Como Es Estar Bajo Un Ataque Cibernetico?
Publicado de Carmelo Allende en CiberSeguridad · 16 Febrero 2019
Tags: antivirus, ciberseguridad, hacker, phishing, seguridad, tryano, virus
Tags: antivirus, ciberseguridad, hacker, phishing, seguridad, tryano, virus
¿Cómo es Estar Bajo Un Ataque Cibernético?
Usted Está Tranquilita Como Siempre En Su Oficina mientras malhechores acechan.
Por Carmelo Allende
Actualización 02Feb2022 : Escuche lo ocurrido en el Senado del Gobierno de Puerto Rico al detectar una filtración, seguida de infección, en sus sistemas informáticos. ¿Tiene usted y su empresa los recursos para sobrevivir algo como esto sin impactar sus operaciones?.
Click Aquí: Medio: WKAQ580 Entrevista Rubén Sánchez
16 Feb 2019
Recientemente se confirmó un ataque cibernético en un hospital de la isla. Lea acerca de los procesos antes, durante y después de un ataque cibernético.
Imagine una oficina. Tiene una puerta que se cierra y sólo la abren desde su interior mediante un botón luego de reconocer a quien dejarán entrar. Dado que controlan cada parte de ese proceso, se sienten seguros, se sienten confiados. No se dan cuenta de otra puerta que permanece abierta: La Internet.
Si esta puerta no ha sido configurada correctamente, puede actuar como una puerta de vidrio transparente que permite que alguien desde afuera pueda ver con nitidez todo lo que hay adentro mientras cada quien trabaja en lo suyo. Eso incluye el poder mirar el mecanismo de la cerradura como para poder ingeniar una forma de entrar sin que nadie se dé cuenta. Luego de ver varias oficinas y valorar si lo que hay adentro es de interés o no, deciden por una y deciden invertir los esfuerzos para irrumpir en ella.
Primera Etapa: Selección (‘Targeting’)
Es la que conlleva estudio social de la víctima. Se toma en consideración el valor de lo que se obtiene tras un ataque. No siempre es dinero. Puede ser reconocimiento en la comunidad de hackers, potencial de la víctima para pagar un chantaje y, en el caso del espionaje industrial, el daño en el costo operacional y tiempo de recuperación tras ese daño.
Si es una residencia es más fácil. Se estudian los hábitos digitales de sus integrantes, educación tecnológica, gustos y debilidades. Colores, fecha de nacimiento, nombre de mascotas y similares ayudan porque pudiera determinar si es un incauto que deja las cosas sin contraseña, le deja las contraseñas que vienen de fábrica a los equipos (‘default’) que usa o si usa el nombre de la mascota como contraseña. Mejor aún si deja el teléfono por ahí tirado sin protección. Muchas féminas usan la fecha de nacimiento del nene y los varones el del carro que quisieran tener, hay estadísticas que lo confirman y los hackers cuentan con ello.
¿Cómo construye sus contraseñas? - Lea Contraseñas Calculadas para que no use las mismas y nunca se le olviden.
En una empresa es más difícil porque intervienen varios en implantar la seguridad. Es ahí donde vemos que el hacker usa esquemas de ‘social targeting’ buscando empleados que desde adentro ‘abran una puerta’ que les permita acceso. Los utilizan.
El atacante merodea sus puertas (conexión al internet) y si alguna está abierta (sin antivirus, firewall ni contraseñas). Si hay alguna protección, se busca el factor humano, el eslabón débil de la seguridad, aquel usuario que navega sin encomendarse a nadie, abre cada email y actúa dando clicks sin fijarse en nada. Para ello se valdrán de su correo electrónico y el nombre de varios clientes y suplidores. Suplidores se obtienen fácil observando quienes llegan en uno o días de trabajo cotidiano porque cada camión de empresa tiene el logo, tanques de gas tienen el nombre del suplidor, el que llega a dar servicio a la copiadora tiene el nombre de la empresa en la camisa y así.
En técnicas como el ‘Phishing’ se imita el logo, texto, nombre de dominios, formularios y contenido de websites legítimos pero que cuando el usuario escribe datos en ellos en realidad le está entregando información a otros.
Basta con enviarle un email al eslabón débil con algo familiar como “Hola, como conversado, incluyo la factura no pagada y que vence mañana” para hacer que el mismo la abra e infecte la red. Hay defensas pero rara vez el patrono educa a sus empleados sobre las mismas.
¿Cuándo fue la última vez que tomó algún seminario al respecto?.
El atacante puede escoger plantar un ransomware, gusano, rootkit, malware, troyanos o un virus que, una vez dentro de la red de la empresa, transmita la información necesaria para que el atacante pueda abrir una puerta. También existen herramientas para evitarlo.
Usted aún no sabe nada acerca de lo que está por venir. Sólo pudiera ver algo raro si se entera que alguien se la pasa haciendo preguntas a sus empleados, ven a alguien conectando una laptop a los puertos de la red del edificio o ven a alguien intentando conectarse repetidas veces al WiFi desde el lobby o desde la calle frente a la entrada o si se tomaran el tiempo de revisar la bitácora que hace el router sobre esos intentos fallidos, pero nadie en la empresa se entera porque no hay nadie que se dedique a la seguridad informática en la oficina y si es una casa.. ¡MENOS!.
Debería proteger las áreas comunes de conexiones no autorizadas. Lea Seguridad De Su Red y WiFi en 5 Puntos. Aplica en su hogar también.
Segunda Etapa: Infiltración
Con tantos usuarios y empresas con redes descuidadas, hay otra forma de selección (‘targeting’) que no conlleva estudio ni contacto social.En la técnica llamada ‘scouting’, los hackers usan un algoritmo que revisa direcciones al azar preguntándole a cada router características que permitan saber su manufacturero, luego tratan de entrar usando las contraseñas que el manufacturero le programa de fábrica a ese equipo y, si logran entrar con esas, lo marcan [Gotcha!].
Eso también tiene una forma para defenderse, se supone que quien instaló ese router le haya cambiado la contraseña, consulte con su administrador de redes o con usted mismo si fue quien lo puso ahí.
Con eso abren la puerta pero todavía deben lidiar con las cerraduras (contraseñas) de las gavetas (dispositivos) que parecen tener algo de interés.
Hasta ahora sólo pueden ver cantidad de máquinas conectadas y su tipo (cámaras, computadoras, impresoras, móviles, discos en red) pero no su contenido.
Usted aún no se entera que hay extraños fisgoneando en su red. Siga leyendo.
Tercera Etapa: Penetración
Ya están adentro en modo silencioso. Comienzan a tantear buscando otras vulnerabilidades y lugares de almacenamiento de información valiosa. Es como caminar por los pasillos de la empresa pero no poder entrar a oficinas porque tienen sus puertas cerradas. Es por eso que usted, desde el interior de su oficina, no ha visto al extraño cibernético por el pasillo.
De la misma forma en la que etiquetamos las puertas de cada división en la oficna, en una red se le pone nombre a cada máquina y éste pudiera contener el departamento al que pertenece.
Identificar las máquinas en el departamento de contabilidad en donde se puedan guardar contraseñas valiosas de cuentas bancarias es de provecho y si el usuario las tiene guardadas en un documento en Word sin contraseña llamado “contrasenas.docx”, serán felicess con eso.
Identificarán los servidores y si hay acceso a sus bancos de datos, si los emails que intercambian en la red corporativa no están cifrados será una bendición (para ellos) porque tendrán los nombres que necesitan y los puestos de trabajo de cada uno. Los de Recursos Humanos siempre son bien preciados.
Todos sabemos que el acceso a los bancos de datos SQL están protegidos con credenciales así que primero prueban las credenciales por ‘default’. Es muy probable que no puedan penetrarla. Entónces, cambian la estrategia.
La data en el banco de datos está protegida pero.. ¿Protege usted sus ‘backups’?. Gotcha!. Buscarán el NAS en la red (‘Network Attached Storage’ , disco duro en la red que almacena información sin computadoras de por medio). Si el backup de la semana pasada no está protegido, no les hace falta la data del servidor. ¿Cuándo hizo backup por última vez?.
Cuarta Etapa: Extracción
Si la data es grande y la extraen de cantazo, pierden porque la red se pondrá lenta y obligará a los técnicos de la red a buscar causas. Así que, deben hacerlo de a poco. Puede durar semanas y nadie en la empresa sabe que los están desmantelando a plazos.
Da miedo pero como no lo saben, siguen todos felices trabajando como siempre. Los hackers comenzarán a extraer esa información en pedazos y ni usted ni sus empleados se enteran, sólo notan la red un poco lenta. El Router está loco por decirlo pero como nadie revisa el tráfico de data saliendo de su red, nadie se entera. ¿Sabe usted cómo se hace?.
Con eso pueden ver si lo que hay adentro (información, banco de datos, transacciones), es valioso y si vale la pena o no extraerlo o si usted puede pagar lo que le pedirán.
Usted podría saberlo aunque sea una empresa pequeña, pero no lo sabrá porque no contrató a un consultor de seguridad cibernética que por lo menos pudiera hacerle una auditoría de seguridad cada 3 meses. El vería la actividad sospechosa como tanteos fallidos y repetidos para entrar credenciales a diferentes dispositivos, comandos no autorizados a servidores y cosas que los sistemas quisieran reportar… si alguien les preguntara.
Quinta Etapa: Ataque
Siento decirle que está frito. Si el hacker es uno sofisticado ya plantó código sincronizado para que un día dado, a cierta hora, ocurra el ataque. Lleva meses planificándolo pero usted sigue ahí, tranquilita(o) como siempre porque no sabe nada. Que bueno, ¿O no?.
Los estilos, modalidades, frecuencia, intensidad y profundidad del ataque son muchos y pueden variar desde sólo borrar información hasta dejarle fuera por completo de su red y dispositivos porque cambiaron las contraseñas de cada usuario, cada base de datos y de cada control de acceso.
Si tuvieron éxito descifrando toda la data que extrajeron incluyendo lo bancario, pudieran optar con hacerle un ‘cargo de servicio’ vaciando alguna cuenta. Mis deseos son que dejen rastro para que los investigadores puedan dar con ellos y no quede impune. Suerte si aún no se protege.
Hay ataques más ‘inocentes’ que causan incomodidad temporera pero no daño físico como lo son los ataques de fuerza bruta a servidores, en los que sincronizan solicitudes de servicio de muchas máquinas y usuarios a un mismo servidor logrando que esté tan ocupado en eso que deja de hacer lo que debería estar haciendo en pro de la empresa. Se lo pudieran hacer a su intranet o a su página web. Otros optan por exponer información confidencial de sus transacciones en un website público. En ocasiones, lo mantienen todo silente, por seis meses o más antes de atacar o pueden encriptar su información dejando un mensaje de cortesía para que pueda comprar la clave que se la devuelve por una módica suma.
¿En qué modalidad prefiere ser víctima usted en su empresa o en su hogar?, Actúe. Edúquese.
Hace décadas atrás, el uso de computadoras y el montaje de una red era realizado por personal especializado que estaba educado sobre esto, hoy día, cualquiera monta una red porque los equipos se hacen fáciles de instalar, especialmente en una residencia y en pequeños negocios. ¿Leyó usted el manual de su router al instalarlo?, ¿Le cambió la contraseña que trajo de fábrica el WiFi?.
Lo anterior no se hace de la noche a la mañana, puede tomarles días, semanas o meses, entrando a su red cada día. Por eso le instamos a que se eduque, no sea el eslabón débil y si le sucede, que sea por descuido, no por ignorancia. Sé que no es consuelo ni es gracioso, pero usuarios educados aminoran por mucho las incidencias.
Todavía no hay reseñas.