“El manual de estrategias de un hacker” explica 10 pasos utilizados por los cibercriminales para filtrarse en las redes de una empresa y extraer información durante meses o años. De acuerdo con el documento publicado por Trustwave, el éxito de los ataques se basa en la especialización y personalización para no despertar sospechas, siendo indetectables por el tiempo necesario para robar información.
El libro electrónico divulgado por la empresa de software muestra cómo se organizan los hackers, seleccionan a sus víctimas, crean o compran herramientas de ataque, reclutan mano de obra penal (o involuntaria), mantienen el producto del delito y lo protegen contra la policía u otros criminales, para lo cual integra 10 estrategias, escritas desde la perspectiva de un ciberatacante, que puntualizan las vulnerabilidades de una compañía y aconseja cómo infiltrarse en la red y qué pasos seguir para lograr el robo de archivos.
La estrategia uno, titulada “Organice las etapas de su ataque”, desglosa cinco puntos, iniciando por la investigación, donde describe cómo el ciberdelincuente recauda la información pública disponible y construye un camino que puede utilizar sobre los sistemas de TI. También señala cómo se inmiscuye, utilizando la información para encontrar al empleado indicado a quien pueda engañar y así encontrar la vulnerabilidad apropiada a la cual apuntar su carga malintencionada. Y éste se convierte en su punto de apoyo inicial en la red del objetivo.
En los tres puntos restantes, expresa cómo, cuando se apodera de una máquina, utiliza las conexiones de red para propagar el software malicioso hacia otras máquinas de modo tal que, si lo detectan en un lugar, tenga el control de otras máquinas. Y una vez que conoce el panorama a través de sus diferentes conexiones, instala más herramientas para empezar a robar y acumular datos. Por último, para sacar todos esos archivos, el tráfico web público es un buen medio, señala el documento.
La estrategia dos explica cómo se especializa y terceriza. Indica la manera de armar un pequeño grupo mafioso con especialistas que trabajen juntos para mantener en funcionamiento la campaña de varios pasos, y dividirlas entre piratear y estafar. Además de tercerizar con proveedores de software malintencionado e, incluso, trabajar en una sociedad con iguales privilegios.
En la estrategia tres, muestra cómo expandir sus ataques. Una vez que cubre los pasos anteriores, podrá exprimir hasta la última vulnerabilidad. En este punto se vale de estrategias utilizadas anteriormente en máquinas de puntos de venta, en otras franquicias y de la misma marca. Con ello, se pueden robar diez veces la cantidad de datos pero, en realidad, solo hará el trabajo para infiltrarse en un solo lugar.
La cuarta estrategia, titulada “Participe como jugador sin entrar en el juego”, manifiesta que existen grandes probabilidades de que los empleados objetivo sean de gran ayuda, incluso, sin que lo sepan. Le darán información, le ayudarán a cargar el software malintencionado a sus máquinas e, incluso, le tendrán la puerta abierta para que pueda infiltrarse en el edificio. Así que trabajará en esto para su beneficio.
Los ejemplos que muestra son sobre la información del organigrama, la ubicación de un centro de datos o la tecnología que utilizan, cómo comunicarse con alguien que pueda saberlo, haciéndose pasar por alguien que trabaja en otro departamento y pedir la información necesaria. Nueve de cada diez veces, le dirán sin problemas todo lo que necesite, señala el manual.
También hace uso de las emergencias que parecen oficiales. Actúa como si necesitara ayuda para que se realice un proyecto esencial y que, de lo contrario, rodarán cabezas, el manual expresa que esta táctica funciona mejor si sabe el nombre del jefe máximo. Asimismo expresa que muchos administradores (incluso los empleados temporales) se encuentran a cargo de estaciones de trabajo desde las que se puede acceder a los mismos sistemas a los que se encuentra conectada la computadora del jefe.
Otra táctica que usan es la de hacerse pasar por un agente de recursos humanos. En este mercado, las personas suelen perder un poco el juicio si creen que hay una nueva oportunidad de trabajo. Quizás pueda incluso invertir en una pequeña ingeniería social en persona. Disfrácese de repartidor, lleve algunas flores y vea si alguien lo deja entrar al edificio.
En la estrategia cinco, explica cómo algunas veces no es necesario siquiera pedirles información a los empleados, ya que la brindan directamente en sus cuentas de Twitter. Utiliza los medios sociales para encontrar toda clase de datos de inteligencia. El cibercriminal fabrica una cuenta ficticia de Facebook y manda solicitud de amistad, ya que en las redes sociales puede encontrar información como la escuela secundaria o la universidad a la que asistieron, el nombre de soltera de su madre, su fecha de nacimiento, el nombre de su perro y datos sobre su trabajo: cargo, ascensos, nombre del jefe, grandes proyectos que está por tomar.
Todas estas son pistas valiosas para descifrar contraseñas, respuestas a preguntas de seguridad del sistema e información que facilitará las operaciones del ataque con un objetivo específico. Los medios sociales también son excelentes recursos para construir el perfil psicológico de un empleado que puede ayudarlo en su primera intrusión en una compañía objetivo. Si conoce sus pasatiempos, los equipos a los que alienta o cualquier otro tipo de información personal, puede diseñar la trampa perfecta para que visite un sitio con virus o puede engañarlo para que abra un documento malintencionado.
La estrategia seis muestra cómo investigan para encontrar cualquier debilidad. El ciberdelincunte busca credenciales de usuarios a cada paso del camino. El objetivo número dos es encontrar pistas sobre la arquitectura de la infraestructura de TI de la compañía objetivo para elegir el kit de software malintencionado indicado o para crear algo personalizado que pueda ayudarlo a elegir las entradas más conocidas. Esto puede ser cualquier cosa, desde archivos con contraseñas no cifradas y listas de direcciones IP de la compañía hasta información sobre la versión de los sistemas implementados.
Existen vulnerabilidades en casi todas las redes corporativas. Si la compañía objetivo no las tiene, es probable que sí las tenga un proveedor o una compañía socia con conexiones en la red. Utilizará vulnerabilidades que la industria de seguridad aún no descubrió y las que ya tienen una revisión.
Para la estrategia siete señala cómo reinventan los viejos ataques a sitios web y a correos electrónicos. Algunas de las estrategias iniciales de intrusión más efectivas son bastante viejas, estará suplantando identidades con correos electrónicos falsos, enviando mensajes instantáneos o de medios sociales para engañarlos con el fin de que visiten un sitio infectado o descarguen una aplicación ejecutable malintencionada.
Utilizará la información que recabó para que encaje a medida con esa interacción. Diseñará un cebo que sea creíble y construirá un anzuelo que parezca tan seguro que nadie se dará cuenta de que fue invadido.
En la estrategia ocho, describe cómo el ciberdelincuente piensa lateralmente. Si quiere permanecer en una red durante mucho tiempo, tiene que utilizar la apropiación inicial del lado del cliente para moverse lateralmente a través de la red. De ese modo, si se detecta la primera intrusión y se elimina el paquete de software malintencionado de la máquina, aún tendrá el control en otro lugar.
La propagación debe ser diversa. Utilizar tipos de cargas completamente diferentes en distintos sistemas, ya que una vez que se descubre uno de ellos, es probable que se vuelva a escanear la red en busca de todo lo que se asemeje a esa muestra. Pero si controla muchas terminales con diferentes tipos de software malintencionado, probablemente ni sabrán que aún se encuentran en peligro.
La estrategia nueve plantea cómo actuar encubierto. En ocasiones, solo querrá perpetrar un robo rápido, donde entra y sale de la red con el mayor botín posible o con una información específica. Pero, por lo general, la manera más rentable es extraer la base de datos poco a poco, durante un largo tiempo.
El ciberatacante planifica cada movimiento para evitar accionar una alarma. Mientras utiliza las herramientas en los sistemas para acumular datos y controlar las puertas traseras, como ocultar el software malintencionado en carpetas del sistema y hacerlo parecer procesos comunes, utiliza las cuentas de correo electrónico web para dirigir el tráfico de mando y control con cifrado SSL hacia sus puertas traseras, también hace uso de las utilidades empaquetadoras para ocultar los sistemas binarios del software malintencionado y guardar algunos componentes de software malintencionado en la nube.
Por último, la estrategia 10 muestra cómo se llevan los datos de manera discreta. En la actualidad, la mayoría de las compañías no configuran sus servidores de seguridad para que bloqueen el tráfico saliente, así que el ciberladrón cuenta con muchas opciones. El tráfico web púbico puede resultar una de las maneras más eficientes de sacar datos de la red de manera lenta. El tráfico HTTPS puede tener el beneficio adicional de mantenerse lejos de las herramientas de prevención de filtro de datos, ya que esconde los datos bajo un manto SSL.
Si usted desea descargar el e-book, visite la página https://www2.trustwave.com/cpn-lac-hackers-playbook-spanish.html.
Ivonne Vargas
