Lectores como tú ayudan a apoyar a MUO. Cuando realiza una compra utilizando enlaces en nuestro sitio, podemos ganar una comisión de afiliado.
En la mayoría de los ataques cibernéticos, el malware infecta la computadora de la víctima y actúa como la estación de acoplamiento del atacante. Encontrar y eliminar esta estación de acoplamiento es relativamente fácil con antimalware. Pero existe otro método de ataque en el que el ciberdelincuente no necesita instalar malware.
En cambio, un atacante ejecuta un script que utiliza los recursos del dispositivo para el ciberataque. Y lo peor de todo, un ataque Living off the Land (LotL) puede pasar desapercibido durante mucho tiempo. Sin embargo, es posible prevenir, encontrar y neutralizar estos ataques.
¿Qué es un ataque LotL?
Un ataque LofL es un tipo de ataque sin archivos en el que un hacker usa los programas que ya están en un dispositivo en lugar de usar malware. Este método de usar programas nativos es más sutil y hace que sea menos probable descubrir el ataque.
Algunos programas nativos que los piratas informáticos suelen utilizar para los ataques de LotL incluyen la consola de línea de comandos, PowerShell, la consola de registro de Windows y la línea de comandos del Instrumental de administración de Windows. Los piratas informáticos también utilizan hosts de secuencias de comandos basados en Windows y en consola (WScript.exe y CScript.exe). Las herramientas vienen con cada computadora con Windows y son necesarias para ejecutar tareas administrativas normales.
¿Cómo ocurren los ataques de LotL?
Aunque los ataques de LotL no tienen archivos, los piratas aún confían en trucos familiares de ingeniería social para encontrar a quién apuntar. Muchos ataques ocurren cuando un usuario visita un sitio web no seguro, abre un correo electrónico de phishing o usa una unidad USB infectada. Estos sitios web, correos electrónicos o dispositivos multimedia contienen el kit de ataque que contiene el script sin archivos.
En el proximo etapa de pirateo, el kit escanea los programas del sistema en busca de vulnerabilidades y ejecuta el script para comprometer los programas vulnerables. A partir de aquí, el atacante puede acceder de forma remota a la computadora y robar datos o crear puertas traseras de vulnerabilidad utilizando solo programas del sistema.
Qué hacer si eres víctima de un ataque Living Off the Land
Debido a que los ataques de LotL utilizan programas nativos, es posible que su antivirus no detecte el ataque. Si es un usuario avanzado de Windows o conoce la tecnología, puede usar la auditoría de línea de comandos para detectar a los atacantes y eliminarlos. En este caso, buscará registros de procesos que parezcan sospechosos. Comience con procesos de auditoría con letras y números aleatorios; comandos de administración de usuarios en lugares extraños; ejecuciones de script sospechosas; conexiones a URL o direcciones IP sospechosas; y puertos vulnerables y abiertos.
Apague el wifi
Si confía en el antimalware para la protección de su dispositivo como la mayoría de las personas, es posible que no note que se ha producido daño hasta mucho más tarde. Si tiene evidencia de que ha sido pirateado, lo primero que debe hacer es desconectar su computadora de Internet. De esta forma, el hacker no puede comunicarse con el dispositivo. También debe desconectar el dispositivo infectado de otros dispositivos si es parte de una red más amplia.
Sin embargo, apagar su Wi-Fi y aislar el dispositivo infectado no es suficiente. Así que intente apagar el enrutador y desconectar los cables de ethernet. También es posible que deba apagar el dispositivo mientras hace lo siguiente para administrar el ataque.
Restablecer contraseñas de cuenta
Deberá asumir que sus cuentas en línea se han visto comprometidas y cambiarlas. Hacer esto es importante para prevenir o detener el robo de identidad antes de que el hacker cause daños graves.
Comience cambiando la contraseña de las cuentas que contienen sus activos financieros. Luego, pase a las cuentas de trabajo y redes sociales, especialmente si estas cuentas no tienen Autenticación de dos factores activado. También puede usar un administrador de contraseñas para crear contraseñas seguras. Además, considere habilitar 2FA en su cuenta si la plataforma lo admite.
Retire su unidad y haga una copia de seguridad de sus archivos
Si tiene los conocimientos adecuados, retire el disco duro de la computadora infectada y conéctelo como un disco duro externo a una computadora diferente. Realice un análisis en profundidad del disco duro para encontrar y eliminar cualquier elemento malicioso de la computadora anterior. Luego, proceda a copiar sus archivos importantes a una unidad extraíble diferente y limpia. Si necesita ayuda técnica, no tenga miedo de obtener ayuda.
Limpiar el disco antiguo
Ahora que tiene una copia de seguridad de sus archivos importantes, es hora de limpiar la unidad anterior. Devuelva la unidad antigua a la computadora infectada y realice una limpieza profunda.
Haz una instalación limpia de Windows
Una instalación limpia borra todo en su computadora. Suena como una medida exagerada, pero es necesaria debido a la naturaleza de los ataques de LotL. No hay forma de saber en cuántos programas nativos un atacante ha comprometido u ocultado puertas traseras. La apuesta más segura es limpiar todo y instalación limpia del sistema operativo.
Instalar parches de seguridad
Lo más probable es que el archivo de instalación esté atrasado en lo que respecta a las actualizaciones de seguridad. Entonces, después de instalar un sistema operativo limpio, busque e instale actualizaciones. Además, considere eliminando bloatware—no son malos, pero es fácil olvidarse de ellos hasta que notas que algo está acaparando los recursos de tu sistema.
Cómo prevenir los ataques de LotL
A menos que tengan acceso directo a su computadora, los piratas informáticos aún necesitan una forma de entregar su carga útil. El phishing es la forma más común en que los piratas informáticos encuentran a quién piratear. Otras formas incluyen trucos de bluetooth y ataques man-in-the-middle. De cualquier forma, la carga útil está disfrazada en archivos legítimos, como un archivo de Microsoft Office que contiene scripts ejecutables cortos para evitar la detección. Entonces, ¿cómo se previenen estos ataques?
Mantenga su software actualizado
La carga útil en los ataques de LotL aún depende de las vulnerabilidades en un programa o su sistema operativo para ejecutarse. Configurar su dispositivo y programas para descargar e instalar actualizaciones de seguridad tan pronto como estén disponibles puede convertir la carga útil en un fracaso.
Establecer políticas de restricción de software
Mantener su software actualizado es un buen comienzo, pero el panorama de la ciberseguridad cambia rápidamente. Es posible que pierda una ventana de actualización para sofocar las vulnerabilidades antes de que los atacantes las exploten. Como tal, es mejor restringir la forma en que los programas pueden ejecutar comandos o usar los recursos del sistema en primer lugar.
Aquí tiene dos opciones: incluir programas en la lista negra o en la lista blanca. La inclusión en la lista blanca es cuando otorga acceso a una lista de programas a los recursos del sistema de forma predeterminada. Otros programas existentes y nuevos están restringidos de forma predeterminada. Por el contrario, la lista negra es cuando hace una lista de programas que no pueden acceder a los recursos del sistema. De esta forma, otros programas existentes y nuevos pueden acceder a los recursos del sistema de forma predeterminada. Ambas opciones tienen sus pros y sus contras, por lo que tendrás que decidir cual es mejor para ti.
No hay bala de plata para los ataques cibernéticos
La naturaleza de los ataques de Living off the Land significa que la mayoría de las personas no sabrán que han sido pirateadas hasta que algo salga mal. E incluso si tiene conocimientos técnicos, no hay una forma de saber si un adversario se ha infiltrado en su red. Es mejor evitar los ataques cibernéticos en primer lugar tomando precauciones sensatas.