Los ciberdelincuentes buscan continuamente nuevas formas de hacer llegar su “carga maliciosa” o de ganar acceso a nuestros equipos aprovechando errores humanos, fallos en la configuración o defectos de los sistemas. A estas formas de llegar a nuestros sistemas se las conoce, en argot, como vectores de ataque. Vamos a ver cuáles son los más frecuentes y qué podemos hacer para impedir a los ciberdelincuentes que los utilicen en su beneficio y, casi siempre, para nuestro perjuicio.
¿Cómo operan los ciberdelincuentes?
Como cabría de esperar, los sistemas y redes (el hardware y el software) no son perfectos. Pueden tener fallos de seguridad o vulnerabilidades que se conocen bien en los círculos que frecuentan los ciberdelincuentes, en foros en la dark web, por ejemplo. También ahí pueden adquirir desarrollos específicos para explotarlas y lanzar sus ataques.
Además, están constantemente y de forma automatizada explorando las redes en busca de sistemas vulnerables (con fallos no parcheados) o mal configurados y de usuarios no concienciados que puedan servirles de punto de entrada. Esto, lo que puede ser atacado, en el argot se conoce como superficie de ataque, formado por los puntos del perímetro del dispositivo, componente de la red, servicio, sistema o entorno que pueden ser utilizados para entrar, causar algún daño o extraer datos. Y esto incluye a los usuarios con sus valiosas credenciales de acceso.
Como en toda economía de escala, cuanto mayor sea el alcance y las posibilidades de éxito del ataque, mayores podrán ser sus beneficios, por lo que intentarán explotar vulnerabilidades muy extendidas. Incluso intentarán entrar físicamente en nuestras instalaciones o aprovecharse de empleados internos, bien sobornándoles o simplemente engañándoles para obtener sus credenciales de acceso, la llave que abre las “puertas”.
¿Cuáles son los vectores de ataque más frecuentes?
Teniendo en cuenta que los vectores de ataque están sujetos a cambios con los avances tecnológicos y que los ciberdelincuentes podrían utilizar varios en cada ataque, en la actualidad estos son los más frecuentes:
· Correo electrónico y mensajería instantánea, por ejemplo los correos y SMS de phishing que suplantan a organizaciones conocidas por el receptor, como bancos, empresas de paquetería, nuestros proveedores y clientes, o nuestro soporte técnico, para engañar con diversos señuelos, a seguir enlaces a páginas web falsas donde pedirán introducir sus credenciales o descargar adjuntos maliciosos que instalan malware. Es muy frecuente que se trate de ransomware, es decir, el malware que bloquea los datos a cambio de un rescate. En otros casos, el malware convierte a nuestros dispositivos en zombis a su servicio para lanzar ataques a terceros o para otros fines poco éticos.
· Navegación web, bien por falta de actualización de los navegadores o por instalación de plugins maliciosos, bien por visitar páginas fraudulentas. Ante navegadores no actualizados, los ciberdelincuentes podrían explotar vulnerabilidades con técnicas como: Drive-by download, que permite la descarga de malware sólo con visitar una página maliciosa o ver un correo html; browser in the browser, que simula una ventana emergente de autenticación, donde nos pedirán las credenciales. También puede que el usuario llegue en sus búsquedas, o por otros medios, a seguir enlaces que descargan malware o llevar a páginas de phishing. Los ciberdelincuentes suplantan webs legítimas copiándolas y poniéndoles direcciones web similares con homógrafos o enlaces que se parecen a las reales cambiando algún carácter que a la vista no es fácil distinguir.
· Endpoints y otros dispositivos en los que no se han configurado las opciones de seguridad lo que los deja vulnerables. Las configuraciones de los fabricantes por defecto son, en muchos casos, poco seguras. Por ejemplo, si usan contraseñas débiles o si permiten que se conecten USB o discos extraíbles, estos podrían llevar malware. Otras veces son configuraciones incompletas o insuficientes de las redes a las que pertenecen esos dispositivos y permiten el acceso a ellos y su manipulación. Un caso particular son los dispositivos IoT.
· Aplicaciones web, portales corporativos, intranets y redes sociales con configuraciones defectuosas o si están desactualizados pueden suponer una vía de entrada o bien una forma de dar información al ciberdelincuente para posteriores ataques. Por ejemplo, si contienen o se muestra demasiada información sobre la estructura de la empresa, direcciones de correo o detalles de sus empleados podría ser utilizado en ataques de spear phishing, el phishing dirigido a una persona específica de la que antes han recopilado información para hacerlo más creíble.
Si la empresa posee una página o aplicación web, ha de tener en cuenta la ciberseguridad en su diseño y en su mantenimiento para evitar ataques como los de inyección SQL entre otros. Como veremos más adelante, se han de proteger las credenciales de acceso y los mecanismos de autenticación, tanto para usuarios como para administradores.
Un caso particular a tener en cuenta es el de las aplicaciones de videollamada y otras herramientas colaborativas, que han de actualizarse y regular su uso para evitar ataques.
El auge de las aplicaciones en la nube también hace que estén siendo utilizadas como vectores de ataque. Al contratarlas hay que analizar quién es responsable de mantener actualizados los sistemas, si el proveedor o nosotros. También debemos revisar qué aplicaciones de este tipo se permiten en la empresa y regular su uso. Por ejemplo, si se utilizan como servicios de backup, obligar a utilizar un buen cifrado. Mira estas historias reales de fraudes utilizando Google Drive y Sharepoint.
· Software de redes y sistemas mal configurado, desactualizado o no parchado, es decir, no se han seguido procedimientos adecuados en su configuración y no se han aplicado las actualizaciones o no existen por estar ya el software fuera de su vida útil. Un ejemplo de uso de esta vía de entrada por los ciberdelincuentes son los ataques contra el router, como DNS hijacking o los ataques de DoS o Denegación de servicio, como le pasó a esta empresa en esta historia real.
· Credenciales de usuario comprometidas bien porque están en fugas de datos y se reutilizan en otros sistemas, bien porque han sido obtenidas por fuerza bruta o por ataques de ingeniería social. En otros casos son obtenidas mediante software o hardware que registra las pulsaciones o keyloggers o software que espía redes wifi abiertas o con configuraciones de cifrado obsoletas.
· Contraseñas y credenciales predecibles o por defecto bien porque no se han cambiado, las típicas ´admin/admin´ o las que pone el fabricante y se pueden encontrar en la web; o si se han cambiado se ha hecho por otras de uso común o fácilmente predecibles por el entorno de usuario; bien porque están incluidas en la electrónica de los dispositivos.
· Insiders o personas con acceso que pueden exfiltrar información. Pueden ser empleados insatisfechos por despecho, exempleados que conservan por fallos de procedimiento credenciales de acceso o bien los que pudieran haberse dejado sobornar por ciberdelincuentes.
· Carencias del cifrado bien por su debilidad, al usar claves simples y deducibles o protocolos obsoletos, o por no aplicarse correctamente las políticas al respecto, por ejemplo en dispositivos móviles o portátiles o por olvido de cifrar documentos en la nube. Este vector puede llevar a fugas de información.
· Debilidades de la cadena de suministro, como proveedores tecnológicos o empresas colaboradoras. Si sus sistemas sufren un incidente, nuestros datos pueden verse comprometidos. Por ello hemos de revisar las cláusulas de seguridad de los Acuerdos de Nivel de Servicio. Un caso particular son los proveedores de servicios en la nube.
¿Qué podemos hacer para controlar esas vías de ataque?
Lo que tienen en común todas las vías de ataque es que explotan vulnerabilidades tanto humanas y organizativas, como técnicas y de configuración.
Ante la facilidad humana para cometer errores o fallos y las carencias organizativas podemos:
· Formarnos y sensibilizarnos. Accede al apartado de Formación.
· Aplicar políticas de uso, con restricciones y usos permitidos, y si fuera necesario con sanciones. Echa un vistazo a las Políticas de seguridad para la pyme.
· Establecer acuerdos y compromisos desde el comienzo como te contamos en el apartado contratación de servicios.
· Identificar a los responsables de la seguridad de cada servicio que utilice las TIC. Asegurar su formación y competencia.
Ante los fallos técnicos y de configuración podemos:
· Conocer todos nuestros activos, en nuestras instalaciones y en las de nuestros proveedores TI. Elaborar un inventario que incluya sus posibles vulnerabilidades. Si es necesario contrataremos una auditoría.
· Revisar las amenazas que pueden afectar a nuestros activos, valorar el daño que podrían causar y cuál es nuestra preparación ante ellas con un análisis de riesgos.
· Establecer una política de actualizaciones para mantener los activos actualizados y bien configurados. Valorar si es posible cambiarlos si no se pueden actualizar o bien dejarlos de utilizar.
· Proteger las comunicaciones y las redes wifi.
· Monitorizar continuamente los accesos a redes y servicios. Utilizar herramientas para detectar intrusiones.
· Gestionar los permisos de acceso, exigir doble factor de autenticación en los servicios críticos. Aplicar procedimientos de cambio de contraseña con frecuencia suficiente.
En OCD TECH contamos con el equipo y las herramientas para proteger tu negocio y a tus empleados.