En la segunda semana del Mes Nacional de la Ciberseguridad, te contamos cuáles son los peligros y amenazas a los que están expuestos nuestros datos y sistemas que forman parte del ciberespacio, para que sepas cómo protegerlos y asegurarlos. El ciberespacio es una extensión del espacio físico, en donde existimos más allá de nuestros cuerpos […]
En la segunda semana del Mes Nacional de la Ciberseguridad, te contamos cuáles son los peligros y amenazas a los que están expuestos nuestros datos y sistemas que forman parte del ciberespacio, para que sepas cómo protegerlos y asegurarlos.
El ciberespacio es una extensión del espacio físico, en donde existimos más allá de nuestros cuerpos y que permite plasmar lo que ocurre en nuestras mentes. Con la evolución de la tecnología y el desarrollo de la era de la información, ésta se ha convertido en el nuevo oro, transformando nuestros datos y sistemas para acceder a ellos en activos, que tal como en el plano físico, conviene asegurar, puesto que, al igual que en plano físico, están expuestos a amenazas y peligros. Para protegernos efectivamente, lo primero es comprender el escenario en el que estas amenazas y peligros se desarrollan, para saber de qué nos tenemos que resguardar.
En el ciberespacio, como en el plano físico, existen diferentes tipos de amenazas, ejecutadas por diferentes tipo de actores, con diferentes objetivos, capacidades, modos de ataque, financiamiento, complejidad, herramientas, etc.
A medida que avancemos en los grupos de amenazas en esta clasificación, disminuiremos en la cantidad de ataques que ocurren, siendo los del primero grupo los más numerosos.
El término “Script Kiddie” es tomado del slang de los especialistas en seguridad informática y se usa para referirse a los chicos que sólo utilizan herramientas (programas, scripts) disponibles en la internet, creados por personas con más capacidades técnicas. Suelen explotar vulnerabilidades ya conocidas para atacar sistemas y cuentas de usuarios. Son los ataques más numerosos, pues son los más fáciles de llevar a cabo. Su objetivo es causar daño en páginas web y a usuarios individuales y sus cuentas de correo o de servicios de internet, para obtener lo que puedan (causar daño, obtener claves, etc). En cuanto a intensidad y complejidad de los ataques, ambas son bajas, pues los atacantes no poseen mucho dominio técnico, invierten poco tiempo en estos ataques, y no suelen ser discretos, cubrir sus huellas, o pasar desapercibidos. Además, su financiamiento es nulo. Si bien son los tipos de amenazas menos complejas, están tan esparcidos por la internet, que es importante ser consciente de su existencia, pues es bastante probable que algún día nos enfrentemos a este tipo de problemas como usuarios o como administradores de sistemas o servicios.
Bajo este grupo podemos mencionar al phishing, los virus, los ataques DNS.
Este grupo es menos numeroso, pero un poco más peligroso, y en él podemos agrupar a quienes pueden codear sus propias herramientas, o que tienen más acceso a la compañía y que tienen intenciones un poco más malvadas, ambiciosas o específicas que en el grupo anterior. También suelen explotar vulnerabilidades conocidas, pero poseen más capacidades técnicas que los script kiddies. Atacan a empresas, realizan defacements a páginas web, deniegan servicios, realizan volcamientos de datos a la internet. Invierten más tiempo en sus ataques, pues sus motivaciones son ideológicas o personales. Sus ataques tampoco son muy discretos, pero son más intensos, efectivos e invierten más tiempo en desarrollarlos.
Dentro de esta categoría podríamos agrupar los ataques mediante bots, DDOS y ataques como los que usan los script kiddies, sólo que con una utilización más avanzada.
En este grupo vemos que muchas veces ya se comienzan a utilizar vulnerabilidades desconocidas, para atacar a altos ejecutivos de empresas o instituciones, usuarios clave, y empresas más grandes que en los grupos anteriores. Sus objetivos suelen ser el robo de datos personales a gran escala (o a pequeña escala si es útil para acceder a sistemas protegidos). Pueden impactar incluso al nivel de perder una IP y causar graves daños a la imagen de una empresa. Estos ataques tienen una intensidad mayor y se invierte mucho más tiempo en ellos. Muchas veces no se detectan mientras ocurren, sino hasta que el daño está hecho. Quienes los organizan poseen más capacidades técnicas, y en ellos se aplican más componentes. Son pues, más complejos. Participan más personas organizándolos, que invierten más en fondos y tecnologías para realizarlos.
En este grupo se encuentran amenazas como los Rootkits y 0day exploits.
En el caso de los zeroday, el ciclo de vida es más o menos así:
En esta clasificación los actores maliciosos siguen utilizando vulnerabilidades desconocidas para atacar a sus objetivos, pero éstos se centran en empresas, sistemas de pago, datos relacionados con la identidad e información que otorgue ganancias monetarias. Sus motivaciones guardan relación con ganancia financiera y compromiso de identidad, para llevar a cabo fraude financiero y robo de identidad. Los exploits se realizan a través de la internet, las capacidades técnicas de los creadores de estos ataques siguen aumentando, la intensidad de los ataques es media-alta, se invierten, desde días a meses en estos ataques, se utiliza a bastante más personal que en los tipos de ataques anteriores, los conocimientos son más especializados. Se utiliza mayor financiamiento, diferentes puntos de ataque y más tecnología en ellos.
Aquí podríamos clasificar a los backdoors, el criptocracking y al malware avanzado.
Al adentrarnos en atacantes ya relacionados con naciones, evidentemente la complejidad se dispara. Aquí ya hablamos de atacantes con una altísima capacidad técnica, que organizan ataques que contemplan varias etapas, que pueden pasar desapercibidos por años. Los objetivos son la tecnología misma, entidades globales top 2000, infraestructura crítica, grandes almacenes de datos personales, etc. Los objetivos guardan relación con la obtención de grandes ventajas económicas y de tecnología, y el impacto, ganar capacidades de defensa comerciales. Ya estamos refiriéndonos a grandes operaciones auspiciadas por estados, en cuyas acciones se incluye el crear nuevas vulnerabilidades. Se utilizan recursos altísimos, en cuanto a la tecnología utilizada, el tiempo invertido y el número de participantes (que pueden llegar a los cientos) con altos conocimientos técnicos. Además, se consideran distintos puntos de ataque que logran ser indetectables por años. Se crean puntos de acceso directos a los objetivos atacados que logran mantenerse por años.
Acá podemos mencionar exploits únicos y multiplataforma y a las APT (Advanced Persistent Threats; Amenazas Avanzadas y Persistentes).
Evidentemente éste es el grupo de amenazas menos numeroso y más excepcional, cuyo target es la tecnología misma, los sistemas críticos, y a personas clave (ya sea con mucho conocimiento, o con posiciones políticas clave). Sus objetivos son comprometer la tecnología, a la gente, obtener impacto a nivel de control y comando y comprometer a la infraestructura crítica de un país. Producen pérdidas catastróficas e impactan la seguridad nacional de los países. También son amenazas en las que se utilizan vulnerabilidades que se crean específicamente con estos fines, que suelen ser difíciles de detectar y pasan años desapercibidas. La intensidad de estos ataques es altísima, se utilizan múltiples ángulos de ataque, participan en ellos personas con capacidades técnicas sobresalientes, por montones, y también crean y mantienen acceso directo a sus blancos. Cuentan con financiamiento alto en términos económicos, de activos y de tecnología.
Estos son ataques de espectro completo, alto calibre y de largo plazo.
Si bien es importante no caer en la paranoia, es a la vez mandatorio tomar las medidas básicas de seguridad, tal como hacemos con nuestros activos físicos.
Es importante también aprender que un entorno ciber seguro, en este mundo hiperconectado, lo creamos todos, y por ende, la ciberseguridad es tarea de todos =)
Por si no la conoces, la DerbyCon es una conferencia de seguridad informática que reúne a hackers en un ambiente mucho más íntimo y familiar, para celebrar entre amigos la cultura de la infosec, y no podíamos estar ausentes, así que viajamos hasta Louisville, EEUU, para ser parte de este evento.
Los problemas de configuración o configuraciones por defecto pueden comprometer un sistema completo. Es importante configurar de forma personalizada los componentes que se utilizan y evitar usar configuraciones genéricas.