Para luchar contra los piratas informáticos, debe saber cómo operan. ¿Qué es lo que realmente hacen?
La mayoría de los ataques siguen la cadena Cyber Kill Chain de Lockheed Martin, un marco de inteligencia desarrollado para identificar y prevenir ataques cibernéticos. El proceso comienza con la obtención de información sobre un objetivo potencial y termina con el robo de datos valiosos. Entonces, ¿cuáles son las etapas por las que pasan los ciberdelincuentes cuando piratean un sistema?
La cadena de matanza cibernética de Lockheed Martin
Aunque existen variaciones en el proceso, los piratas suelen seguir el Cadena de matanza cibernética de Lockheed Martin en su búsqueda para encontrar a quién hackear y llevar a cabo un ataque. Kill Chain consta de siete pasos.
1. Información de investigación y recolección de piratas informáticos
El primer paso en un ataque cibernético es el reconocimiento, o explorar el objetivo. Por lo general, esto implica recopilar información disponible públicamente sobre un objetivo potencial, incluidas direcciones de correo electrónico, nombres de usuario de redes sociales y registros públicos.
Pueden obtener esta información a partir de fugas de datos o haciendo el trabajo duro si están interesados en una persona específica. En este último caso, pueden recurrir a métodos más sofisticados como un ataque bluetooth o interceptar la red, también llamada Ataque Man-in-the-Middle (MITM). Mientras que el primero requiere que el hacker esté muy cerca del objetivo, el segundo se puede hacer de forma remota usando un software o en el sitio interceptando el Wi-Fi de la víctima.
El objetivo final es aprender tanto como sea posible sobre los objetivos, los dispositivos que utilizan, los sistemas operativos de los dispositivos y los servicios que utilizan, entre otras cosas. La información que obtienen aquí puede ayudarlos a encontrar vulnerabilidades.
Esta etapa se llama "armamentización" en Cyber Kill Chain. Armados con información sobre sus objetivos potenciales, los piratas informáticos ensamblan las herramientas que necesitarán para el ataque cibernético. Pueden, por ejemplo, crear y ocultar malware en archivos que su objetivo probablemente descargue.
Puedes pensar en esta etapa como si fueras a pescar. El equipo que necesitará empacar para pescar en un lago de agua dulce será diferente del equipo que necesitará para pescar en el océano. Probablemente también irías con un barco diferente.
3. Los piratas informáticos lanzan su red o cebo
Esta etapa se llama "entrega" en Kill Chain. Este paso implica engañar al objetivo para que descargue el malware, básicamente invitando a los malos a la fortaleza.
Una forma común en que los piratas informáticos hacen esto es enviando correos electrónicos que contienen archivos maliciosos. El método de entrega también puede ser imágenes que alojen el malware, como se vio cuando los piratas informáticos explotaron el Imágenes del telescopio James Webb para propagar malware. La inyección SQL es otra forma común en que los piratas informáticos entregan malware.
De cualquier manera, el objetivo es lograr que el objetivo descargue malware en su dispositivo. El malware se hace cargo a partir de aquí: se extrae automáticamente y se inyecta en el sistema.
4. Malware explota una vulnerabilidad en el sistema
El malware se hace cargo una vez que está en la computadora del objetivo. Ciertas acciones en segundo plano, como USB o reproducción automática de medios, puede hacer que el malware se extraiga y ejecute automáticamente en el dispositivo de la víctima. Esta etapa se llama "explotación".
5. El malware hace lo que está programado para hacer
Esta fase en Kill Chain se llama "instalación". Una vez que el malware ingresa al sistema (o red informática), se instala silenciosamente en segundo plano, generalmente sin el conocimiento de la víctima. Entonces, comienza a escanear en busca de vulnerabilidades en el sistema que otorgará al hacker mayores privilegios de administrador.
El malware también establece un Sistema de Comando y Control con el hacker. Este sistema le permite al pirata informático recibir actualizaciones periódicas sobre el progreso del ataque. Para ponerlo en perspectiva, imagina el Sistema de Comando y Control como un oficial militar de alto rango que en realidad es un espía. La posición del espía los coloca en un lugar para acceder a secretos militares sensibles. Este estado también los prepara para recopilar y enviar inteligencia robada sin sospechas.
6. El sistema de espionaje de los piratas informáticos se hace cargo y se expande
El malware en esta etapa hace varias cosas para establecer su Sistema de Comando y Control, también epónimo de la sexta etapa en Kill Chain. Por lo general, continúa escaneando el sistema en busca de vulnerabilidades. También puede crear los hackers de puertas traseras pueden usar para ingresar al sistema si la víctima descubre el punto de entrada.
Además, el sistema también busca otros dispositivos conectados a los dispositivos comprometidos y también los infecta. Es como cuando todos en la oficina se resfrían. Si pasa suficiente tiempo, nadie recuerda exactamente quién lo inició.
7. Saquear, Destruir, Salir
La etapa final en el proceso de piratería real implica que el ciberdelincuente use su control elevado del dispositivo de la víctima para robar datos confidenciales como detalles de inicio de sesión, información de tarjetas de crédito o archivos que contienen negocios misterios. Un pirata informático también puede destruir los archivos del sistema, lo que es especialmente peligroso si la víctima no tiene una copia de seguridad de los datos robados y destruidos.
¿Qué suele pasar después de un hackeo?
En los casos en que un hacker se ha mostrado sigiloso sobre el ataque, es posible que la víctima no se dé cuenta, lo que le da al hacker una alimentación constante de material. Por otro lado, si la víctima se da cuenta de que ha sido pirateada, puede eliminar el malware y cerrar las puertas traseras que pueda encontrar.
Algunas organizaciones destruyen dispositivos comprometidos solo para estar seguros. También comienzan a neutralizar el efecto del hack. Por ejemplo, si un hacker viola la red de un banco y roba información de tarjetas de crédito, el banco desactivaría inmediatamente todas las tarjetas comprometidas.
Mientras tanto, para los piratas informáticos, el hack exitoso significa el día de pago. Pueden pedir rescate a la víctima, generalmente pagado a través de métodos de pago imposibles de rastrear. Otra opción es vender los datos robados a otros ciberdelincuentes que puedan encontrarles usos; decir, robar la identidad de alguien, copiar su modelo de negocio o piratear software propietario.
Puede evitar los intentos de piratería
Los piratas informáticos utilizan varias formas de encontrar víctimas potenciales. Algunos de estos son pasivos y sencillos, mientras que otros son activos y sofisticados. Pero no se asuste. Las prácticas seguras en línea y la limitación de la información que comparte en línea pueden evitar que sea un objetivo. Además, las mejores prácticas y herramientas de ciberseguridad, como VPN y antimalware, pueden protegerlo de los ataques.
