El ciberdelito es un negocio muy lucrativo y ha propiciado una gran industria formada por diversas organizaciones de ciberdelincuentes altamente organizados, bastante capacitados y en algunos casos muy bien financiados.
Algunas de estas organizaciones son tan sofisticadas como las empresas de TI más avanzadas, y se mueven con la misma rapidez a la hora de adoptar las últimas innovaciones tecnológicas, desde la inteligencia artificial hasta la computación en la nube.
Incluso tiene sus jerarquías y roles dentro de la organización.
Atrás quedaron los tiempos de los tipos solitarios con su BlackArch Linux o Kali Linux, trabajando en un lúgubre sótano equipados con la imprescindible sudadera con capucha.
Aunque imagino que todavía debe quedar alguno.
Reconocimiento.
Antes de perpetrar sus fechorías, los villanos invierten tiempo en analizar a sus objetivos.
Su pretensión es conocer la red, incluso mejor que las personas que la administran y la mantienen.
También les interesa el funcionamiento general de la empresa.
Se concentran en aspectos de la seguridad de las tecnologías, y estudian sus debilidades para utilizar cualquier vulnerabilidad a su favor.
Pueden estudiar la red de una empresa, y las vulnerabilidades del sistema, recopilando tanta información como sea posible, incluidos rangos de red, direcciones IP, nombres de empleados, empresas de proveedores, números de teléfono, etc.
Pero lo que más les interesa son las direcciones de correo electrónico y los datos tanto profesionales como personales de los individuos que ocupan puestos clave en una organización.
Estos, muchas veces, suelen estar disponibles en sitios de redes sociales como LinkedIn, lo que abre la puerta a posibles ataques de phishing dirigido.
Invitar a copas a un empleado hasta lograr que pille un buen colocón, no es un método demasiado sofisticado, pero a veces también sirve para obtener información.
Aunque parezca mentira, algunos pueden llegar a hurgar en la basura en busca de facturas u otros documentos.
La etapa de reconocimiento puede considerarse la más importante y requiere paciencia y tiempo, desde semanas hasta varios meses.
Acceso.
Una vez finalizada su investigación, los piratas informáticos eligen la mejor forma de entrar en un sistema.
Pueden usar crackeadores de contraseñas o herramientas de explotación de vulnerabilidades para las que había un parche disponible, pero que por el motivo que sea no se aplicó.
También escáneres de puertos que permiten detectar, entre otras cosas, los servidores y servicios disponibles en una red, los sistemas operativos y cortafuegos instalados en cada ordenador, etc.
Si a una persona no autorizada se le permite acceder físicamente a las instalaciones de la empresa, podría instalar un registrador de teclas de hardware que puede funcionar sin ser detectado.
Otra opción menos común, es dejar abandonada en el aparcamiento del edificio, una memoria USB debidamente troyanizada, con la esperanza de que algún empleado curioso la ejecute en su terminal.
Pero muchas veces, no se complican tanto la vida y les basta con engañar a la víctima mediante ingeniería social para que les facilite la información necesaria, o ejecute un script malicioso que luego infecte la red de la empresa.
El método más usual es el phishing dirigido en todas sus variantes.
A diferencia del phishing tradicional, estos correos o llamadas telefónicas están destinados a personas en concreto y la mayoría de veces cuentan con un alto grado de personalización.
Las mayores señales de advertencia de este tipo de ataque suelen ser correos electrónicos de apariencia legítima que solicitan a los destinatarios llevar a cabo algún tipo de acción, como cambiar la contraseña de acceso a una red corporativa, o descargar una nueva herramienta.
Más del 92 por ciento del malware se envía por correo electrónico insertado en archivos adjuntos o en forma de enlaces maliciosos.
Inteligencia artificial
Si bien la inteligencia artificial puede ser una herramienta bastante útil para la ciberdefensa, también se puede utilizar para perpetrar ciberataques.
Los villanos pueden servirse de esta tecnología para moverse más rápidamente con el fin de explotar las vulnerabilidades.
Con frecuencia, esto implica ataques automatizados de phishing, y malware que se automodifica para engañar o incluso derrotar los sistemas y programas de defensa.
También se puede desarrollar código malicioso mediante el uso de programas como ChatGPT y otras herramientas que se encuentran en la Dark Web o incluso en fuentes abiertas.
Las instituciones de salud, y en particular, las pequeñas empresas que no pueden permitirse grandes inversiones en ciberseguridad defensiva, son los objetivos principales.
Malware polimórfico.
El «polimorfismo» se utiliza para evadir la detección de coincidencia de patrones en la que se basan las soluciones de seguridad, como el software antivirus.
Si bien ciertas características del malware polimórfico cambian, su propósito funcional sigue siendo el mismo.
Actualmente, está siendo compartido con mayor frecuencia por grupos de piratería, y podría convertirse en un problema, ya que puede eludir la autenticación de dos factores y otros procedimientos de seguridad de autenticación.
Penetración, Explotación y Robo de datos
Una vez que los piratas informáticos obtienen acceso a un punto final, utilizan el terminal o el dispositivo comprometido para escalar privilegios e infiltrarse en la red, con el fin de moverse lateralmente en busca de información relevante.
En este sentido, ayuda mucho el hecho de que algunos profesionales acostumbran a conectarse a la red de una empresa usando sus dispositivos personales.
Por lo tanto, en una organización con muchos empleados, y una alta rotación de personal, resulta bastante complicado para los administradores de TI saber exactamente quien está pululando por la red.
Una vez dentro, pueden plantar una herramienta de acceso remoto (RAT) e irse.
Este tipo de malware les permite poder controlar el sistema de forma remota, robar todo tipo de información, e incluso crear una puerta trasera para eliminar o modificar archivos, ejecutar programas, enviar correos o instalar herramientas maliciosas.
Y es posible que pasen meses o incluso años desde la brecha hasta la contención.
Si bien los piratas informáticos tienen muchos motivos para violar una red, la mayoría de las veces buscan información que puedan monetizar rápidamente en el mercado negro.
- Datos confidenciales de la empresa y sus clientes.
- Credenciales de identificación personal.
- Números de tarjetas de crédito y datos de facturación.
- Cuentas bancarias.
- Bases de datos.
- Nombres de usuario y contraseñas de correo electrónico.
También pueden bloquear el sistema, o los archivos mediante cifrado, y posteriormente exigir el pago de un rescate, normalmente en una moneda virtual como Bitcoins, a cambio de la clave privada para poder descifrarlos.
Lamentablemente, muchas empresas, que no han tenido la precaución de hacer una copia de seguridad de sus datos, acostumbran a pagar para recuperar sus archivos y no denuncian los hechos para no perder la confianza de sus clientes.
Conclusión
Las grandes corporaciones y los servidores que almacenan información valiosa, suelen ser los objetivos preferidos de los ciberdelincuentes.
Obviamente, tienen que rentabilizar el tiempo y los recursos invertidos
Pero, en realidad, nadie está a salvo, ni siquiera los usuarios domésticos, ya que todo tiene un mercado.
