Los ataques cibernéticos rara vez ocurren de manera improvisada, normalmente se cuenta con un procedimiento a seguir que suele repetirse entre los diferentes ciberataques.
Así como el mundo tecnológico evoluciona a pasos agigantados, la realidad es que los métodos que aplican los ciberdelincuentes suelen ser cada vez más robustos, teniendo que implementar nuevas medidas en sistemas, redes y usuarios para poder prevenirlos y mitigarlos.
Un ciberataque no es un evento aislado o espontáneo, es un proceso meticuloso que involucra varias fases desde la planificación inicial hasta la ejecución final.
Desde el reconocimiento inicial hasta la exfiltración de datos, entender cada fase del ataque es crucial para poder defenderse de manera efectiva.
Disclaimer: Este artículo tiene fines exclusivamente educativos y está destinado a proporcionar una comprensión general de las fases de un ciberataque y cómo los atacantes pueden llevar a cabo sus acciones en un entorno digital. La información contenida en este artículo no debe interpretarse como un incentivo ni una justificación para realizar actividades ilegales o maliciosas en línea.
Para poder llevar a cabo la enumeración de las fases utilizaremos un framework llamado Cyber Kill Chain, el cual está apuntado a entender los diferentes pasos que un ciberdelincuente suele llevar a cabo para perpetuar un ataque cibernético. Si bien es cierto que puede haber variaciones dependiendo de la finalidad del atacante, la realidad es que muchos escalones suelen repetirse transversalmente en cualquier ciberataque.
Conocer cómo los atacantes piensan y actúan permite fortalecer las defensas y estar mejor preparados para prevenir incidentes cibernéticos.
Usar la idea del Cyber Kill Chain a favor facilita hacer una evaluación de la red y los sistemas para identificar controles de seguridad faltantes y cerrar las brechas en la infraestructura de la compañía. Además, es posible reconocer los intentos de intrusión y determinar los objetivos y metas del ciberdelincuente.
El Cyber Kill Chain fue lanzado en 2011 y se compone de 7 fases. Normalmente, para que el ataque se considere exitoso en su totalidad, el atacante debe pasar por todas las fases de la cadena.
Las fases del ataque consisten en:
- Reconocimiento
- Armamento
- Entrega
- Explotación
- Instalación
- Comando y Control
- Acciones sobre objetivos
Reconocimiento
El término Reconocimiento se basa en descubrir y recolectar información del sistema y la víctima, siendo la etapa de planeación para el atacante, donde el mismo todavía no tiene idea qué empresa va a querer vulnerar.
Para ello existen varias posibilidades, siendo la más reiterada OSINT (Open-Source Intelligence), la cual es una buena forma de obtener información pública de la víctima, viendo cada pieza de información disponible, donde se puede incluir el nombre de la empresa y sus empleados, el tamaño de la empresa, las direcciones de correo electrónico, números de teléfono, etc.
Todo esto a partir de información considerada «pública» para determinar cuál es el mejor objetivo a comprometer.
En cuanto a los e-mails, se puede recurrir al email harversting para la obtención de los mismos. Este término deriva del proceso de obtener direcciones de correo electrónico de servicios públicos, de pago o gratuitos, recolectándolos y pudiendo ser utilizados para el envío de ataques de phishing o campañas de spam.
Una base de datos insegura donde los correos electrónicos están visibles al público de Internet es una excelente muestra para que un ciberdelincuente los recolecte y use para distribuir el software malicioso en cuestión.
Armamento
Ya sea un malware, un script malicioso, entre otros, incluye a todas las armas cibernéticas que pueden hacer daño a los usuarios y permiten comprometer un sistema de forma tal que el control pase a ser del atacante.
En esta fase, los atacantes preparan y empaquetan las herramientas o el código malicioso en cuestión que se utilizarán en las siguientes fases del ataque. Esta etapa es crucial, pues se crea y personaliza el virus informático o las herramientas específicas que podrán explotar una vulnerabilidad identificada previamente en la fase anterior.
Distribución
Esta será la sección donde el arma cibernética deberá ser distribuida a través de los sistemas.
El método de distribución más común generalmente es el e-mail, ya que, a través del phishing y la ingeniería social, muchos usuarios desprevenidos terminan cayendo en la trampa del atacante, siendo persuadidos por el mismo e instalando el malware dentro de sus equipos.
Además podemos incluir el método de descarga directa a través de Internet, donde un ciberdelincuente puede crear una página falsa que suplante la identidad de una compañía con buena reputación y conocida a nivel mundial, y ante la falta de educación de los usuarios, se descarga e instala el malware en el sistema.
Podemos incluir además la distribución de memorias USB infectadas, otro de los métodos de propagación más populares.
Explotación
Para ganar acceso a un sistema, el atacante debe explotar una vulnerabilidad. Por ejemplo, si tomamos la opción de realizar la entrega mediante phishing, la víctima debe hacer clic en el correo para ejecutar el malware.
También puede ser la opción de que la víctima descargue un archivo de formato office, el cual puede incluir macros maliciosas que, al ejecutarse el fichero, se activan e infectan el equipo.
Luego de ganar acceso al sistema, el atacante puede explotar el software, sistema o servidor para escalar privilegios o moverse lateralmente en la red.
No hay que olvidarse de los exploits de zero-day, los cuales aprovechan vulnerabilidades de día cero para explotarlas sin tener oposición, reacción o detección al comienzo.
Instalación
Cuando un atacante gana acceso por primera vez en el sistema, normalmente quiere re-acceder al mismo en caso de que pierda conexión o sea detectado por los sistema antimalware. También puede darse el caso que «parcheen» una vulnerabilidad usada por el ciberdelincuente.
Para ello se recurre a un backdoor (puerta trasera), el cual le permite funcionar como punto de acceso constante y persistente para que el atacante pueda conectarse a la víctima para monitorear sus actividades, penetrar más contenido malicioso, entre otras acciones ilícitas que comprometan aún más el equipo de la víctima.
También es importante, desde la perspectiva del ámbito defensivo, estar atento a las modalidades que los ciberdelincuentes realizan para evitar ser detectados una vez que instala el software malicioso. Muchos de ellos recurren a suplantar procesos del sistema operativo, cambiar su fecha, modificar el sector o registro de arranque para que el exploit siempre esté activo en caso tal que la víctima reinicie el equipo infectado, etc.
Comando & Control
El Comando & Control, abreviado como C&C o C2 es particularmente la infraestructura de programas que permite al atacante comunicarse con la computadora de la víctima, utilizando también varios protocolos de red como HTTP, DNS, entre otros.
Este canal malicioso le permite al ciberdelincuente manipular y tomar control remoto de la víctima. Por consiguiente, el equipo infectado estará en constante comunicación con el C&C.
La comunicación se realiza a través de los protocolos de red, donde se puede mezclar el tráfico legítimo con el malicioso para evadir los cortafuegos.
Es crucial para el atacante poder monitorear constantemente las acciones del usuario, pues en caso tal que quisiese cambiar algún parámetro que detenga el ciberataque, el ciberdelincuente se enterará y buscará evitar dicha detención.
Acciones contra el objetivo
Este apartado es bastante variable ya que depende plenamente de la finalidad del atacante y que acciones desea realizar cuando ya se tiene control del equipo del usuario.
Dentro de esta sección se puede incluir:
- Obtención de credenciales de los usuarios.
- Realizar una escalada de privilegios.
- Hacer un reconocimiento interno para interactuar con software del equipo y poder encontrar más vulnerabilidades.
- Concretar un movimiento lateral o pivoting dentro de una organización.
- Recolectar y filtrar información sensible.
- Eliminar copias de seguridad o puntos de restauración.
- Sobrescribir, corromper o destruir datos.
Por ejemplo, si el objetivo es la ejecución de un ransomware, la acción que querrá perpetuar realizar el atacante es encriptar los archivos y ofrecer un rescate, pudiendo generar un rédito económico en caso tal que la víctima opte por realizar el pago.
Por otro lado, si el objetivo es realizar actos de espionaje, buscará instalar un software que monitoree las acciones del usuarios que fue infectado y pretenderá obtener las credenciales necesarias para acceder a un sitio confidencial.
En definitiva, si bien los ciberataques suelen variar entre ellos dependiendo de la finalidad que tenga un ciberdelincuente, muchos de ellos cuentan con pasos que pueden ser transversales para cualquier incidente de seguridad.
Lo importante es que, nosotros como usuarios, sepamos tomar medidas adecuadas, ya sea preventivas y reactivas, para evitar que el ataque se propague y alcance su etapa final.