No es novedad que los ciberataques se han estado convirtiendo en una de las mayores amenazas contra las organizaciones en todo el mundo. Diferentes noticias a diario nos confirman que estamos en constante riesgo y que debemos mantenernos alerta.
Por: Víctor Manuel Ruiz Lara, fundador de SILIKN
Sin embargo, para poder hacer frente a estas amenazas, es crucial entender en la medida de lo posible, la forma en que se planean y ejecutan, porque de ello dependen algunas medidas que podemos tomar para prevenirlas o mitigarlas.
Los pasos más comunes en un ciberataque son:
Reconocimiento: En esta fase, el atacante busca opciones para un ataque que maximicen las posibilidades de lograr sus objetivos, ya sea robar datos o secretos comerciales, causar interrupciones del servicio o desviar fondos. El atacante implementa una serie de técnicas para averiguar qué tipo de defensas tiene una organización y qué tan bien se mantienen.
Ataque o explotación: Haciendo uso de lo encontrado en la fase de reconocimiento, los delincuentes despliegan la estrategia más adecuada y eficiente. Hay elementos comunes de los ataques, por ejemplo, en primer lugar, un atacante debe infiltrarse en el sistema. Por lo general, lo hacen obteniendo credenciales a través del spear-phishing, elevando sus privilegios y entregando malware para cubrir sus rastros. Una vez hecho esto, el atacante puede deambular libremente por la red sin ser detectado, a menudo durante meses, esperando y observando algo de valor. Tal maniobra podría significar enumerar los servicios web o buscar más áreas objetivo, además de examinar las fuentes de datos.
Post-Explotación: El siguiente paso es la post-explotación, cuando ocurre el robo real. Para lograr la post-explotación con el menor riesgo de detección, los datos deben comprimirse para que se puedan eliminar rápidamente sin llamar demasiado la atención. Con la limitación del ancho de banda, los datos se pueden extraer sin activar alarmas. Los datos robados se envían a un servidor controlado por cibercriminales o una fuente de datos basada en la nube.
Persistencia: Una vez que se ejecuta el ataque y se eliminan los datos, los atacantes deben asegurarse de que la organización a la que están atacando no vuelva a crear una imagen de sus sistemas, no pueda detectar la intrusión, no tenga posibilidades de recuperación o no pueda mantener la continuidad de sus operaciones. Como tal, los delincuentes probablemente instalarán malware en varias máquinas para que tengan las claves del sistema y puedan volver a la red cuando lo deseen.
Con una comprensión de los conceptos básicos de los ciberataques, las organizaciones pueden defender mejor su posición. Pueden priorizar aspectos como la actualización y protección de sus sistemas clave. También pueden realizar pruebas de penetración para que una red de pentesters capacitados ataque los sistemas y aplicaciones para identificar posibles puntos a explotar.
La administración y las pruebas continuas del sistema son solo dos formas en las que las empresas pueden mantenerse a la vanguardia, encontrando configuraciones erróneas y vulnerabilidades antes de un ataque. En el entorno actual, la vigilancia es clave, así como un enfoque preventivo es totalmente necesario.
Comments