Los nuevos vectores de infección, así como las motivaciones político-económicas, dieron lugar a la aparición de Amenazas Persistentes Avanzadas (APT), mediante la explotación del Internet de las Cosas (IoT), entre otras vías.
En 2018, Symantec señaló que routers y cámaras de seguridad fueron los dispositivos más infectados, 75% y 15% respectivamente. El atractivo de estos equipos reside en el hecho de ir adquiriendo gradualmente, y mediante un perfil de bajo acceso, a recursos de las empresas. Se inicia por la infraestructura hasta que gradualmente se llega a datos de los empleados, propiedad intelectual y toma total del sitio.
La ejecución de una ATP requiere más recursos que un ataque web estándar y grupos de colaboradores con un amplio respaldo económico muy bien financiado.
Un ataque exitoso de APT puede ser dividido en tres etapas:
Todo este proceso puede ser tan sigiloso que puede no ser detectado o incluso pueden pasar días o meses antes de darse cuenta de que se encuentran comprometidos en un ataque.
Frecuentemente ocurre a través del compromiso de uno de los siguientes medios: activos web, recursos de red o usuarios humanos autorizados.
Para lograr el cometido se utilizan amenazas como ingeniería social o inyección SQL, respaldada por una distracción, como un ataque DDoS, por ejemplo.
Una vez dentro, se instala de manera rápida el software que funja como puerta trasera (backdoor shell) para el permiso de acceso remoto, imitando ser partes legítimas de software.
Una vez establecido el punto de apoyo, se comienza a ascender en la jerarquía organizacional, comprometiendo cada vez más información sensible y de productos, así como datos de empleados y registros financieros.
Dependiendo del objetivo final del ataque, los datos acumulados pueden servir para venderse a empresas competidoras, sabotaje, debilitación o derribo de la empresa. Esto se puede traducir en borrar bases de datos, interrupción del servicio, etc.
Mientras el ataque está en marcha, generalmente la información se almacena en un lugar dentro de la red comprometida, una vez que ésta se acumula, debe ser extraída sin ser detectada.
Las tácticas de ruido blanco se usan para distraer el equipo y facilitar la extracción, lo cual puede ser traducido nuevamente en un ataque DDoS.
En 2018 el promedio de tiempo que tardó en ser detectado en el continente americano un incidente de este tipo fue de 71 días, reporta FireEye. Por lo tanto, es imperativo contar con una gestión adecuada de prevención, monitoreo, detección y mitigación de incidentes, además de informar y concientizar a los usuarios de prácticas comunes en la protección de la información y los medios más expuestos.
En resumen, es la gestión y cultura informática de prevención como organización una necesidad de primer nivel en la prevención de incidentes de seguridad.
En Data Warden contamos con la experiencia para trabajar de manera conjunta en el cometido de determinar cuáles son sus necesidades particulares como negocio, a fin de gestionar las mejores prácticas y tomar las acciones necesarias para reducir el riesgo de incidentes que pudieran comprometerlo.