Seguimos escuchando en las noticias sobre ciberataques técnicos avanzados lanzados por hackers sofisticados, la realidad es que la mayoría de los hackeos son bastante rutinarios. Contrario a la creencia popular, la mayoría de los hackers no son ciber maestros furtivos con capuchas que se sientan en la oscuridad junto al resplandor de una pantalla de computadora, y no todos los ataques deben utilizar capacidades respaldadas por el estado. La mayoría no tiene un profundo conocimiento técnico y en su lugar dedican su tiempo a repetir pasos mientras buscan la manera más fácil de acceder a una organización.
Básicamente, los hackers buscan el máximo éxito con una inversión mínima y al mismo tiempo mantienen su anonimato. Es por eso que suelen utilizar herramientas públicas en lugar de otras más sofisticadas. Sin embargo, a menudo tienen éxito porque solo necesitan encontrar un punto débil, mientras que los defensores deben proteger todos los activos las 24 horas del día, los 7 días de la semana.
Hablamos con uno de los líderes del equipo rojo de CYE para comprender mejor cómo los hackers ingresan con éxito a las organizaciones. Aquí hay tres técnicas que han demostrado ser las más efectivas.
Ataques de ingeniería social
El objetivo de un ataque de ingeniería social es engañar a las víctimas para que revelen información privada. El éxito de los ataques de ingeniería social se basa enteramente en el factor humano que falla; es decir, los ataques específicamente exploran el comportamiento humano.
El phishing es un clásico ataque de ingeniería social. En el phishing, un atacante envía correos electrónicos fraudulentos que parecen provenir de una fuente confiable que incita al destinatario a divulgar información privada, información de inicio de sesión o hacer clic en un enlace que puede lanzar malware. Por ejemplo, un correo electrónico podría parecer que proviene de un banco de confianza, pidiendo más información como una contraseña o número de Seguridad Social. En el spear phishing, el atacante investigará exhaustivamente un objetivo particular en las redes sociales y Google, y luego creará un correo electrónico que parece ser enviado desde un lugar familiar para el usuario.
La mejor manera de prevenir tales ataques es con una buena dosis de conciencia de ciberseguridad. Los empleados deben ser capacitados para reconocer las señales reveladoras de correos electrónicos de phishing, así como para no responder a ningún correo electrónico que solicite información sensible.
Ataques de Fuerza Bruta
Un ataque de fuerza bruta es esencialmente un juego de adivinanza glorificado. En tales ataques, los hackers intentarán descifrar credenciales y claves de cifrado mediante la combinación sistemática de nombres de usuario y contraseñas hasta que se ingrese el acierto correcto. En un ataque de fuerza bruta simple, un hacker hace esto manualmente utilizando combinaciones de contraseñas o códigos PIN estándar.
En el esparcimiento de contraseñas, un atacante intenta utilizar una o dos contraseñas comunes para acceder a numerosas cuentas en un dominio, como «123456» y el nombre de la organización. Curiosamente, este método es extremadamente efectivo, porque muchas organizaciones todavía tienen contraseñas heredadas o cuentas de servicio que carecen de contraseñas sólidas y robustas o no implementan medidas para congelar las cuentas con actividad de inicio de sesión inusual. Una vez que se descubren las credenciales, los hackers pueden «bombardear» a un empleado con múltiples solicitudes de MFA hasta que el empleado, confundido por las notificaciones inesperadas, aprueba una.
En general, la falta de calidad de las contraseñas sigue siendo la forma más común en que los hackers entran en las organizaciones. Reuven Aronashvili, CEO y cofundador de CYE, ha dicho que continúa sorprendido al ver «cuántas organizaciones son víctimas de ataques que se originan en contraseñas débiles».
Prevenir los ataques de fuerza bruta implica el uso de contraseñas complejas que sean difíciles de descifrar. Por esta razón, es esencial para cada organización, usar un administrador de contraseñas que genere automáticamente contraseñas sólidas. Además, implementar la autenticación de dos factores (2FA) con una contraseña de un solo uso puede congelar las cuentas con actividad de inicio de sesión inusual.
Nuevas vulnerabilidades
Otra forma muy efectiva de infiltrarse en los sistemas de una organización es explotar vulnerabilidades recientes. Los hackers frecuentemente revisan los tableros de anuncios de los proveedores de software en busca de nuevas CVE (vulnerabilidades y exposiciones comunes), lo que les permite infiltrarse en la red de una organización. La razón por la que esto funciona es porque las empresas a menudo no actualizan con prontitud sus aplicaciones o sitios web, lo que los deja completamente expuestos a los ataques.
Estos ataques pueden prevenirse, manteniéndose actualizado sobre nuevas vulnerabilidades y controlarlas de inmediato. Por supuesto, siempre hay desafíos, porque mitigar las vulnerabilidades lleva tiempo.
El hilo común
¿Qué tienen en común estos tres métodos? Son generalizados, usan tácticas simples y tienen soluciones sencillas. Por eso, una parte esencial de proteger una organización de los ciberataques implica simplemente bloquear los puntos de entrada más fáciles, lo que hace que sea mucho más difícil para los atacantes menos sofisticados.
Fuente: Yaffa Klugerman, Director of Content at CYE
