sea-logo

Seguridad en América | Post

de Carlos Alberto Gordillo Zelada fecha 08 sept 2023

EL ESTADO DEL ENTORNO DE AMENAZAS EN EL INTERNET (PARTE II)

Los usuarios de Internet están expuestos a un entorno de amenazas con una diversidad de tipos de ataque y modalidades de los atacantes de acuerdo con su motivación

TIPOS DE AMENAZAS EXISTENTES

Las amenazas por parte de las fuentes adversarias puede dar como resultado fraudes y robos; una amenaza interna puede provocar destrucción de hardware o instalaciones, implantar código malicioso, destruir datos o programas, borrar información, bloquear el sistema e incluso cambiar contraseñas y usuarios para mantener el acceso al sistema; mientras que los hackers maliciosos pueden realizar ataques en las redes, operar bots para controlarla, llevar a cabo actos criminales para apropiarse de dinero, así como servicios de inteligencia extranjera, phishing, actos terroristas, envío de spam o distribuir código malicioso o software espía.

ATAQUES (EXTERNOS)

Los ataques a las redes o hacia servidores objetivo pueden venir de atacantes utilizando la conexión a Internet, en ocasiones pueden venir de empleados o ex empleados, utilizando credenciales robadas o utilizando atributos que les fueron concedidos por sus responsabilidades en la organización. Estos atentados pueden realizarse con el propósito de fraude, obtener algún beneficio monetario o de apropiarse de propiedad intelectual de la organización.

En el X.800 y RFC 49491 se define la clasificación de los atentados a la seguridad, como activos y pasivos, en donde los ataques pasivos son de la naturaleza del monitoreo de la transmisión de datos, con el objetivo de obtener información que esté siendo transmitida, en donde pudieran estar nombres de usuario, contraseñas o cualquier otra información, con el simple hecho de revisar el contenido de los mensajes. El otro tipo de ataque pasivo es el análisis de tráfico, normalmente datos encriptados; y el objetivo es analizar la información que está siendo transmitida, con esto se pueden identificar patrones de comunicación, frecuencia y la longitud de los mensajes que están siendo intercambiados, esto para poder identificar la naturaleza de la información que está siendo transmitida. Estos últimos, son ataques bastante difíciles de detectar pues no existe ninguna alteración en los datos.

Los ataques activos involucran la modificación de los datos del mensaje capturado o la creación de mensajes falsos, y está subdividido en cuatro categorías:

Mascarada: esto se presenta cuando un atacante se hace pasar por un usuario real en la comunicación entre dos interlocutores. Usualmente este tipo de atentado incluye una de las otras categorías de ataques activos.

Repetición: este tipo de situación involucra la captura pasiva de cierta información o datos y posteriormente retransmitirlo para producir un efecto no autorizado.

Modificación del mensaje: este ataque se hace a través de tomar una parte del mensaje legítimo y alterarlo, modificarlo para retrasarlo o reordenarlo, para producir un efecto no autorizado.

Denegación de servicio: este ataque bloquea o inhibe el uso normal de un servicio de comunicaciones; este ataque debe tener un objetivo específico, con la intención de no permitir que se alcance el destino requerido, incluso logrando una interrupción de la red completa que quiere comunicarse al equipo afectado.

Los ataques activos presentan características opuestas a los ataques pasivos, ya que, aunque se pueden detectar, éstos son bastante difíciles de controlar, pues existe una variedad muy grande de software, potencial físico y vulnerabilidades de red. Siendo el propósito principal de la detección, la recuperación de una interrupción o de reducir los retrasos que éstos puedan provocar, tratando de que el efecto sea el menos dañino posible.

MALWARE (PROGRAMAS MALICIOSOS)

Término utilizado para describir el software “malvado” o al software maligno, dentro del cual el más conocido es el virus de computadora, pero también existen otras variantes como Trojan Horses, el spam y otros tipos como los RATs (Remote Access Trojans).

Virus: son programas donde ellos mismos se adjuntan a programas legítimos en la computadora de la víctima; para después infectar otros programas que son transferidos a otras computadoras y donde son ejecutados. Normalmente contaminan medios portátiles de almacenamiento y se transfieren a computadoras, cuando estos dispositivos son conectados.

Worms: este tipo de programa actúa como virus y puede propagarse de muchas formas; saltando directamente de una computadora a otra, sin la intervención de un usuario en la computadora receptora. Este tipo de amenazas toman ventajas de vulnerabilidades o debilidades en el software, siendo propagados directamente al instalarse él mismo, en otra computadora; son altamente agresivos en su modo de esparcimiento.

Payloads: cuando los virus y los worms son propagados, normalmente ellos ejecutan payloads, que son segmentos de código que ejecutan daño en el sistema infectado, pudiendo borrar archivos del disco duro, o instalando otro tipo de malware.

Trojan horses: este tipo de programas se categoriza como un mal-ware no-móvil, estos programas normalmente aparentan ser una cosa, tal como un juego o incluso una versión pirata de un programa comercial, pero que en realidad son malware, escondiéndose él mismo, borrando un archivo del sistema y toman el nombre del archivo borrado.

Rootkits: estos programas son trojan horses reemplazando programas legítimos, capaces de ejecutar diferentes comandos al tomar el control de la cuenta primaria o administrador (root, administrator, etc.) utilizando esos privilegios para ocultarse y ejecutando un grupo de instrucciones para causar daño al sistema.

BOTS O BOTNETS

Un bot también conocido como zombie, es un dispositivo conectado a Internet (computadora o dispositivo móvil), que infecta con malware sin que el usuario esté conciente y es controlado remotamente por un atacante para realizar una actividad maliciosa. Un botnet, es un grupo de estos dispositivos que son coordinados por el atacante, en donde este tipo de redes típicamente expanden escaneando el ambiente conectado en línea y encontrando las vulnerabilidades en los dispositivos conectados pudiendo proveer poder computacional para aumentar la capacidad del atacante.

Los botnets son utilizados para varios propósitos dentro de los cuales están los ataques de denegación de servicio distribuidos (DDoS), propagación de malware, envío de spam, robar datos o manipular información, realizar campanas de fraude o realizar campanas masivas de publicaciones en redes sociales con el interés de manipular la opinión pública.

Fig 1. Forma en que opera una Denegación de Servicio Distribuida (DDos)3

MAN-IN-THE-MIDDLE

Esta es una técnica en la cual el atacante intercepta la comunicación entre dos dispositivos en la red, en donde uno podría ser la victima y le otro un servidor web, sin que la victima se de cuenta, dando la apariencia de que la víctima se esta comunicando con directamente y de forma segura con el servidor web. Durante éste, el atacante, monitorea la comunicación, cambia el enrutamiento del tráfico, altera la información, entrega el malware a la computadora de la víctima pudiendo accesar información personal de la víctima o cualquier otro tipo de información sensible que este dentro de la computadora afectada. Este tipo de ataque puede utilizar otras herramientas como phishing, eavesdropping u otras técnicas para poderlo lograr.

Fig.2. Forma en que opera un ataque Man-In-The-Middle4

PHISHING, SPOOFING, SPEAR-PHISHING Y WHALING

Este tipo de técnicas o métodos son utilizados por los atacantes y pueden hacerse pasar por organizaciones con credibilidad, con la intención de atraer a un gran número de receptores y lograr que les sean provistos, usuario y contraseñas, información bancaria u otro tipo de información personal. Este tipo de ataques son clasificados dentro de las técnicas de la ingeniería social actuando inicialmente con el envío de un correo electrónico utilizando el nombre de un origen confiable, mientras que el usuario se convierte en víctima cuando abre adjuntos maliciosos o da clic en enlaces que lo redirigen a sitios web.

El spoofing generalmente actúa enmascarando el sitio web, la dirección de correo de origen o el número telefónico con el de un sitio confiable, logrando que la víctima reciba el mensaje y engañándola para que le proporcione información personal, bancaria u otro tipo de información sensible dándole clic a algún enlace o adjunto malicioso infectando la computadora con algún malware.

El spear-phishing ocurre cuando el atacante envía un mensaje personalizado hacia su víctima, que en su mayoría, han utilizado alguna otra técnica de ingeniería social para mencionar detalles y son creíbles para la víctima como que un origen confiable. Whaling es un tipo de spear-phishing dirigido a ejecutivos senior o a otro tipo de receptores con alto perfil con privilegio de acceso y autorizaciones que pudieran utilizar para accesar a los sistemas de información al robar usuarios y contraseñas.

RANSOMWARE

El ransomware generalmente instala un software malicioso usando un trojan horse desplegado por phishing o visitando algún sitio web. Este tipo de ataque restringe el acceso a una computadora o algún dispositivo mediante la encriptación de la información contenida y cuyo atacante demanda un pago para liberar el secuestro del dispositivo, usualmente el pago debe ser realizado con una criptomoneda y de esta manera liberar el dispositivo. En algunas ocasiones este ataque también puede interrumpir el servicio de cierto servidor, amenazar con distribuir información confidencial o personal a menos que el rescate sea pagado.

CONCLUSIÓN

La seguridad informática tiene como objetivo principal proteger la confidencialidad, la integridad y la disponibilidad de los sistemas de información, dicha protección de la información y de los sistemas incluye el acceso no autorizado, el uso, la interrupción, la modificación, la destrucción y la divulgación de los datos e información. Las organizaciones que actualmente utilizan como medio de comunicación el Internet, deben realizar esfuerzo para proteger ante un entorno de amenazas al estar conectado por este medio, y que en muchos casos pone en riesgo la reputación de la organización al ser víctima de un ataque, comprometiendo la información.

Es por ello, que para tener un ambiente protegido es necesario iniciar con la implementación de su política de seguridad, lo que dará un marco apropiado para que los procedimientos y estándares sean correctamente aplicados e incluso se mantenga una cultura de seguridad en la organización, la cual será de aplicación general para los empleados, proveedores y clientes.

Dentro del ambiente de seguridad integral se puede tener un entorno de amenazas controlado, esto incluye el conocimiento de las amenazas y los riesgos, su impacto en la organización, así como el establecimiento de procedimientos y planes de acción a seguir en el caso del descubrimiento de brechas de seguridad, identificación de vulnerabilidades, seguimiento de incidentes y documentación de los mismos, así como la publicación lecciones aprendidas en donde la administración de la seguridad es parte de la cultura organizacional, siendo los más importante, conocer el entorno de amenazas al que están expuestas las organizaciones, puesto que el conocer a nuestro enemigo, nos dará la posibilidad de estar preparados.

RECOMENDACIÓN

Dada la importancia del conocimiento del entorno de amenazas para mantener un sistema de seguridad integral, así también se hace necesaria la adopción e implementación de una política de seguridad de la información en la que se definen las directivas, las regulaciones, las reglas y las prácticas que se prescribirán por la administración de la organización con el objetivo de gestionar, proteger y distribuir información. Dentro de esta política se deben definir también los estándares, los procedimientos y las pautas para la organización a manera de contar con todas las herramientas necesarias. Dentro de los componentes básicos de la política deben estar: el propósito, el alcance, los roles y responsabilidades, y la definición del criterio de cumplimiento.

Es también importante el establecimiento de un proceso continuo de evaluaciones de riesgos en las que se pueden tener mediciones periódicas de los riesgos a los que está expuesta la organización en el entorno de amenazas en el Internet, de forma que se tenga un ciclo de evaluación, monitoreo y respuesta, para mantener un ambiente de control.

Referencias:

1 X.800 forma parte de la Unión Internacional de Telecomunicaciones, aprobada el 22 de marzo de 1991 en Ginebra y el RFC 449 describe el Internet Security Glossary, Versión 2.

2 Fuente: Corporate Computer Security – 3rd Edition - Randall J. Boyle - Raymond R. Panko.

3 y 4 Fuente: An Introduction to the Cyber Threat Environment - Canadian Centre for Cyber Security.

- Corporate Computer Security – 3rd Edition - Randall J. Boyle - Raymond R. Panko.

- An Introduction to the Cyber Threat Environment - Canadian Centre for Cyber Security.

- An Introduction to Information Security - NIST Special Publication 800-12 Revision 1 • Network Security Essentials – 6th Edition – William Stallings.

Notas Fijadas

    Noticias relevantes

      Categorías