¡Conoce a tu enemigo! Aprende cómo atacan los ciberdelincuentes

En teoría, los ciberdelincuentes pueden utilizar (y lo hacen) todas y cada una de las miles de técnicas de ataque diferentes, en cualquier combinación que deseen.

En la vida real, sin embargo, una buena gestión de riesgos dice que es inteligente centrarse primero en los problemas más peligrosos, incluso si no son los temas de ciberseguridad más glamurosos o emocionantes en los que meterse.

Entonces, en la vida real, ¿qué es lo que realmente funciona para los ciberdelincuentes cuando inician un ataque?

Y lo que es igual de importante, ¿qué tipo de cosas hacen una vez que han entrado?

¿Cuánto tiempo tienden a quedarse en tu red una vez que han creado una cabeza de playa?

¿Hasta qué punto es importante encontrar y tratar la causa subyacente de un ataque, en lugar de limitarse a tratar los síntomas obvios?

Active Adversary Playbook

El experto de Sophos, John Shier, anlizó los informes de 144 ciberataques reales investigados por Sophos Rapid Response durante 2021.

Lo que encontró puede que no te sorprenda, pero es una información vital, porque es lo que realmente ocurrió, no sólo lo que podría haber ocurrido.

En particular:

  • Las vulnerabilidades sin parches fueron el punto de entrada de cerca del 50 % de los atacantes.
  • Los atacantes permanecieron más de un mes de media cuando el ransomware no era su objetivo principal.
  • Se sabe que los atacantes han robado datos en cerca del 40 % de los incidentes. (No se pueden demostrar todos los robos de datos, por supuesto, dado que no hay un agujero en el lugar donde estaba la copia de los datos, por lo que la cifra real podría ser mucho mayor).
  • Más del 80 % de los atacantes utilizaron el RDP para circunnavegar la red una vez que entraron.

Curiosamente, aunque quizás no sea sorprendente, cuanto más pequeña es la organización, más tiempo llevan los delincuentes en la red antes de que alguien se dé cuenta y decida que es hora de echarlos.

En las empresas con 250 empleados o menos, los delincuentes se quedaban (en la jerga, esto se conoce con la pintoresca y arcaica metáfora automovilística del tiempo de permanencia) durante más de siete semanas de media, en comparación con un tiempo medio de permanencia de algo menos de tres semanas para las organizaciones con más de 3.000 empleados.

Sin embargo, como te puedes imaginar, los delincuentes de ransomware suelen permanecer ocultos durante períodos mucho más cortos (algo menos de dos semanas, en lugar de algo más de un mes), entre otras cosas porque los ataques de ransomware son intrínsecamente autolimitados.

Al fin y al cabo, una vez que los delincuentes del ransomware han revuelto todos tus datos, salen de su escondite y pasan directamente a la fase de chantaje.

¿Quién hace que los ataques de ransomware sean tan dañinos?

Lo más importante es que hay grupos enteros de ciberdelincuentes que no se dedican a la confrontación directa de las bandas de ransomware.

Estos delincuentes “no relacionados con el ransomware” incluyen un grupo importante conocido en el sector como IABs, o corredores de acceso inicial.

Los IABs no obtienen sus ingresos ilícitos de la extorsión a su negocio después de un ataque violentamente visible, sino de la ayuda y la instigación a otros delincuentes para que lo hagan.

De hecho, estos delincuentes de IAB podrían hacer mucho más daño a las empresas a largo plazo que los atacantes de ransomware.

Esto se debe a que su objetivo típico es aprender tanto sobre ti (y tu personal, y tu negocio, y tus proveedores y clientes) como puedan, durante el tiempo que quieran.

Después, obtienen sus ingresos ilícitos vendiendo esos datos a otros ciberdelincuentes.

En otras palabras, si te preguntas cómo los delincuentes que se dedican al ransomware son capaces de entrar tan rápidamente, de mapear las redes tan a fondo, de atacar tan decisivamente y de hacer demandas de chantaje tan dramáticas, es muy posible que se deba a que han comprado tu propio “Active Adversary Playbook”, listo para usar, a delincuentes anteriores que ya habían recorrido tu red de forma silenciosa pero extensa.

El RDP sigue siendo peligroso

Una buena noticia es que el RDP (Protocolo de Escritorio Remoto de Microsoft) está mucho mejor protegido en estos días, con menos del 15 % de los atacantes que utilizan RDP como su punto de entrada inicial. (El año anterior, era más del 30 %).

Pero la mala noticia es que muchas empresas todavía no han adoptado el concepto de confianza cero o de necesidad de saber.

Muchas redes internas siguen teniendo lo que los administradores de sistemas llevan años llamando “un interior blando y pegajoso”, aunque tengan lo que parece una cáscara dura por fuera.

Esto lo revela la estadística de que en más del 80% de los ataques, se abusó del RDP para ayudar a los atacantes a saltar de un ordenador a otro una vez que habían roto ese caparazón exterior, en lo que se conoce con el prolijo término de movimiento lateral.

En otras palabras, aunque muchas empresas parecen haber endurecido sus portales RDP de acceso externo (algo que no podemos sino aplaudir), parecen seguir confiando en gran medida en las llamadas defensas perimetrales como herramienta principal de ciberseguridad.

Pero las redes actuales, especialmente en un mundo con mucho más trabajo remoto y “telepresencia” que hace tres años, ya no tienen realmente un perímetro.

(Como analogía del mundo real, considera que muchas ciudades históricas todavía tienen murallas, pero ahora son poco más que atracciones turísticas que han sido absorbidas por los centros de las ciudades modernas).

¿Qué hacer?

Con el argumento de que conocer a tu ciberenemigo hace que sea menos probable que te cojan por sorpresa, nuestro consejo es que leas el informe.

Como señala John Shier en su conclusión:

Hasta que un punto de entrada expuesto se cierre, y todo lo que los atacantes han hecho para establecer y retener el acceso sea completamente erradicado, casi cualquiera puede entrar después de ellos. Y probablemente lo hará.

Recuerda, si necesitas ayuda, no es un fracaso pedirla.

Al fin y al cabo, si no investigas tu red para encontrar los puntos peligrosos, puedes estar seguro de que los ciberdelincuentes lo harán.