Cómo funcionan los vectores de ciberataque más comunes

Por: Marco Fontenelle, General Manager de Quest Software, Latin America.

Una violación de datos puede ser un acontecimiento catastrófico para cualquier organización. Una forma de ayudar a frenarlo es conocer los posibles vectores de ataque. Se trata de la combinación de las intenciones de un cibercriminal y el camino que utiliza para ejecutar un ataque contra una organización. Por ejemplo, un ciberdelincuente que busca infectar una red con ransomware puede utilizar un correo electrónico de phishing para obtener acceso. En este caso, el correo electrónico de phishing es el vector de ataque.

Otros vectores de ataque habituales son, entre otros, los siguientes:

• Dispositivos “Shadow IoT”: El hardware no autorizado, como las unidades USB y los dispositivos informáticos, pueden estar conectados a un servidor o estación de trabajo, sin que el personal de TI lo vea. Si alguien los introduce en la red, estos dispositivos pueden capturar y enviar muchos datos antes de ser descubiertos.

• Aplicaciones no seguras: la mayoría de las áreas de TI se ocupan de este problema aplicando una lista de aplicaciones aprobadas o no aprobadas para su uso en la red. En la era del BYOD, el control de los dispositivos se ha alejado del hardware brindado por la empresa y el departamento de TI ha tenido que obtener el permiso del usuario para las actualizaciones. Esta pérdida de control ha dificultado el mantenimiento de una seguridad estricta.

• Cadena de suministro: En la medida en que las empresas dependen del software para el éxito, la cadena de suministro que usa este software se convierte en un vector de ataque. Un solo exploit en la cadena de suministro se extiende a todas las empresas que utilizan el software, ya que las herramientas de construcción y los repositorios incorporan el exploit y lo distribuyen.

• Los seres humanos: Desde los usuarios que siguen abriendo archivos adjuntos de correo electrónico fraudulentos, hasta los que actúan con mala intención, las personas que interactúan con los datos suelen ser el vector de ataque más poderoso.

Para entender la relación entre un vector de ataque y la empresa, tienes que pensar en un vector de ataque como intento de asaltar el castillo. La superficie de ataque, entonces, representa el alcance total de tus vulnerabilidades, similar a los agujeros en las paredes de un castillo y las escaleras que hay afuera.

Los hackers buscan aperturas y pistas, como la dirección de correo electrónico de un asistente administrativo con acceso a datos ejecutivos. Piensan que, aunque los dispositivos de los directivos son seguros, los dispositivos del personal administrativo tienen menor protección.

Lo más sofisticado es la ingeniería social, en la que los hackers llevan a cabo el equivalente digital de simplemente hablar a través de la puerta y entrar en el edificio. Es un juego de confianza en el que engañan al objetivo para que revele información como una contraseña o una ubicación. A continuación, pueden utilizar la información para el siguiente paso en su intento de implementar un elemento malicioso en la red.

Con todo esto en mente, vale la pena conocer las mejores prácticas para reducir el riesgo de los vectores de ataque:

• Supervisa y gestiona tus puntos finales: si no controlas los sistemas que utiliza la gente, el efecto es como si tuvieras una venda a los ojos. La mejor manera de anticiparse y evitar un ataque es saber lo que está sucediendo en todos los dispositivos de tu entorno, y luego configurarlos para que tengan una función limitada.

• Restringir los privilegios en la medida de lo posible: ¿realmente necesitan tus usuarios derechos de administrador completos en los dispositivos que les brinda la empresa? Claro, es fácil no tener que escalar privilegios para ellos, pero el inconveniente es que pueden instalar fácilmente sus propios programas.

• Reevalúa los permisos de forma constante: en lugar de realizar una supervisión puntual, mantente al tanto de los cambios en los permisos. Tu objetivo es supervisar con frecuencia para que, si descubres una vulnerabilidad, puedas minimizar los daños derivados de ella.

• Supervisa los comportamientos sospechosos: por ejemplo, ha aparecido una nueva cuenta de servicio de red en los últimos días. El departamento de TI no la ha creado. ¿Por qué se ha creado? ¿Quién la necesitaba? ¿Con qué propósito? Lo mismo ocurre con los dispositivos de hardware inesperados. Asegúrate de poder explicar cada nuevo evento en tu red.

• Haz copias de seguridad de los datos con frecuencia y de forma segura: Si se produce una interrupción o un desastre natural, restaurarás a partir de las copias de seguridad y reanudarás la actividad. Pero si tus máquinas de producción son atacadas con ransomware, existirá la posibilidad de que tus copias de seguridad también estén infectadas, en cuyo caso la restauración no resolverá tu problema. En su lugar, haz una copia de seguridad en un sistema con un esquema de autenticación diferente al de tu entorno de producción.

• Forma a los empleados en materia de ciberseguridad: Ninguna organización puede permitirse pasar por alto el factor humano inherente a casi todos los vectores de ataque. Por eso es importante informar y recordar a todos los usuarios acerca de las consecuencias de sus acciones.