulnerabilidades y apuntalar sus defensas para eliminarlas. No es una tarea fácil, pero cuanto más se estudien cada una de estas siete etapas de la cadena de, mejor se podrá evitar el próximo ataque.