El gerente de Ciberseguridad de Cisco para América Latina Hispana, Juan Marino, consideró que existen modus operandi similares en la mayoría de los ciberataques a las organizaciones, por lo que compartió la “anatomía” que han encontrado.
En términos técnicos, Marino dijo que hay una secuencia de una cadena de ataque (kill chain): acceso inicial, ejecución, persistencia, escalación de privilegios, evasión defensiva, acceso de credenciales, hacer Discovery, movimiento lateral, colección de datos, exfiltración de datos, comando y control para ejecutar partes adicionales del ataque.
En esta última fase, explico, hay una comunicación saliente desde la red de la víctima hacia la del atacante. Montan una infraestructura maliciosa en internet que puede residir en diferentes lugares, compran espacios en la nube de Amazon o Google, para tener distintos componentes que son parte del ataque.
Una encuesta realizada por Accenture, encontró que el año pasado hubo en promedio 270 ciberataques en cada compañía, 31% más que en 2020.
Durante un webinar, el ejecutivo señaló que los países de la región que resultaron más afectados fueron Brasil, con 31%; México, 18%, y Argentina, 9%, de acuerdo con el reporte Ransomware Uncovered 2021-2022, de Group IB.
Dicho documento cita que a nivel mundial, 63% de los casos estuvo acompañado por exfiltración de datos. La extorsión promedio fue de $247 mil dólares. El downtime promedio fue de 22 días y el dwell time (el tiempo que los atacantes merodean dentro del ambiente antes de hacer visible el ataque) promedio, de nueve días.
Ciberataques y su modus operandi, por etapas
El gerente de Ciberseguridad de Cisco explicó los niveles de ciberataques que han detectado. Describió que, primero, los cibercriminales analizan diferentes organizaciones, así definen a quién les conviene vulnerar y entonces envían ataques dirigidos que suelen pasar por tres etapas.
En la primera, se busca tener acceso a los sistemas. Pueden comprometer las credenciales de un usuario cualquiera o del administrador de la red. Cuanto más sigiloso sea el atacante, mejor. Al mantenerse en el sistema puede buscar más información y descubrir la conectividad que tiene desde el acceso logrado, si puede moverse lateralmente en la red.
En la segunda, descubren los recursos que son más importantes. En una red hay muchos servidores o sistemas que no pueden ser explotados de manera significativa.Si los atacantes hacen ese análisis, van a buscar esos puntos clave. Roban la información, se mueven dentro de la red para propagar el ataque.
En la mayoría de las organizaciones no se identifican cuáles son las joyas de la corona. Hacerlo, es el primer paso construir su estrategia de seguridad.
En la tercera etapa, el atacante se prepara para hacer el deployment del software malicioso (malware). Puede tratarse de un ransomware y entonces se procede a la extorsión. Cuanto más a medida y original es el malware, es más difícil que sea detectado.
Marino advirtió que el malware puede estar inactivo hasta que el atacante lo ejecute, o bien, puede estar programado.
Según el especialista de Cisco, en los ataques dirigidos, la cadena es dinámica y puede cambiar, sobre todo si la organización que es víctima se da cuenta y trata de reaccionar.
Fallas en ciberseguridad, riesgo global
En contexto, actualmente, el Foro Económico Mundial considera que las fallas en ciberseguridad y la desigualdad digital forman parte del top 10 de riesgos globales que enfrenta la humanidad. Por si no bastara con estar en la lista, se considera que en los próximos dos años, podrían volverse una amenaza crítica para el mundo.
En esta problemática, nadie está exento. Cabe recordar que hace unas semanas, la propia compañía reconoció que en marzo de este año fue víctima de una vulneración, aunque aparentemente, el atacante no tuvo acceso a sistemas críticos internos.
Por más protegidas que se sientan, las organizaciones deben tener preparados planes de contingencia y estar pendientes continuamente de los procesos y tácticas que usan los adversarios.