Modus operandi de un ciberataque

Actualmente hablar de conceptos como fraude, extorsión, chantaje o engaño implica hablar de ciberdelincuencia. Estos conceptos son cada vez menos presenciales y más digitales. Los ciberdelincuentes se adaptan a la temporalidad de diversas situaciones; por ejemplo, en 2020 y 2021 sus esfuerzos se centraron en la pandemia mundial, atacando a farmacéuticas, laboratorios y proveedores relacionados con este problema, lo que les permitió ocultarse entre la marea de información para pasar desapercibidos.

Sus objetivos principales suelen ser aquellos que reporten el mayor beneficio en el menor tiempo posible, pues de esta forma reducen las posibilidades de ser descubiertos. En este sentido, el teletrabajo es el «caldo de cultivo» perfecto para que los ciberdelincuentes puedan atacar aquellos dispositivos BYOD (Bring your own device «trae tu propio dispositivo») que están conectados a empresas y cuyas barreras defensivas suelen ser a menudo descuidadas por sus usuarios, presentando vulnerabilidades que pueden ser explotadas por los ciberdelincuentes.

También es frecuente entre los usuarios el uso de redes wifi inseguras, la nube, los accesos remotos sin VPN, las aplicaciones de videoconferencia o colaborativas, el correo corporativo fuera del control de la organización, los dispositivos no actualizados, las redes sociales, las contraseñas no seguras y un sinfín más de situaciones. Todo ello aumenta la superficie de exposición ante los ciberdelincuentes, cuyo objetivo siempre será el mismo: obtener un beneficio y huir.

En general es posible que un ciberdelincuente pueda atacar de muchas formas, pero existe un modus operandi en común que sedarán descrito en 5 pasos más frecuentes:

Obtención de información

El primer paso que siguen los ciberdelincuentes cuando toman la decisión de atacar una empresa es obtener toda la información posible sobre la misma. Da igual de qué tipo sea, cualquier información posible puede serles interesante. Nombres de empleados, direcciones de correo, horarios, nombres familiares de empleados, cuentas en redes sociales de empleados y familiares, números de teléfono, historial laboral de los empleados, historial de la empresa, etc. Y, por supuesto, algunos datos técnicos (nuestra IP, nuestro dominio, los subdominios que tenemos reservados, los servidores que tenemos abiertos a internet…). Para realizar un ataque es necesario conocer toda la información posible de la compañía.

Un buen plan de ciberseguridad y una política de concienciación de empleados ayudarán a que el atacante no entre «a través del portátil del hijo del administrador de sistemas».

Escaneo de sistemas

Una vez que el ciberdelincuente conoce datos técnicos como los servidores conectados a Internet y sus direcciones IP (la dirección numérica de un sistema en línea), se pondrá a detectar los puertos abiertos (en nuestros servidores existen puertos que, al igual que las puertas, deben de estar cerradas, o con llave), las versiones de los gestores de contenidos web (CMS) de la empresa, los servidores de ficheros (FTP), etc. También detectará que sistemas operativos están ejecutándose en esos servidores y toda la información técnica que pueda. Para ello realizará escaneos contra IP concretas o rangos de IP. Para evitar este paso lo mejor es tener siempre actualizado nuestros sistemas y todo el software que hay instalado en ellos.

Acceso remoto

Con la información obtenida en las fases anteriores, el atacante busca vulnerabilidades del software y el sistema operativo que ha encontrado que tienen nuestros servidores y encuentra o escribe un programa para acceder (también conocido como exploit). Un exploit es un pequeño programa que aprovecha los fallos de los sistemas para las vulnerabilidades existentes en ese software. También puede decidir mandar un correo electrónico con malware a las personas que cree más vulnerables. El ciberdelincuente intentará atacar de la forma más silenciosa posible, intentando siempre pasar desapercibido.

La mejor solución para evitar el acceso remoto, ya la hemos dado: establecer una política de actualización de todas las aplicaciones y sistemas para que se realice de forma continua. Siempre acompañada de una política de concienciación de empleados.

Mantener el acceso

Una vez ha accedido a la «máquina objetivo» el atacante querrá mantener el acceso a la misma. Para ello, abrirá puertas traseras para volver de nuevo e intentará comprometer otras máquinas que estén en la misma red. De esta manera, si actualizamos el software de nuestro servidor o detectamos su presencia, el atacante aún podrá acceder a nuestros sistemas a través de otras vías que ha dejado preparadas para estas situaciones.

Una de las vías para evitar que un atacante «abra» puertas traseras es la instalación de software que evita este tipo de acciones si no se es administrador. Así, un buen antivirus, siempre actualizado y evitar que los empleados trabajen en sus equipos con permisos de administración nos permitirá evitar que el ataque sea persistente en el tiempo.

Borrado de huellas

Todo lo que hacemos en un ordenador queda registrado en mayor o menor medida en unos archivos que se conocen como registros de actividad. El problema es que si se tienen los permisos adecuados, estos registros de actividad pueden ser eliminados. Esa será la siguiente tarea del atacante que ha comprometido un sistema. Si no quiere ser descubierto, borrará toda traza de sus movimientos en los equipos comprometidos.

Para evitar que pueda conseguirlo, lo mejor es que los empleados utilicen sus equipos sin permisos de administración. De esta manera, si se consigue comprometer el equipo de un empleado, tendrá los mismos permisos que éste. Así no podrá eliminar los registros de actividad.

Además es interesante centralizar los registros de actividad en un servidor central. De manera que, o el atacante consigue llegar este servidor, o se podrá conocer todos los pasos que siguió desde que comprometió el primer equipo de la empresa.