Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Agentes de AmenAZA
La Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) ha identificado los agentes de
amenaza que existen en el panorama actual, tal y como se muestra en figura 2.5.
Joven, No
Ciberagente capacidado Script Kiddies
Baja tecnología
/ Habilidad Hacker
Formación básica Sociales
medio-baja
Hostil
(intencional)
Amigable (Agentes de Baja
(involuntario) capacidad Interno, Formación Persona enterada
amenaza)
medio-baja (empleado)
Comunidad de
Investigador Corriente
investigación
Ex
Interno
Hacker ética Mercado Externo (Contratista, Proveedor)
Mercenario Espionaje
Cibersoldado Militar Misión de
corporación Corporación
Usuario de
Uso de herramienta / Cuidados con
Empleado Comercial infraestructura Implementador motivación
social Hacktivistas
Usuario final /
Motivados
Cliente Comercial ideológica-
mente Ciberterrorista
Grupo/Categoria
Orientado a
beneficios Cibercriminal
Agente individual
Cuidados con
motivación
Sector, capacidad, motivación Nacional Ciberguerreros
Leyenda
Fuente: Marinos, Louis, A. Belmonte, E. Rekleitis, “ENISA Threat Landscape 2015,” ENISA, Enero 2016, Grecia
• Empleados—A pesar de que suelen tener métodos y herramientas de bajo nivel tecnológico, los empleados insatisfechos ya
sean antiguos o actuales representan un riesgo de ciberseguridad evidente. Todos estos ataques son adversos, pero algunos no
están relacionados con los ciberataques APT.
• Hacktivistas—A pesar de que a menudo actúan de forma independiente, los hackers con motivaciones políticas pueden
tener como objetivo personas u organizaciones específicas para lograr diversos fines ideológicos.
• Estados nacionales —Los estados nacionales a menudo se focalizan en gobiernos y entidades privadas para obtener
inteligencia o llevar a cabo otras actividades destructivas. Poseen un alto nivel de sofisticación.
• Hackers Sociales —Con habilidades en ingeniería social, estos atacantes están frecuentemente implicados en el ciberacoso,
robo de identidad y la recolección de otra información confidencial o de credenciales.
• Script Kiddies—Los script kiddies son personas jóvenes que están aprendiendo a hackear; suelen trabajar solos o en grupo
y están involucrados principalmente en inyecciones de código y los ataques distribuidos de denegación de servicio (DDoS).
AtriBUtos de AtAQUe
Mientras que el riesgo se mide por su daño potencial, un ataque es la ocurrencia real de una amenaza. Más específicamente,
un ataque es una actividad realizada por un agente de amenaza (o adversario) contra un activo. Desde el punto de vista de un
atacante, el activo es un objetivo, y el camino o ruta utilizada para acceder a la meta (activo) se conoce como un vector de
ataque. Hay dos tipos de vectores de ataque: de entrada (Ingress) y de salida (Egress) (también conocido como exfiltración
de datos). Mientras que la mayoría de los análisis de ataque se concentran en los de entrada, o intrusión, a los sistemas,
algunos ataques están diseñados para eliminar los datos de los sistemas y redes (p ej, empleados que roban datos). Por tanto, es
importante tener en cuenta ambos tipos de vectores de ataque.
El atacante debe enfrentarse a cualquiera de los controles implantados y/o utilizar un código para explotar debilidades
(exploit) para aprovechar una vulnerabilidad. Otro atributo de un ataque es el mecanismo de ataque, o el método utilizado
para entregar el exploit. A menos que el atacante esté llevando a cabo personalmente el ataque, el mecanismo de ataque
puede implicar un exploit, que entrega el payload al objetivo. Un ejemplo puede ser un archivo pdf malicioso generado por un
atacante y entregado por correo electrónico. Los atributos de un ataque se muestran en la figura 2.6.
Vector de Objetivo
Exploit Payload Vulnerabilidad
ataque (activo)
El análisis detallado de los ciberataques requiere de una gran experiencia tanto técnica como de a materia tratada, y es una
parte importante de la ciberseguridad. Cada uno de los atributos de ataque (vector de ataque, exploit, payload, vulnerabilidad,
objetivo) proporciona puntos únicos donde poder ubicar los controles para prevenir o detectar el ataque. También es importante
entender cada uno de estos atributos durante el análisis y la investigación de un ataque real. Por ejemplo, el exploit utilizado
para entregar el payload, a menudo deja artefactos o evidencias que pueden ser utilizados por los analistas e investigadores
técnicos para entender el ataque y posibilitar la identificación de los autores. El análisis de la ruta de exfiltración de datos
puede identificar oportunidades adicionales para prevenir o detectar la eliminación de los datos u obtener evidencias, incluso si
el ataque fue capaz de conseguir su objetivo.
Los ataques pueden ser analizados y clasificados en función de su tipo y de los patrones de uso. A partir de estas
características, es posible hacer generalizaciones que faciliten un mejor diseño y mejores controles. Hay dos grandes
categorías de eventos de amenaza: adversos y no adversos. Un evento de amenaza adverso lo realiza un agente de amenaza
humano (o adversario), mientras que un evento de amenaza no adverso es normalmente el resultado de un error, un mal
funcionamiento o un percance de cualquier tipo.19
19
MITRE, Common Attack Pattern Enumeration and Classification (CAPEC), Febrero 2014, http://capec.mitre.org
1. Realizar reconocimientos: El adversario recoge información usando una variedad de técnicas, pasivas o activas, las
cuales pueden incluir:
a. Pasivo:
i. Escuchar el tráfico de red
ii. Descubrir información de la organización a partir de fuentes de información libres (Grupos de noticias;
comunicaciones de empresa relativas a diseños de IT o a su arquitectura de TI)
iii. Google Hacking
b. Activo:
i. Escanear el perímetro de la red
ii. Ingeniería social (Llamadas falsas, Phishing de bajo nivel)
2. Crear herramientas de ataque: El adversario diseña las herramientas necesarias para llevar a cabo un ataque en el
futuro, que incluye:
a. Phishing o ataques selectivos de phishing
b. Generar páginas web falsas o certificados falsos
c. Crear y operar organizaciones falsas y posicionarlas en la cadena de suministro para inyectar componentes maliciosos
3. Entrega de funciones maliciosas: El adversario inserta o instala todo aquello que sea necesario para llevar a cabo el
ataque que puede incluir lo siguiente:
a. La introducción de malware en los sistemas de información de la organización
b. La colocación de individuos infiltrados en posiciones privilegiadas dentro de la organización
c. La instalación de sniffers o dispositivos de escaneo en redes y sistemas objetivo
d. Introducción de hardware o componentes críticos manipulados en los sistemas de organización o en las cadenas de
suministro
4. Explotar debilidades y comprometer: El adversario se aprovecha de la información y los sistemas con el fin de
comprometerlos, lo que incluye:
a. Split tunneling o conseguir acceso físico a las instalaciones de la organización
b. La filtración de datos o información sensible
c. Explotación de sistemas “multi tenant” (ej. Multiples clientes en recursos o plataformas compartidos) en un entorno
de nube pública (ej. Atacando puntos de acceso públicos; programas de interfaces de aplicación [API’s])
d. Lanzando exploits de día cero
5. Dirigir un ataque: El adversario coordina las herramientas de ataque o realiza actividades que interfieran con las
funciones de la organización. Los métodos potenciales de ataque incluyen:
a. Intercepción de comunicaciones o ataques de interferencias inalámbricas
b. Ataques de denegación de servicio (DoS) o ataques distribuidos de denegación de servicio (DDoS)
c. Interferencias a distancia o ataques físicos a las instalaciones o infraestructuras de la organización
d. Secuestro de sesión o ataque de “hombre en el medio”
6. Obtención de resultados: El adversario causa un impacto adverso, que puede incluir:
a. Obtener acceso no autorizado a sistemas y/o información sensible
b. La degradación de los servicios o capacidades de la organización
c. Crear, corromper o borrar datos críticos
d. Modificar el flujo de control de los sistemas de información (ej. Sistemas de control industrial, sistemas de control de
supervisión y adquisición de datos (SCADA))
7. Mantener una presencia o un conjunto de capacidades: El adversario continua la explotación y el compromiso del
sistema usando las siguientes técnicas:
a. Ofuscando las acciones de adversario o interfiriendo con los sistemas de detección de intrusión (IDS)
b. Adaptando los ciberataques en base a las medidas de seguridad de la organización
8. Coordinar una campaña: El adversario coordina una campaña contra la organización que puede implicar las siguientes
medidas:
a. Ataques de múltiples etapas
b. Ataques internos y externos
c. Ataques generalizados y adaptables
Por ejemplo, el gusano informático conocido como Stuxnet destaca por el potencial de su malware para interrumpir los
sistemas de control de supervisión y de adquisición de datos (SCADA) y los controladores lógicos programables (PLC),
normalmente utilizados para automatizar los procesos mecánicos en las fábricas o plantas de energía. Descubierto en 2010,
Stuxnet se utilizó para comprometer los sistemas y el software del programa nuclear Iraní. Tiene tres componentes:
1. Un gusano que lleva a cabo las rutinas relacionadas con el payload
2. Un fichero de enlace que propaga copias del gusano
3. Un rootkit que oculta los procesos maliciosos para evitar ser detectado
Existe otra serie de términos que también se utilizan para describir los tipos más específicos de malware, caracterizados por sus
propósitos. Estos incluyen:
• Software espía (spyware)—Una clase de malware que recopila información sobre una persona u organización sin el
conocimiento de dicha persona u organización.
• Sistemas de publicidad (adware)—Diseñado para mostrar anuncios (generalmente no deseados) a los usuarios.
20
ISACA, Amenazas persistentes avanzadas: Cómo gestionar el riesgo para su negocio, EE.UU., 2013
21
Bisson, David; “Hummer Malware the No. 1 Mobile Trojan in the World,” Tripwire, 1 Julio 2016, www.tripwire.com/state-of-security/latest-
security-news/hummer-malware-the-1-mobile-trojan-in-the-world
• Software maligno de petición de rescate (Ransomware)—También conocido como “código rehén” (del inglés
“hostage code”), se trata de un tipo de malware de extorsión que bloquea o cifra los datos o funciones y exige un pago para
desbloquearlos. Hay varios tipos disponibles para cada sistema operativo. Ataques recientes de Ramsonware incluyen:
– GhostCrypt—Mediante el uso del cifrado AES, GhostCrypt cifra los datos del dispositivo infectado para obtener
Bitcoins de la víctima. Cuando el Ramsonware cifra una pieza de información, incluye el apéndice .Z81928819.
GhostCrypt también genera un archivo “leeme.txt” (READ_THIS_FILE.txt) como recordatorio del rescate que debe
pagarse.22
– SNSLocker—Utilizando cifrado AES y añadiendo una cadena RSNlocked al final de los datos afectados, este
Ransomware cifra datos y pide un rescate de 300 $ ( pagables en Bitcoin) para proporcionar una solución de descifrado.23
• Software de registro de tecleado (Keylogger)—Una clase de malware que registra de forma silenciosa las pulsaciones de
teclado de los usuarios y, en algunos casos, el contenido de la pantalla.
• Rootkit—Una clase de malware que oculta la existencia de otro tipo de malware mediante la modificación del sistema
operativo subyacente.
22
Tripwire, “May 2016: The Month in Ransomware,” Tripwire, 6 Junio 2016, www.tripwire.com/state-of-security/security-data-protection/may-
2016-the-month-in-ransomware
23
Ibid. 24 OWASP, SQL Injection, www.owasp.org/index.php/SQL_Injection
• Structure Query Language (SQL) injection—De acuerdo a OWASP,24 Un ataque de SQL Injection consiste en la
inserción o inyección de una consulta SQL a través de los datos de entrada desde el cliente a la aplicación. Un exploit de
injección de código SQL exitoso, puede leer datos sensibles de la base de datos, modificar los datos de la base de datos
(insertar/actualizar/eliminar), ejecutar operaciones de administración en la base de datos (como apagar la DBMS), recuperar
el contenido de un fichero concreto presente en el sistema de ficheros de la DBMS y en algunos casos lanzar comandos
al sistema operativo. Los ataques de inyección SQL son un tipo de ataques de inyección en los que comandos SQL son
inyectados en entradas planas de datos para producir la ejecución de comandos SQL predefinidos.
• Exploit de día cero—Vulnerabilidad que se explota antes de que el creador/proveedor del software sea consciente de su
existencia.