LAS 10 TÉCNICAS MÁS UTILIZADAS POR LOS

CIBERCRIMINALES

 Estas 10 técnicas son sólo un pequeño ejemplo de lo que

hay en el panorama actual, extraídas de la base de datos
ATT&CK que recoge y analiza más de 150.
 Analizar las tácticas, técnicas y procedimientos utilizados
por los grupos cibercriminales permite implementar
medidas que les obliguen a cambiar significativamente su
operativa.

La base de datos ATT&CK de MITRE se puso en marcha en 2013 con el

objetivo de documentar las tácticas, técnicas y procedimientos (del inglés,
tactics, techniques and procedures, TTP) utilizados habitualmente por los
adversarios (cibercriminales), con el objetivo de poder conocer en profundidad
cómo operan de cara a implementar las medidas oportunas para limitar la
posibilidad de verse afectado por sus ataques.
MITRE ha clasificado por el momento estos TTP en 4 matrices, atendiendo a
distintas temáticas, siendo estas: amenazas para empresas, para móviles, para
sistemas de control industrial y PRE-ATT&CK, siendo esta últimamente distinta
ya que recoge las fases previas a un ataque. Cada una de estas matrices
contiene diferentes tácticas, técnicas y procedimientos asociados, y para
entender las matrices es importante definir estos conceptos:
Las tácticas podemos entenderlas como el objetivo que pretenden
alcanzar los cibercriminales, pudiendo ser estos los que se indican a
continuación:
 Acceso inicial: El adversario está tratando de entrar en su red.
 Ejecución: El adversario está tratando de ejecutar un código malicioso.
 Persistencia: El adversario está tratando de mantener su posición.
 Escalada de privilegios: El adversario está tratando de obtener permisos
de nivel superior.
 Evasión de la defensa: El adversario está tratando de evitar ser
detectado.
 Acceso a credenciales: El adversario está tratando de robar nombres de
cuentas y contraseñas.

info@bcsc.eus | 945 236 636

Parque Tecnológico de Álava
Albert Einstein. 46-3ª – Ed. E7 01510
Vitoria-Gasteiz
  Descubrimiento: El adversario está tratando de averiguar su entorno.
 Movimiento lateral: El adversario está tratando de moverse a través de
tu entorno.
 Recolección: El adversario está tratando de recolectar datos de interés
para su objetivo.
 Comando y control: El adversario está tratando de comunicarse con los
sistemas comprometidos para controlarlos.
 Exfiltración: El adversario está tratando de robar datos.
 Impacto: El adversario está tratando de manipular, interrumpir o destruir
sus sistemas y datos.
Por su parte, las técnicas y subtécnicas representan el cómo se logra
llevar a cabo lo que se pretende y finalmente, los procedimientos son la
implementación específica usada para llevar a cabo las diferentes
técnicas y sub-técnicas.
Estas matrices son muy útiles ya que cada vez que se analiza una amenaza
que esté teniendo un impacto significativo los analistas pueden mapear el
comportamiento de la amenaza con la matriz que corresponda y así poder
recoger cómo opera y poder compartir esta información. Por el momento, hay
registrados más de 100 grupos criminales y más de 350 programas maliciosos.
En el presente artículo, destacamos la matriz de empresa “Enterprise” que
cuenta con 12 tácticas, 156 técnicas y 272 sub-técnicas. A continuación, y en
base los análisis anteriormente mencionados, resumimos las 10 técnicas más
utilizadas por los cibercriminales a la hora de realizar un ataque contra una
empresa:

1. SpearPhising adjunto. Consiste en el envío de emails, durante la fase

inicial de un ataque, con un archivo adjunto malicioso para obtener
información confidencial o comprometer el sistema. Según un reciente
informe de la compañía Trend Micro, el 93% de las ciberamenazas que
bloquearon sus productos en la primera mitad de 2020 se transmitieron
por email.
2. Archivos maliciosos. Tiene una relación directa con la técnica anterior,
y busca que el usuario abra un archivo malicioso, en el dispositivo
objetivo, siendo las extensiones más habituales .doc, .pdf, .xls, .rtf y
.exe.
3. Ficheros ofuscados. Esta técnica busca evadir los sistemas de
protección como los antivirus, ya que consiste en cifrar los ficheros
maliciosos para que el código no sea fácilmente analizable y por tanto
no se pueda determinar si es malicioso hasta que se ejecute.
4. Powershell. Esta herramienta de configuración y control de sistema es
utilizada habitualmente por los administradores, y se basa en el uso
intensivo de comandos y scripts. PowerShell está incluido por defecto en
el sistema operativo Windows y el atacante puede usarla para realizar

info@bcsc.eus | 945 236 636

Parque Tecnológico de Álava
Albert Einstein. 46-3ª – Ed. E7 01510
Vitoria-Gasteiz
 una serie de acciones, la búsqueda de información y la ejecución de
código, así como descargar y ejecutar archivos desde Internet, en el
disco y en la memoria. Cada vez es más habitual ver cómo los
cibercriminales utilizan herramientas propias del sistema para intentar
así pasar desapercibidos.
5. Línea de comandos de Windows (Windows Command Shell). En la
línea de la técnica anterior, la shell de comandos de Windows (también
denominado cmd.exe) suele usarse por administradores de sistemas,
desarrolladores o usuarios avanzados, y es también utilizada
habitualmente en los ataques.
6. Transferencia de herramientas de acceso. Esta técnica contempla
que el atacante transfiere herramientas u otros archivos a través del
canal de comando y control o mediante protocolos como FTP.
7. Entradas de arranque del registro / Carpeta de inicio. Se centra en
mantener persistencia en el sistema agregando un programa a una
carpeta de inicio o haciendo referencia a éste mediante una clave de
ejecución del Registro.
8. Protocolos Web. Los cibercriminales se comunican con los sistemas
afectados mediante el uso de protocolos de capa asociados al tráfico
web para evitar ser detectados o filtrados al mezclarse con el tráfico web
existente.
9. Borrado de archivos. La técnica consiste en eliminar los ficheros que
evidencian el ataque. El malware, las herramientas utilizadas u otros
archivos no nativos creados en un sistema tras un ataque pueden dejar
rastros que indiquen qué y cómo se hizo algo en la red, por lo que el
borrado de estos archivos suele darse durante la misma intrusión o
posteriormente con el objetivo de dejar el menor rastro posible.
10. Tareas programadas. El atacante hace uso del Programador de Tareas
de Windows para colocar una tarea con código malicioso que se ejecute
al iniciarse el sistema para mantener persistencia o que sea de tipo
recurrente.

Para para cada una de las técnicas recogidas en ATT&CK se registran los
mecanismos necesarios para poder detectar si está siendo utilizada y una serie
de medidas de mitigación / solución. Así mismo, utilizando herramientas
adicionales como DETT&CT es posible evaluar tanto el nivel de visibilidad que
tenemos sobre nuestra infraestructura, así como la capacidad de detección que
tenemos frente a amenazas concretas, hecho que resulta de gran utilidad.

Hay que tener presente que los ciberataques y las ciberamenazas están en
constante evolución por lo que analizar su comportamiento utilizando para ello
frameworks como Diamond Model, Cyberkill Chain o MITRE ATT&CK es
altamente beneficioso para la comunidad y dificulta significativamente las
operaciones de los cribercriminales ya que en el caso de que se implementen
las medidas de protección asociadas a las técnicas utilizadas les obliga a
implementar grandes cambios en su operativa para continuar siendo exitosos
en sus actividades.

info@bcsc.eus | 945 236 636

Parque Tecnológico de Álava
Albert Einstein. 46-3ª – Ed. E7 01510
Vitoria-Gasteiz