Detrás de un ataque cibernético hay motivos, estudios de vulnerabilidades, organizaciones que trabajan en conjunto y, en el mejor de los casos, una estrategia de ciberseguridad.
Para Cisco, frenar un ciberataque requiere robustecer la infraestructura física para humanos.
Si lo que está en juego es el dato, se impacta a una empresa o a un servicio público; pero si se vulneran servicios críticos como energía, agua, una red hospitalaria, se ponen en juego vidas humanas.
Los ciberataques no son un juego de niños y los gobiernos buscan el equilibrio entre la recomendación y la penalización por no llevar a cabo las mejores prácticas.
Señaló Juan Marino, gerente de Ciberseguridad para Cisco América Latinoamérica.
Balancear entre riesgo e inversión
El ejecutivo afirmó que un ciberatacante se vale de tácticas, técnicas, procedimientos y utilizan distintas herramientas para explotar varias vulnerabilidades.
Ante ello, las empresas deben ponderar sus inversiones en tecnología de ciberseguridad con base en una fórmula en donde se suman las vulnerabilidades, las amenazas, la probabilidad y el impacto.
y todo esto dividirlo entre la ciberseguridad que tiene la empresa, contemplando tecnologías, procesos y personas para minimizar el riesgo.
Esta ecuación no es única, mas es la más básica con la que Marino recomienda a las empresas empezar a trazar su estrategia de ciberseguridad.
La carrera contra las vulnerabilidades
En el mundo digital, las vulnerabilidades tienen que ver con tomar provecho de una situación, sistema o falla. Por ejemplo, poder entrar a un sistema.
Cada año aparecen 20 mil vulnerabilidades nuevas, que se subsanan gracias a los parches.
Sí las descubre el propio fabricante, trabaja para parcharlas y avisa de la actualización a los usuarios.
Sí las encuentra primero el atacante se convierte en una amenaza, donde el tiempo que una empresa se tarda en instalar el parche es una carrera contra el atacante.
No todo depende de la tecnología
El usuario también debe ser considerado una vulnerabilidad, sobre todo si no tiene una cultura de la ciberseguridad, conformada por conciencia, educación e higiene digital.
¿Qué mueve a un atacante?
La respuesta más común es el dinero; un ciberataque es muy lucrativo, sobre todo de ransomware.
También existe el hacktivismo, alguien quiere hacer daño porque está convencido que sus ideas, contrariaras a la empresa atacada, son verdaderas y tiene más sustento.
Defacement es un tipo de ataque donde la página web de una organización es hackeada, para mostrar mensajes contrarios a su línea.
Por ejemplo, como las organizaciones que hacen daño a los animales, no cuidan su huella ecológica o discriminan entre otros.
Niveles y pasos de un ataque
Un ataque tiene tres niveles y cada uno sus pasos.
Todo inicia cuando el atacante busca ganar alguna forma de acceso, valiéndose de phishing o ingeniería social para tomar las credenciales de un empleado.
En el segundo nivel, el atacante descubre la infraestructura importante como servidores y sistemas, que son las joyas de la corona.
“La mayor parte de las organizaciones, privadas y públicas, no tienen identificadas sus ‘joyas de la corona’, ni construyen ciberseguridad alrededor de ella.”
“Es la red, software, una base de datos?, determinarlo es importante en la construcción de la estrategia de ciberseguridad”.
Juan Marino, gerente de Ciberseguridad para Cisco América Latinoamérica
Enseguida, en el tercer nivel, el atacante se prepara para hacer el despliegue del software malicioso, tomar y cifrar la información, robar datos y dejar un mensaje de extorsión.
Malware personalizado
Marino explica que el malware pudo haber sido creado por otra empresa, que los ponen a disposición del cibercrimen, o bien, pudo haber sido desarrollado específicamente para cierto blanco.
Cuánto más a medida está hecho el malware, más difícil será su detección.
Puede estar inactivo hasta que el atacante lo ejecute o puede estar programado para que se aparezca la pantalla de extorsión.
Este es el final de una cadena de trabajo que empezó días antes.
Ataques masivos
En el caso de los ataques masivos, es el usuario descarga un malware que cifra su computadora.
Estos códigos maliciosos están programados para ejecutar pasos para ir contagiando a otras máquinas.
Cuando este malware lo hace un ser humano, es más difícil detectarlo, la dinámica cambia y la persona responde y cambia su táctica.
Esos niveles forman parte de una cadena de ataque.
Conforma por: acceso inicial, ejecución, persistencia, escala de privilegios, evasión de defensa, descubrimiento, movimiento lateral, colección de información, ex filtración de datos y comando de control.
Una vez lograda esa persistencia en la red, se pueden ejecutar partes adicionales del ataque remotamente.
Ataques a sensores y máquinas
Las vulnerabilidades en el caso de la industria con sensores y máquinas conectadas son distintos.
Los protocolos y sistemas del mundo OT son diferentes a los de IT, y para lograr las ventajas de la automatización se conectan cada vez más redes.
Donde la cadena va a ser la misma, aunque el malware utilice un lenguaje distinto.
Medios para el ataque
El directivo de Cisco comentó que los atacantes montan una infraestructura maliciosa en Internet y, por lo general hostean, en la nube pública.
“En el caso del ransomware se requiere una conexión saliente, es decir, el malware de la máquina necesita salir y comunicarse al exterior con su estructura maliciosa para ir a buscar claves de cifrado.”
“Eso habla de cómo se comporta el ataque y, desde una óptica defensiva, vemos por donde podamos interceptarlo.”
Puntualizó el gerente de Ciberseguridad para Cisco América Latinoamérica.
Tecnologías para bloquear y reducir ataques
Hay formas de detección y defensa son vitales, por eso es importante conocer qué hacen las distintas soluciones de ciberseguridad del mercado. Entre ellas están:
Las soluciones antimalware; cada archivo que ingresa a la máquina genera un algoritmo matemático único e irrepetible conocido como hash o huella digital.
El antimalware compara ese número con una base de datos de archivos ‘malos’; avisa si es conocido, si es malo, y de serlo no lo deja pasar.
Para el atacante es muy fácil generar un archivo nuevo de malware, cambiando lo mínimo para evadir dichas listas.
Bloqueo de direcciones IP es el siguiente paso, aunque el atacante también puede hacer cambios rápidos sobre estas direcciones, lo que hace esa defensa fácil de superar.
Dominios y las direcciones IP dinámicas; ambos pueden cambiarse como parte de la infraestructura de ataque.
Las redes forman parte de los artefactos de ataque de los ciberdelincuentes, ahí el atacante tiene que cambiar una parte más estructural.
Las tecnologías que captan estos cambios son más efectivas en el bloqueo de amenazas avanzadas y dinámicas como: analíticos de red y análisis de tráfico de seguridad, entre otras.
Procedimientos de defensa
Cuando una organización descubre qué herramientas usa el atacante, puede diseñar su propia estrategia TPP (técnicas, prácticas y procedimientos).
Cuando ya se correlaciona el ataque y se responde con las herramientas tecnológicas, es cuando se le hace la vida difícil al atacante.
Un concepto que no debe estar desalineado a la empresa es Indicator Of Compromise (IOC). Una combinación de los elementos de la pirámide, que le permiten a las tecnologías de seguridad detectar el ataque y reportarlo.
El cibercrimen está organizado
El directivo de Cisco agregó que existen tres gangs o grupo delincuenciales, con gente inteligente, fondeo, soporte económico y forman parte de una cadena de valor con varias instituciones involucradas.
Que hacen la ingeniería social, compran datos, o venden ransomware como servicio.
Lotbi, Conti y Pisa son los grupos que han provocado mayores daños en ataques dirigidos con ransomware conocidos.
En América Latina se ubica que estos grupos son responsables de:
- 31% de los ataques en Brasil.
- 18% en México.
- 9% en Argentina.
- 8% Perú.
- 7% Colombia.
Pasan días infiltrados, antes de extorsionar
El especialista complementó que 63% de estos ataques se acompañaron de filtración de datos.
La extorción promedio es de 274 mil millones de dólares, y está incrementándose gracias a la práctica de la doble extorción.
Una vez vulnerado un sistema, el ejecutivo asegura que el tiempo que un intruso se queda, se mueve y estudia es en promedio nueve días, antes del primer mensaje de extorsión.
Desde el punto de vista de Marino, los atacantes hacen un análisis, saben cuál es la rentabilidad de la víctima y no aceptan menos que los pagos establecidos previamente.