Los siete pasos de un ciberataque
Cuando se producen ciberataques en el cine y la televisión, a menudo son espectaculares. Pero la realidad es bien distinta. Los ciberdelincuentes rara vez irrumpen con fuerza. A menudo atacan en silencio, recopilando información y viendo qué pueden conseguir antes de elegir el momento oportuno para atacar.
Se tarda 277 días de media en identificar y contener una violación de datos. Es mucho tiempo para observar y esperar. Siga leyendo para saber cómo se desarrolla un ataque y vea algunos ejemplos reales de estos pasos en acción.
Cómo se produce un ciberataque común
Los profesionales de ciberseguridad a menudo usan un modelo de siete pasos llamado Cyber Kill Chain (presentado por primera vez por Lockheed Martin Corp.) para describir las etapas de un ataque. Así es como suele ser cada etapa, aunque algunos ataques no siguen este patrón.
- Reconocimiento
Los asaltantes establecen la infraestructura (herramientas, tácticas, etc.) necesaria para el ataque. Este establecimiento puede implicar el uso de un kit de «phishing», analizar los sistemas de la entidad objetivo en busca de vulnerabilidades, encontrar objetivos de alto valor dentro de la organización, recoger información de los empleados a partir de las redes sociales y reunir otra información sobre la organización. En esta etapa también pueden «comprar» en la web oscura credenciales empresariales filtradas. - Preparación
Los atacantes crean su vector de ataque y su carga útil, por ejemplo, software malicioso, para cosechar credenciales o aprovechar una vulnerabilidad. - Distribución
Los adversarios lanzan el ataque. Dicho ataque podría realizarse mediante un correo electrónico de «phishing» con un enlace malicioso para robar credenciales o mediante un correo electrónico con un archivo adjunto de software malicioso. El atacante también podría entrar en un sistema o una red privada virtual (VPN). - Explotación
Una vez dentro, los atacantes buscan debilidades adicionales para aprovecharlas. Pueden aumentar los privilegios accediendo a más claves de inicio de sesión, mapear el entorno o comprometer nuevos sistemas. - Instalación
Los atacantes establecen la base de su control instalando más software malicioso, troyanos de acceso a distancia y puertas traseras. - Comando y control (C2)
El establecimiento de una conexión C2 permite a los atacantes controlar el sistema o la identidad a distancia para distribuir más instrucciones, ampliar el acceso y fundamentar nuevos accesos para futuras intrusiones. - Acciones
En esta etapa final, los intrusos llevan a cabo sus objetivos. Por ejemplo, si su objetivo es robar datos, es posible que comiencen a recogerlos en un servidor de prueba y luego los extraigan.
«Nuestras herramientas más sólidas son nuestra reputación y nuestras relaciones. Una violación podría significar más que una brecha de seguridad: podría eliminar la confianza que nuestra marca ha trabajado tan duro para construir».
Chelsea Richardson
Directora y vicepresidenta de JD+A
Ciberataques reales que involucran credenciales comprometidas
Uber (septiembre de 2022)
Un pirata informático que afirmaba tener 18 años obtuvo acceso a varios sistemas críticos de Uber, incluidos el correo electrónico, Slack y el código fuente. El atacante usó las credenciales de un contratista, probablemente obtenidas en la Dark Web, junto con ingeniería social, para engañar a la persona para que aprobara una solicitud de autenticación de dos factores (2FA). Aunque el impacto total del ataque no se conocerá hasta dentro de algún tiempo, la reputación de Uber se ha visto afectada, especialmente porque no es la primera vez que los sistemas de la compañía se ven comprometidos.
SolarWinds (diciembre de 2020)
Un sofisticado ataque a la cadena de suministro que comprometió la seguridad de docenas de organizaciones gubernamentales y del sector privado comenzó con el inicio de un ataque de piratas informáticos que obtuvieron acceso al código de software de SolarWinds. El punto de acceso inicial se atribuyó a un interno que usó la contraseña solarwinds123, que los atacantes probablemente obtuvieron en la Dark Web. Los atacantes, que no fueron detectados durante meses, insertaron código malicioso en una de las actualizaciones de software de SolarWinds, dándoles acceso a compañías de alto perfil y a agencias gubernamentales de Estados Unidos.
Twitter (julio de 2020)
Un grupo de piratas informáticos aficionados, liderados por un genio de 17 años, se valió de ingeniería social para engañar a empleados de Twitter para que revelaran sus credenciales de inicio de sesión. Se hicieron con el control de una herramienta de asistencia interna de la plataforma de medios sociales y se apoderaron de más de 130 cuentas, entre ellas las de personas de alto perfil como Elon Musk, Barack Obama, Bill Gates y Kanye West. Los hackers tuitearon una serie de mensajes promocionando un esquema de Bitcoin, dañando la reputación de Twitter.
Ninguna organización está 100 % segura frente a un ciberataque. Pero cuanto más eduque a sus empleados sobre lo que deben tener en cuenta y cómo practicar hábitos seguros con las contraseñas, mejor preparado estará contra métodos y ataques comunes como estos.
¿Quiere obtener más información sobre las mejores prácticas de seguridad de contraseñas? Nuestra documentación técnica introductoria sobre administración de contraseñas contiene la información que necesita.
Regístrese para recibir noticias y actualizaciones acerca de Dashlane