México D.F – 26 de mayo de 2023. Los ciberataques avanzados pueden permanecer en una red más de 200 días aproximadamente antes de ser descubiertos. Es mucho tiempo para que un atacante recopile sigilosamente datos privados, controle las comunicaciones y trace un mapa de la red.
Como en cualquier operación ambiciosa, el éxito de un ciberataque requiere una planificación cuidadosa y una ejecución precisa. Un factor que tienen en común los hackeos eficaces es la capacidad de permanecer encubiertos, hasta el instante en que llega el momento oportuno y de atacar. Aunque los métodos precisos de los ataques varían, suelen seguir una serie de pasos similares.
Expertos de BeyondTrust opinan que la gestión de identidades privilegiadas es un factor clave para prevenir la pérdida de información crítica, y a continuación, identifican siete pasos que hacen que un ciberataque sea exitoso para estar alerta ante cualquier posible hackeo:
- Reconocimiento
Antes de lanzar un ataque, los hackers primero identifican un objetivo vulnerable y exploran las mejores formas de explotarlo. El objetivo inicial puede ser cualquier persona de una organización, ya sea un ejecutivo o un administrador. Los atacantes simplemente necesitan un único punto de entrada para empezar. En esta etapa, los correos electrónicos de phishing dirigidos son habituales y funcionan como método eficaz de distribución de malware.
- Escaneado
Una vez identificado el objetivo, el siguiente paso consiste en identificar un punto débil que permita a los atacantes obtener acceso. Esto se consigue normalmente escaneando la red de una organización -con herramientas fáciles de encontrar en Internet- para hallar puntos de entrada. Esta etapa del proceso normalmente va despacio, a veces dura meses, mientras los atacantes buscan vulnerabilidades.
- Acceso y escalada
Una vez identificadas las debilidades en la red objetivo, el siguiente paso en el ciberataque es obtener acceso y luego escalar. En casi todos estos casos, se necesita acceso privilegiado porque permite a los atacantes moverse libremente dentro del entorno. Diferentes herramientas ayudan a los intrusos a robar credenciales, escalar privilegios de administrador y, a continuación, entrar en cualquier sistema de la red que sea accesible a través de la cuenta de administrador. Una vez que los atacantes obtienen privilegios elevados, la red queda bajo su control y pasa a ser «propiedad» de los intrusos.
- Exfiltración
Con la libertad de moverse por la red, los atacantes pueden acceder a los sistemas con los datos más sensibles de una organización, y extraerlos a voluntad. Pero robar datos privados no es la única acción que pueden llevar a cabo los intrusos. También pueden cambiar o borrar archivos en los sistemas comprometidos.
- Mantenimiento
Los atacantes ya han obtenido acceso sin restricciones a toda la red objetivo. Lo siguiente es el mantenimiento, es decir, permanecer en el lugar sin hacer ruido. Para lograrlo, los hackers pueden instalar en secreto programas maliciosos como kits de root. Esto les permite volver cuando quieran. Y con los privilegios elevados adquiridos anteriormente, la dependencia de un único punto de acceso ya no es necesaria. Los atacantes pueden ir y venir a su antojo.
- Asalto
Afortunadamente, este paso no se da en todos los ciberataques, ya que el asalto es la fase de un ataque en la que las cosas se ponen especialmente feas. Es entonces cuando los hackers pueden alterar la funcionalidad del hardware de la víctima o inutilizarlo. El ataque Stuxnet contra las infraestructuras críticas de Irán es un ejemplo clásico, un virus tomó el control de mil máquinas y les ordenó autodestruirse. Durante la fase de asalto, el ataque deja de ser sigiloso. Sin embargo, los atacantes ya han tomado el control del entorno. Por lo general, es demasiado tarde para que la organización atacada pueda defenderse.
- Confusión
Por lo general, los atacantes quieren ocultar sus rastros, pero esto no es universalmente el caso – especialmente si los hackers quieren dejar una «tarjeta de visita» detrás para jactarse de sus hazañas. El objetivo de dejar estos rastros es confundir, desorientar y desviar el proceso de examen forense. La implantación de rastros abarca una variedad de técnicas y herramientas que incluyen limpiadores de registros, suplantación de identidad, desinformación, cuentas zombis, comandos de troyanos, etc.
¿Cómo defendernos de un ciberataque?
Casi todas las redes son vulnerables a un ciberataque. Según Mandiant (firma de ciberseguridad), el 97% de las organizaciones ya han sufrido ataques al menos una vez. Y las herramientas de seguridad perimetral, como los firewalls de nueva generación, ofrecen poca protección real contra los ataques avanzados y selectivos.
La clave para bloquear un ciberataque es controlar el acceso privilegiado. Cada paso más allá del número tres en el proceso descrito anteriormente requiere credenciales privilegiadas para tener éxito.
La compañía BeyondTrust ofrece la gestión de identidades privilegiadas, que puede descubrir automáticamente cuentas privilegiadas en toda la red, gestionarlas y auditar el acceso a ellas. Cada credencial privilegiada se actualiza continuamente. Así, incluso si un intruso compromete una credencial, no puede aprovecharse para saltar entre sistemas y extraer datos. Si se tiene la capacidad de controlar el acceso privilegiado, se puede mitigar un ciberataque.
De este modo, tener una solución de gestión de cuentas y accesos privilegiados es fundamental para garantizar una estrategia eficiente de seguridad y blindar las empresas contra pérdidas financieras, mala reputación y mantener la continuidad del negocio.