Pasos que sigue un ciberdelincuente para alcanzar a su presa

Recomendación de: INCIBE – Instituto Nacional de Ciberseguridad de España

Dicen que la mejor defensa es un buen ataque y si queremos defendernos de un ciberdelincuente, ¿Qué mejor que aprender sus técnicas? En este post no vamos a contaros cómo atacar la web de nuestra competencia, pero sí os contaremos los pasos que sigue un ciberdelincuente para acceder a los datos confidenciales de nuestra empresa. Estos pasos son siempre los mismos así que debemos estar preparados para detectarlos.

Obtención de información

El primer paso que siguen los ciberdelincuentes cuando toman la decisión de atacar una empresa es obtener toda la información posible sobre la misma. Da igual de qué tipo sea, cualquier información posible puede serles interesante: nombres de empleados, direcciones de correo, horarios, nombres familiares de empleados, cuentas en redes sociales de empleados y familiares, números de teléfono, historial laboral de los empleados, historial de la empresa, etc. Y por supuesto, algunos datos técnicos (nuestra IP, nuestro dominio, los subdominios que tenemos reservados, los servidores que tenemos abiertos a internet…).

Para realizar un ataque es necesario conocer toda la información posible de la compañía. El atacante aun no va a acceder a los sistemas ni va a intentar atacar nuestra empresa. Solo está recabando información por lo que detectar un ataque en esta fase es casi imposible. Sin embargo podemos intentar ponérselo un poquito difícil. Si tenemos en nuestra página listados de empleados, teléfonos, direcciones de correo, horarios… eliminarlos (si no es estrictamente necesario tenerlos). Cuando contratemos un dominio de Internet, debemos dar la menor información posible (no tiene sentido dar un número de teléfono o dirección de correo personal, es preferible una del tipo info@miempresa.com.

Y sobre todo un buen plan de seguridad y una política de concienciación de empleados ayudarán a que el atacante no entre a través del portátil del hijo del administrador de sistemas.

Escaneo de sistemas

Una vez que el ciberdelincuente conoce datos técnicos como los servidores conectados a Internet y sus direcciones IP (es decir su identificador en Internet), se pondrá a detectar los puertos abiertos (en nuestros servidores existen puertos que, al igual que las puertas, deben de estar cerradas, salvo aquellas por las que queramos que pasen), las versiones de los gestores de contenidos web (CMS) de la empresa, los servidores de ficheros (FTP), etc. También detectará que sistemas operativos están ejecutándose en esos servidores y toda la información técnica que pueda. Para ello realizará escaneos contra IP concretas o rangos de IP.

Estos escaneos pueden detectarse con herramientas como los IDS (Sistemas de detección de intrusiones, del inglés Intrusion Detection Systems), pero si el ciberdelincuente los realiza bien pueden pasar sin ser detectados.

¿Y para que quiere saber el ciberdelincuente las versiones del software instaladas y todo lo anterior? Todo software es potencialmente vulnerable, sobre todo si no está actualizado. Cuanta más información consiga un atacante sobre los programas que tenemos instalados en nuestros servidores más opciones tendrá de acceder a información de nuestra empresa.

Para ponérselo mucho más difícil la mejor idea es tener siempre actualizado nuestros sistemas y todo el software que hay instalado en ellos.

Por ejemplo, si tenemos una web en la que usamos Magento no actualizado sobre un servidor Windows 2003 seguramente podremos ser atacados, ya que Microsoft ha dejado recientemente de dar soporte a Windows 2003 y han sido detectados fallos de seguridad en Magento. Por esta razón siempre es muy importante actualizarse.

Acceso remoto

Con la información obtenida en las fases anteriores el atacante busca vulnerabilidades del software y el sistema operativo que ha encontrado que tienen nuestros servidores y encuentra o escribe un programa para acceder (también conocido como exploit). Un exploit es un pequeño programa que aprovecha los fallos de los sistemas para las vulnerabilidades existentes en ese software. También puede decidir mandar un correo electrónico con malware a las personas que cree más vulnerables.

El ciberdelincuente intentará atacar de la forma más silenciosa posible, intentando siempre pasar desapercibido. La forma de no hacer «ruido» generalmente NO es la más directa. En muchos casos dará rodeos para llegar a su objetivo y pasará por infectar el equipo de un empleado para llegar al servidor central.

La mejor solución para evitar el acceso remoto, ya la hemos dado: establecer una política de actualización de todas las aplicaciones y sistemas para que se realice de forma continua. Siempre acompañada de una política de concienciación de empleados.

Mantener el acceso

Una vez ha accedido a la «máquina objetivo» el atacante querrá mantener el acceso a la misma. Para ello abrirá puertas traseras para volver de nuevo e intentará comprometer otras máquinas que estén en la misma red. De esta manera si actualizamos el software de nuestro servidor o detectamos su presencia, el atacante aún podrá acceder a nuestros sistemas a través de otras vías que ha dejado preparadas para estas situaciones.

Una de las vías para evitar que un atacante «abra» puertas traseras es la instalación de software que evita este tipo de acciones si no se es administrador. Así, un buen antivirus, siempre actualizado y evitar que los empleados trabajen en sus equipos con permisos de administración nos permitirá evitar que el ataque sea persistente en el tiempo.

Borrado de huellas

Todo lo que hacemos en un ordenador queda registrado en mayor o menor medida en unos archivos que se conocen como registros de actividad. El problema es que si se tienen los permisos adecuados, estos registros de actividad pueden ser eliminados. Esa será la siguiente tarea del atacante que ha comprometido un sistema. Si no quiere ser descubierto, borrará toda traza de sus movimientos en los equipos comprometidos.

Para evitar que pueda conseguirlo, lo mejor es que los empleados utilicen sus equipos sin permisos de administración. De esta manera, si se consigue comprometer el equipo de un empleado, tendrá los mismos permisos que éste y así no podrá eliminar los registros de actividad.

Además es interesante centralizar los registros de actividad en un servidor central, de manera que o el atacante consigue llegar este servidor o se podrá conocer todos los pasos que siguió desde que comprometió el primer equipo de la empresa.

Conclusión

Ahora que sabemos los pasos que va a seguir un ciberdelincuente para atacar nuestra empresa, recuerda:

mantener siempre actualizado todo el software y todos los sistemas operativos.

evitar trabajar con permisos de administrador en cualquier momento. Solo dar los permisos adecuados a los empleados.

tener siempre instalado aplicaciones antivirus, Firewalls o IDSs.

implantar un programa de concienciación de seguridad en nuestra empresa.

Con estos cuatro consejos dificultaremos mucho a un atacante sus intentos de acceso a nuestra empresa. En cualquier caso otra de las medidas básicas siempre tener sentido común a la hora de hacer pública información que ofrecemos. Como bien es sabido, la información es poder y los ciberdelincuentes saben mucho de eso.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.