Ofertas en tecnología

Los 5 métodos de ataque cibernético que debe tener en cuenta

Un panel de expertos se reunió durante la RSA Conference, uno de los principales eventos del mercado de la seguridad digital, para señalar las cinco técnicas de ataque más peligrosas en la actualidad, que se espera que se conviertan en tendencia en la industria durante los próximos años. Son métodos de explotación, estafas y extracción de datos que intentan encontrar lagunas en un mercado que aún tiende a protegerse de ofensivas comunes, como el ransomware y la denegación de servicio, que representan focos de atención para el futuro cercano.

La conferencia sobre tendencias se realiza todos los años y reúne a expertos del Instituto SANS (Administración de Seguridad, Sistemas y Redes), una organización estadounidense privada enfocada en cursos, capacitación y análisis en ciberseguridad. La idea es alertar a corporaciones y expertos sobre las amenazas que se avecinan, de acuerdo a la experiencia de cada uno de los integrantes en el mercado y en diferentes sectores de la tecnología.

Vea cada una de las ideas presentadas durante una conferencia en la Conferencia RSA:

Aumento del uso de servicios en la nube legítimos en los ataques

Los delincuentes utilizan servicios en la nube legítimos, como OneDrive, para distribuir malware y plantean desafíos adicionales para el monitoreo y la defensa (Imagen: Reproducción/Microsoft)

La primera tendencia presenta, como casi todas las demás, una evolución de las técnicas de invasión y explotación ya existentes. Donde antes se hablaba de “living off the land”, un tipo de ataque que implica el uso de herramientas legítimas y malware sin archivos, ahora se habla de “living off the cloud”. Es un vector que, como señala Katie Nickels, directora de inteligencia de SANS y Red Canary, combina la comodidad para los delincuentes con un amplio sigilo.

Esto se debe al uso de sistemas reconocidos como OneDrive, que sirve para alojar amenazas, acortadores de URL y Ngrok, aplicando dominios legítimos y túneles inversos a enlaces que de otro modo serían detectados como maliciosos. Este tipo de plataformas también son sencillas y baratas para ser utilizadas por delincuentes, además de ser muy utilizadas en entornos corporativos, lo que aumenta la posibilidad de que un empleado se deslice y acabe sin ser bloqueado por los cortafuegos y otras plataformas de protección.

“Bloquear dominios no es una solución aquí, [pois estes] son servicios legítimos. El usuario conoce y hace clic en el enlace, siendo el método cada vez más adoptado por los opositores por su simplicidad”, explica Nickels. Señala, más que nunca, la necesidad de educación e indicación de elementos maliciosos, así como la necesidad de denunciar las infracciones a los proveedores de servicios, para que puedan bloquear cuentas y detectar vectores incipientes de abuso.

La autenticación de dos factores no es absoluta

La autenticación en dos pasos es un criterio básico, pero las malas configuraciones y las cuentas abandonadas pueden arruinarlo todo (Imagen: Divulgación/Auth0)

La verificación de varios pasos a menudo se menciona como un mecanismo de seguridad básico y estandarizado, pero también como uno capaz de prevenir la mayoría de los ataques que implican la fuga de datos y el robo de credenciales. Este no es el caso, como señala Nickels, ya que los estafadores se están aprovechando de las fallas de configuración y el formato mismo de esta autenticación para obtener acceso a las redes corporativas incluso cuando están activadas.

El objetivo es encontrar fallas en la configuración o las cuentas que deben desactivarse pero que aún permiten la intrusión. El experto cita, por ejemplo, un caso en el que un perfil de ActiveDirectory estaba desprotegido y debería haberse cerrado, mientras que otras cuentas estaban protegidas con autenticación en dos pasos; Los adversarios rusos pudieron encontrar esa apertura y registrar un nuevo dispositivo, descubriendo la contraseña por fuerza bruta y obteniendo acceso a toda la red sin que los administradores de la red se dieran cuenta del problema.

“Saber lo que es normal para las cuentas ayuda a encontrar elementos maliciosos que pueden estar escondidos”, señala Nickels. En su opinión, un sistema de monitoreo más apropiado puede ayudar a reconocer tales anomalías, mientras que las cuentas inactivas o desactivadas deben tratarse como tales, eliminándose o bloqueándose de manera efectiva para que no se conviertan en posibles amenazas latentes.

Johannes Ullrich, decano de investigación de SANS, plantea otro problema que a menudo pasa desapercibido: el de los tokens de acceso físico que se reemplazan pero no se borran, y que aún contienen datos de inicio de sesión importantes. “Mantener el cifrado fuerte y la clave protegida es la mejor opción, pero preste atención al panorama de amenazas, ya que no existe una solución única para todos”, explica, al tiempo que señala un único acto que nunca debe realizarse. : aparatos de este tipo, no pueden desecharse, especialmente en la basura pública, sin ser perfectamente protegidos y destruidos. Muchas empresas, señala, aprendieron esto de la manera más difícil posible.

Las copias de seguridad están dirigidas tanto como los sistemas activos

Los servidores de copia de seguridad se han convertido en el objetivo de los delincuentes, que intentan asegurar el rescate destruyendo la información que se usaría en la recuperación (Imagen: Envato/twenty20photos)

El decano también es el líder del Internet Storm Center, un grupo de 40 expertos en seguridad digital que monitorean la red diariamente y publican alertas sobre nuevos vectores de amenazas. Para él, una cosa ya quedó clara: las copias de seguridad ya no son la última frontera para la recuperación después de un golpe de ransomware, convirtiéndose cada vez más en un foco de atención para los delincuentes, con derecho a técnicas especializadas para destruir esta salvaguarda.

En su discurso, aporta un poco de ligereza al afirmar que «las copias de seguridad son aburridas y deberían seguir así». La idea es que no les pase nada malo o crítico, y que los archivos permanezcan aislados y protegidos de los servidores activos. “La falta de conocimiento del alcance, inventario y ubicación de la información, sin embargo, puede poner todo en riesgo”, agrega.

Menciona que, como todos los demás sistemas, la infraestructura dedicada a las copias de seguridad también puede estar mal configurada o presentar vulnerabilidades que conduzcan a la ejecución remota de código. Además, Ullrich señala como fundamental el cuidado con los dispositivos y endpoints que acceden a este tipo de plataformas, siendo imprescindibles las políticas de retención de datos, el control y protección de acceso y el cifrado de extremo a extremo para evitar la intercepción y destrucción de los datos que deben servir de base. rescate empresarial en un momento crítico.

Stalkerware y espionaje

Pegasus, uno de los principales software de espionaje de teléfonos móviles, enciende una advertencia sobre operaciones dirigidas e inevitables, según un experto (Imagen: Hans-Peter Traunig/Unsplash)

Heather Mahalik, directora sénior de inteligencia digital en SANS y experta en tecnología forense, subió al escenario con una realización aterradora, pero solo para aquellos que no siguen las noticias tecnológicas. “Si alguien quiere acceder a su dispositivo, lo hará. Si te conviertes en un objetivo, no podrás hacer nada. No es cuestión de si, es cuándo”, dijo, refiriéndose a las operaciones de espionaje y ataques dirigidos enfocados en robar información.

La higiene de seguridad baja en los dispositivos personales y la poca atención a las actualizaciones y dispositivos como relojes, enrutadores e Internet de las cosas hacen que estas operaciones sean altamente exitosas. Prueba de ello, según ella, es que, casi cinco años después, sigue habiendo una importante incidencia de contaminación con Wannacry, uno de los primeros ransomware, activo desde 2017 y responsable del caos en decenas de países. “El móvil suele ser la última prioridad para los equipos de seguridad, pero las empresas deben pensar en ello a la hora de componer los equipos”, dice.

Sin mencionar el malware que no requiere clics o sistemas de seguimiento, amenazas que, según Mahalik, solo permanecen latentes hasta que un atacante ve la necesidad de usarlas nuevamente. Cita, por ejemplo, Pegasus, desarrollado por el grupo NSO y enfocado a operaciones de espionaje, o ataques de phishing altamente especializados que llegan a través de iMessage o Facetime.

Prepararse con anticipación y mantener un monitoreo constante, particularmente cuando se trata de alertas sobre lo que se está instalando en un dispositivo, lo ayuda a mantenerse seguro. Para las personas jurídicas y las personas físicas, también es importante conocer el cargo que ocupan y qué tipo de amenazas pueden presentarse, tomando acciones previas de defensa y prevención para, al menos, tratar de evitar las peores.

ataques contra satelites

Internet satelital dificulta las acciones de bloqueo por países, pero pone un blanco en las espaldas de las empresas que brindan este tipo de servicio (Imagen: Divulgación/ViaSat)

La invasión rusa de Ucrania aceleró un proceso que Rob T. Lee, director de SANS, vio como una tendencia en los próximos años. El ataque perpetrado por agentes rusos contra el sistema satelital Viasat, que terminó dificultando el acceso a internet en parte de Europa, es parte del cambio en el juego geopolítico y también cambia las reglas de las ofensivas digitales, siendo el foco de atención de las organizaciones. en el sector y segmentos que dependen de este tipo de tecnología.

“Si Internet está en el cielo, no está bajo el mando de ninguna nación. El impacto del uso de satélites en los sectores de la seguridad y la privacidad nos acompañará durante algún tiempo”, explica, señalando que las operaciones de combate y la interceptación de datos ya no dependen de las fronteras regionales. Lo mismo ocurre con los cortafuegos, candados y otros sistemas nacionales, ya que nombres como Starlink invaden el mercado y ofrecen sus servicios a ciudadanos y organizaciones.

Sin embargo, tales corporaciones también deben convertirse en un objetivo, ya que los estados-nación y los ciberdelincuentes a su servicio no cejarán. El golpe asestado por el limpiaparabrisas AcidRain contra Viasat, entonces, fue solo el comienzo de esta historia.

El periodista siguió el evento en formato digital, por invitación de Tenable.

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart