En esta segunda entrega continuamos profundizando en el mundo de los ciberataques, explorando sus ataques más insidiosos, desglosando conceptos cruciales y desvelando las técnicas que dan forma al paisaje de la ciberseguridad.
¿Te gustaría enterarte de cuando lanzamos descuentos al Máximo o Nuevos Cursos?
Métodos de infiltración
Ingeniería social:
Es la manipulación a las personas para que realicen acciones o divulguen información confidencial. Los ingenieros sociales con frecuencia dependen de la disposición de las personas para ayudar, pero también se aprovechan de sus vulnerabilidades. Por ejemplo, un atacante llamará a un empleado autorizado con un problema urgente que requiere acceso inmediato a la red y apelará a la vanidad o la codicia del empleado o invocará la autoridad mediante el uso de técnicas de eliminación de nombres para obtener este acceso.
¿Cómo funciona la ingeniería social?
Tipos de Ingeniería Social
Ataques en 2 niveles
¿Cómo protegernos?
- Concientizar a las personas y educar sobre seguridad
- Fomentar la adopción de medidas preventivas;
- Nunca divulgar información sensible con desconocidos o en lugares públicos;
- Implementar políticas de seguridad en la organización
- Efectuar controles de seguridad fisica para reducir el peligro inherente a las personas;
- Realizar auditorías y hacer ingeniería social para detectar huecos de seguridad de esta naturaleza.
Envenenamiento SEO
Probablemente hayas oído hablar de la optimización de motores de búsqueda o SEO que, en términos simples, se trata de mejorar el sitio web de una organización para que gane una mayor visibilidad en los resultados de los motores de búsqueda. Los motores de búsqueda como Google funcionan presentando una lista de páginas web a los usuarios en función de su consulta de búsqueda. Estas páginas web se clasifican de acuerdo con la relevancia de su contenido.
Aunque muchas empresas legítimas se especializan en la optimización de sitios web para mejorar su posición, los atacantes utilizan el SEO para hacer que un sitio web malicioso aparezca más arriba en los resultados de la búsqueda. Esta técnica se denomina envenenamiento SEO. El objetivo más común del envenenamiento de SEO es aumentar el tráfico a sitios maliciosos que pueden albergar malware o intentar ingeniería social.
Aprovechamiento de las vulnerabilidades de seguridad
Las vulnerabilidades de seguridad son cualquier tipo de defecto en software o hardware. Un programa escrito para aprovechar una vulnerabilidad de seguridad conocida se denomina exploit. Un ciberdelincuente puede utilizar un exploit contra una vulnerabilidad para llevar a cabo un ataque, cuyo objetivo es obtener acceso a un sistema, a los datos que aloja o a un recurso específico.
Vulnerabilidades de hardware:
Las vulnerabilidades de hardware se presentan a menudo mediante defectos de diseño del hardware. Por ejemplo, el tipo de memoria denominada RAM consiste básicamente en muchos condensadores (un componente que puede contener una carga eléctrica) instalados muy cerca unos de otros. Sin embargo, pronto se descubrió que, debido a su proximidad, los cambios aplicados a uno de estos condensadores podrían influir en los condensadores vecinos. Por esta falla de diseño, se generó un exploit llamada Rowhammer. Al acceder repetidamente (martillar) a una fila de memoria, el exploit Rowhammer desencadena interferencias eléctricas que eventualmente corrompen los datos almacenados dentro de la RAM.
Meltdown y Spectre:
Dos vulnerabilidades de hardware que afectan a casi todas las unidades de procesamiento central (CPU) lanzadas desde 1995 en computadoras de escritorio, computadoras portátiles, servidores, teléfonos inteligentes, dispositivos inteligentes y servicios en la nube. Los atacantes que explotan estas vulnerabilidades pueden leer toda la memoria de un sistema determinado (Meltdown), así como los datos manejados por otras aplicaciones (Spectre). Las explotaciones de vulnerabilidad Meltdown y Spectre se denominan ataques de canal lateral (la información se obtiene de la implementación de un sistema informático).
Tienen la capacidad de comprometer grandes cantidades de datos de memoria porque los ataques se pueden ejecutar varias veces en un sistema con muy pocas posibilidades de que se produzca un bloqueo u otro error. Las vulnerabilidades de hardware son específicas de los modelos de dispositivos y generalmente no se ven atacadas por intentos comprometedores aleatorios. Si bien las vulnerabilidades de hardware son más comunes en ataques altamente dirigidos, la protección tradicional contra malware y una buena seguridad física son una protección suficiente para el usuario cotidiano.
Vulnerabilidades de software:
Suelen ser provocadas por errores en el sistema operativo o en el código de la aplicación.
SynFul Knock descubierta en el sistema operativo de interconexión de redes (IOS) de Cisco en 2015:
La vulnerabilidad SynFUL Knock permitió a los atacantes obtener el control de los enrutadores de nivel empresarial, como los enrutadores ISR de Cisco, desde los cuales podían monitorear todas las comunicaciones de red e infectar otros dispositivos de red. Esta vulnerabilidad se introdujo en el sistema cuando una versión alterada de IOS se instaló en los routers. Para evitar esto, verifique siempre la integridad de la imagen de IOS descargada y limite el acceso físico al equipo solo al personal autorizado.
Fuzzing
Un ataque fuzzing es un proceso automatizado utilizado para encontrar vulnerabilidades de aplicaciones. Consiste en insertar cantidades masivas de datos aleatorios, o fuzz, en el código fuente y observar los resultados. Es comúnmente utilizado por los equipos de ciberseguridad por sus habilidades de bajo costo y ahorro de tiempo que requieren poco o ningún conocimiento o evaluación del sistema objetivo de antemano. Por las mismas razones, los hackers también aprovechan el fuzzing para encontrar vulnerabilidades de aplicaciones explotables. Un ataque de fuzzing exitoso saca a la luz áreas propensas a la intrusión cibernética maliciosa, la inserción de código y la recuperación de datos, poniendo a las aplicaciones en peligro de un ataque grave a las aplicaciones.
Categorización de vulnerabilidades de software
Desbordamiento de búfer: Los búferes son áreas de memoria asignadas a una aplicación. Se produce una vulnerabilidad cuando los datos se escriben más allá de los límites de un búfer. Al cambiar los datos más allá de los límites de un búfer, la aplicación puede acceder a la memoria asignada a otros procesos. Esto puede provocar un bloqueo del sistema o comprometer los datos, o proporcionar una escalada de privilegios.
Entrada no validada:
Los programas a menudo requieren la entrada de datos, pero estos pueden tener contenido malicioso, diseñado para obligar al programa a comportarse de forma no deseada. Por ejemplo, considere un programa que recibe una imagen para procesarla. Un usuario malintencionado podría crear un archivo de imagen con dimensiones de imagen no válidas. Las dimensiones creadas maliciosamente podrían forzar al programa a asignar búferes de tamaños incorrectos e imprevistos:
Condiciones de carrera:
Esta vulnerabilidad describe una situación en la que la salida de un evento depende de salidas ordenadas o programadas. Una condición de carrera se convierte en una fuente de vulnerabilidad cuando los eventos ordenados o cronometrados requeridos no ocurren en el orden correcto o en el momento adecuado.
Debilidad en las Prácticas de Seguridad:
Los sistemas y los datos confidenciales se pueden proteger mediante técnicas como la autenticación, la autorización y el cifrado. Los desarrolladores deben ceñirse al uso de técnicas de seguridad y bibliotecas que ya hayan sido creadas, probadas y verificadas y no deben intentar crear sus propios algoritmos de seguridad. Es probable que solo introduzcan nuevas vulnerabilidades.
Problemas de control de acceso:
El control de acceso es el proceso de controlar quién hace qué y va desde administrar el acceso físico al equipo hasta dictar quién tiene acceso a un recurso, como un archivo, y qué pueden hacer con él, como leer o cambiar el archivo. Muchas vulnerabilidades de seguridad se generan por el uso incorrecto de los controles de acceso. Casi todos los controles de acceso y las prácticas de seguridad pueden superarse si un atacante tiene acceso físico al equipo objetivo.
Por ejemplo, independientemente de la configuración de permisos de un archivo, un hacker puede omitir el sistema operativo y leer los datos directamente del disco. Por lo tanto, para proteger la máquina y los datos que contiene, se debe restringir el acceso físico y se deben utilizar técnicas de cifrado para proteger los datos contra robos o corrupción.
Actualizaciones de software:
El objetivo de las actualizaciones de software es mantenerse actualizado y evitar el aprovechamiento de vulnerabilidades. Microsoft, Apple y otros productores de sistemas operativos lanzan parches y actualizaciones casi todos los días y las empresas u organizaciones responsables de las aplicaciones, como los navegadores web, las aplicaciones móviles y los servidores web, suelen actualizarlas.
A pesar de que las organizaciones se esfuerzan mucho en encontrar y reparar vulnerabilidades de software, se descubren nuevas vulnerabilidades con regularidad. Es por eso que algunas organizaciones utilizan investigadores de seguridad de terceros que se especializan en encontrar vulnerabilidades en el software, o realmente invierten en sus propios equipos de pruebas de penetración dedicados a buscar, encontrar y parchear las vulnerabilidades del software antes de que puedan ser explotadas.
Project Zero de Google
es un gran ejemplo de esta práctica. Después de descubrir una serie de vulnerabilidades en varios software utilizados por los usuarios finales, Google formó un equipo permanente dedicado a encontrar vulnerabilidades de software. Puede obtener más información sobre la investigación de seguridad de Google aquí.
ATP – Amenazas persistentes avanzadas
Los atacantes también logran infiltrarse a través de amenazas persistentes avanzadas (APT): una operación avanzada, sigilosa, de múltiples fases y a largo plazo contra un objetivo específico. Por estas razones, un atacante individual a menudo carece de las habilidades, los recursos o la persistencia para realizar APTs. Debido a la complejidad y al nivel de habilidad requerido para llevar a cabo un ataque de este tipo, una APT generalmente está bien financiada y generalmente apunta a organizaciones o naciones por razones comerciales o políticas. Su objetivo principal es implementar malware personalizado en uno o más de los sistemas del objetivo y permanecer allí sin ser detectado.
Stuxnet:
ejemplo de malware diseñado para espiar y subvertir los sistemas de procesos industriales. Desarrollado en el 2005, Stuxnet no afecta a las computadores que no participan en el enriquecimiento de uranio; su objetivo es alterar la programación de los controladores lógicos programables (PLC) que controlan la maquinaria industrial para no funcionen de manera adecuada, según varios investigadores fue creado por agencias de inteligencia de Estados Unidos e Israel para atacar las instalaciones nucleares de Irán. https://attack.mitre.org/groups/
- Los bots infectados intentan comunicarse con un host de comando y control Internet
- El filtro de botnet de Firewall de Cisco es una función que detecta el tráfico procedente de dispositivos infectados con el código de botnet malicioso.
- El servicio Cisco Security Intelligence Operations (SIO) basado en la nube envía filtros actualizados al firewall que coinciden con el tráfico de las nuevas botnets conocidas.
- Las alertas se envían al equipo de seguridad interno de Cisco para notificarles sobre los dispositivos infectados que generan tráfico malicioso para que puedan prevenirlos, mitigarlos y remediarlos.
ATP para ver anime
Durante 8 años, un hacker operó una botnet IoT masiva solo para descargar videos de Anime. La red de bots consistía únicamente en dispositivos D-Link NAS y NVR y la red de bots alcanzó un máximo de 10 000 bots en 2015. Durante casi ocho años, un hacker ha secuestrado silenciosamente NVR (grabadoras de video en red) y dispositivos NAS (almacenamiento conectado a la red).
A pesar de su tamaño, la red de bots operaba sin ser detectada por la mayoría de las empresas de ciberseguridad. Actualmente, Cereals está desapareciendo lentamente, ya que los dispositivos D-Link vulnerables de los que se alimentó durante todos estos años han comenzado a envejecer y sus propietarios los están retirando.
Pero a pesar de explotar solo una vulnerabilidad, la botnet estaba bastante avanzada. Cereals mantuvo hasta cuatro mecanismos de puerta trasera para acceder a los dispositivos infectados, intentó parchear los sistemas para evitar que otros atacantes los secuestraran y administró bots infectados en doce subredes más pequeñas.
¿Un proyecto de afición? Lo más probable es que la red de bots fuera un proyecto de pasatiempo. En primer lugar, la red de bots explotó una sola vulnerabilidad durante los ocho años de vida de la red de bots, sin siquiera molestarse en expandir su operación a otros sistemas más allá de los NAS y NVR de D-Link. En segundo lugar, la red de bots nunca se desvió de su propósito de extracción de videos de Anime. Forcepoint dijo que la botnet no ejecutó ataques DDoS, ni encontró evidencia de que la botnet intentara acceder a los datos del usuario almacenados en los dispositivos NAS y NVR. Todo esto sugiere que el autor de la botnet nunca tuvo intenciones criminales al construir Cereals. Una botnet que parece haber tenido un solo propósito: descargar videos de Anime.
Criptomonedas
La criptomoneda es dinero digital que se puede utilizar para comprar bienes y servicios, utilizando técnicas de cifrado sólidas para asegurar las transacciones en línea. Los bancos, los gobiernos e incluso empresas como Microsoft y AT&T son muy conscientes de su importancia y se están sumando al tren de las criptomonedas. Los propietarios de criptomonedas guardan su dinero en «billeteras» virtuales encriptadas. Cuando se lleva a cabo una transacción entre los propietarios de dos billeteras digitales, los detalles se registran en un registro electrónico descentralizado o en un sistema de cadena de bloques (blockchain). Esto significa que se lleva a cabo con cierto grado de anonimato y se autogestiona, sin interferencias de terceros, como bancos centrales o entidades gubernamentales.
Aproximadamente cada diez minutos, computadoras especiales recopilan datos sobre las últimas transacciones en criptomonedas, convirtiéndolas en acertijos matemáticos para mantener la confidencialidad. Estas transacciones se verifican a través de un proceso técnico y altamente complejo conocido como «minería». Este paso suele implicar a un ejército de «mineros» que trabajan en PC de alta gama para resolver acertijos matemáticos y autenticar transacciones.Una vez verificado, el libro mayor se actualiza y se copia y distribuye electrónicamente en todo el mundo a cualquier persona que pertenezca a la red blockchain, completando efectivamente una transacción.
Criptojacking: El criptojacking es una amenaza emergente que se esconde en la computadora, el teléfono móvil, la tableta, la computadora portátil o el servidor de un usuario, utilizando los recursos de esa máquina para «minar» criptomonedas sin el consentimiento o el conocimiento del usuario. ¡Muchas víctimas del criptojacking ni siquiera sabían que habían sido hackeados hasta que era demasiado tarde!
Recuerde:
- Enviar información confidencial por correo electrónico, como contraseñas en texto sin formato, es extremadamente arriesgado y es una debilidad en las prácticas de seguridad. Esta información debe, como mínimo, estar cifrada.
- Los empleados anteriores no deben tener acceso a la información de los clientes cuando abandonan una empresa. Se trata de un problema grave de control de acceso.
- Los nuevos usuarios deben validarse antes de que se pueda hacer cualquier otra cosa con sus datos. El uso de una dirección de correo electrónico con formato incorrecto para iniciar sesión es un error de entrada no validado.
Phishing
Los correos electrónicos de phishing pueden ser difíciles de detectar. Por ejemplo, a menudo se dirigirán por tu nombre para parecer legítimos, pero los ciberdelincuentes pueden encontrar fácilmente esta información en Internet. Por lo tanto, es importante mantenerse alerta y pensar antes de hacer clic. El phishing es muy común y, a menudo, funciona. Por ejemplo, en agosto de 2020, la marca de juegos de élite Razer sufrió una violación de datos que expuso la información personal de aproximadamente 100 000 clientes.
Un consultor de seguridad descubrió que un clúster en la nube (un grupo de servidores vinculados que proporcionan almacenamiento de datos, bases de datos, redes y software a través de Internet) estaba mal configurado y expuso un segmento de la infraestructura de Razer a la Internet pública, lo que provocó una fuga de datos.
Razer tardó más de tres semanas en proteger la instancia en la nube del acceso público, tiempo durante el cual los ciberdelincuentes tuvieron acceso a la información de los clientes que podría haberse utilizado en ataques de ingeniería social y fraude, como la que acaba de descubrir. Por lo tanto, las organizaciones deben adoptar un enfoque proactivo de la seguridad en la nube para garantizar que los datos confidenciales estén protegidos.
Protégete y Detecta el Phishing. La principal vulnerabilidad
La mayor Vulnerabilidad de las Personas y Empresas es el Phishing, y la única forma de protegerse es la capacitación. Aprende como protegerte con este completo curso: Protégete y Detecta el Phishing
Lo que aprenderás
- Historia y que es el Phishing
- Identificar las variantes del Phishing
- Conocer el modus operandi de los Ciberdelincuentes con el Phishing
- Métodos para protegerte
- Herramientas para prevenir el Phishing
- Casos reales y practicas de Phishing para Aprender
¿Te gustaría enterarte de cuando lanzamos descuentos al Máximo o Nuevos Cursos?