El ciberdelito es un negocio muy lucrativo y ha propiciado una gran industria formada por diversas organizaciones de ciberdelincuentes altamente organizados, bastante capacitados y en algunos casos muy bien financiados.
Algunas de estas organizaciones son tan sofisticadas como las empresas de TI más avanzadas, y se mueven con la misma rapidez a la hora de adoptar las últimas innovaciones tecnológicas, desde la inteligencia artificial hasta la computación en la nube.
Incluso tiene sus jerarquías y roles dentro de la organización.
Atrás quedaron los tiempos de los tipos solitarios con su BlackArch Linux o Kali Linux, trabajando en un lúgubre sótano equipados con la imprescindible sudadera con capucha.
Aunque imagino que todavía debe quedar alguno.
Reconocimiento.
Antes de perpetrar sus fechorías, los villanos invierten tiempo en analizar a sus objetivos.
Su pretensión es conocer la red, incluso mejor que las personas que la administran y la mantienen.
También les interesa el funcionamiento general de la empresa.
Se concentran en aspectos de la seguridad de las tecnologías, y estudian sus debilidades para utilizar cualquier vulnerabilidad a su favor.
Pueden estudiar la red de una empresa, y las vulnerabilidades del sistema, recopilando tanta información como sea posible, incluidos rangos de red, direcciones IP, nombres de empleados, empresas de proveedores, números de teléfono etc.
Pero lo que más les interesa son las direcciones de correo electrónico y los datos tanto profesionales como personales de los individuos que ocupan puestos clave en una organización.
Estos, muchas veces, suelen estar disponibles en sitios de redes sociales como LinkedIn, lo que abre la puerta a posibles ataques de phishing dirigido.
Invitar a copas a un empleado hasta lograr que pille un buen colocón, no es un método demasiado sofisticado, pero a veces también sirve para obtener información.
Aunque parezca mentira, algunos pueden llegar a hurgar en la basura en busca de facturas u otros documentos.
La etapa de reconocimiento puede considerarse la más importante y requiere paciencia y tiempo, desde semanas hasta varios meses.
Acceso.
Una vez finalizada su investigación, los piratas informáticos eligen la mejor forma de entrar en un sistema.
Pueden usar crackeadores de contraseñas o herramientas de explotación de vulnerabilidades para las que había un parche disponible, pero que por el motivo que sea no se aplicó.
También escáneres de puertos que permiten detectar, entre otras cosas, los servidores y servicios disponibles en una red, los sistemas operativos y cortafuegos instalados en cada ordenador, etc.
Si a una persona no autorizada se le permite acceder físicamente a las instalaciones de la empresa, podría instalar un registrador de teclas de hardware que puede funcionar sin ser detectado.
En algunos casos, el pirata informático puede recopilar la información proporcionada por el keylogger a través de wifi.
De esta manera, no tiene que volver a tener acceso físico al terminal pirateado, para recoger el dispositivo y extraer los datos.
Otra opción menos común, es dejar abandonada en el aparcamiento del edificio, una memoria USB debidamente troyanizada, con la esperanza de que algún empleado curioso la ejecute en su terminal.
Pero muchas veces, no se complican tanto la vida y les basta con engañar a la víctima mediante ingeniería social para que les facilite la información necesaria, o ejecute un script malicioso que luego infecte la red de la empresa.
El método más usual son los correos electrónicos de phishing dirigido.
A diferencia del phishing tradicional, estos correos están destinados a personas en concreto y la mayoría de veces cuentan con un alto grado de personalización.
Las mayores señales de advertencia de este tipo de ataque suelen ser correos electrónicos de apariencia legítima que solicitan a los destinatarios llevar a cabo algún tipo de acción, como cambiar la contraseña de acceso a una red corporativa, o descargar una nueva herramienta.
Más del 92 por ciento del malware se envía por correo electrónico insertado en archivos adjuntos o en forma de enlaces maliciosos.
Los ataques de Typosquatting también están ganando popularidad.
Se trata de un tipo de ingeniería social mediante el cual los delincuentes registran nombres de dominio similares a los dominios legítimos de entidades de confianza con la esperanza de engañar a las víctimas.
Tan pronto como el usuario visita el sitio, se descarga código malicioso capaz de infectar su ordenador, y en el caso de terminales corporativos, toda la red de la empresa.
Los sitios falsos también sirven para que las víctimas inicien sesión en algún servicio en línea pensando que se trata del auténtico, lo que les da a los villanos acceso a sus credenciales.
Penetración, Explotación y Robo de datos
Una vez que los piratas informáticos obtienen acceso a un punto final, utilizan el dispositivo comprometido para escalar privilegios e infiltrarse en otros dispositivos de la red, para moverse lateralmente en busca de información relevante.
Al hacerse pasar por un usuario autorizado, es muy difícil detectar al intruso en esta fase.
Y en este sentido, también ayuda mucho el hecho de que algunos profesionales acostumbran a conectarse a la red de una empresa usando sus dispositivos personales.
Por lo tanto, en una organización con muchos empleados, y una alta rotación de personal, resulta bastante complicado para los administradores de TI saber exactamente quien está pululando por la red.
Una vez dentro, pueden plantar una herramienta de acceso remoto (RAT) e irse.
Este tipo de malware les permite poder controlar el sistema de forma remota, robar todo tipo de información, e incluso crear una puerta trasera para eliminar o modificar archivos, ejecutar programas, enviar correos o instalar herramientas maliciosas.
Y es posible que pasen meses o incluso años desde la brecha hasta la contención.
Si bien los piratas informáticos tienen muchos motivos para violar una red, la mayoría de las veces buscan información que puedan monetizar rápidamente en el mercado negro.
- Datos confidenciales de la empresa y sus clientes.
- Credenciales de identificación personal.
- Números de tarjetas de crédito y datos de facturación.
- Cuentas bancarias.
- Bases de datos.
- Nombres de usuario y contraseñas de correo electrónico.
También pueden bloquear el sistema, o los archivos mediante cifrado, y posteriormente exigir el pago de un rescate, normalmente en una moneda virtual como Bitcoins, a cambio de la clave privada para poder descifrarlos.
Lamentablemente, muchas empresas, que no han tenido la precaución de hacer una copia de seguridad de sus datos, acostumbran a pagar para recuperar sus archivos y no denuncian los hechos para no perder la confianza de sus clientes.
Conclusión
Las grandes corporaciones y los servidores que almacenan información valiosa, suelen ser los objetivos preferidos de los ciberdelincuentes.
Obviamente, tienen que rentabilizar el tiempo y los recursos invertidos
Pero, en realidad, nadie está a salvo, ni siquiera los usuarios domésticos, ya que todo tiene un mercado.
