Expertos HC

Los problemas de ciberseguridad del pasado… lo serán en el futuro

Los cibercriminales no cesan en sus intentos por encontrar nuevas brechas de seguridad en todo tipo de sistemas, ni en su constante cambio de tácticas. ¿Debe entonces el experto asumir que los ataques son inevitables?

Constantes actualizaciones seguridad

La mayoría de vulnerabilidades en el software son una realidad, tal y como ha ilustrado el hecho de que Microsoft ha tapado, durante cada mes de lo que va de año, entre 55 y 110 brechas. Se sabe que entre el 7% y el 17% de ellas eran críticas. Fue precisamente el mes de mayo en el que el gigante tecnológico registró menos de estos incidentes: 55, de las cuales tan sólo cuatro se catalogaron como críticas.

El problema con este tipo de ciberataques más graves es que ya los hemos visto durante bastantes años, como la escalada de privilegios y la ejecución de código arbitrario. Y Microsoft no es la única compañía de renombre que tiene que dedicarse a cubrir brechas en su ciberseguridad. Mensualmente, otras grandes empresas se actualizan para protegerse: Apple, Adobe, Google, Cisco, etc.

No siempre usan técnicas o herramientas ilegales

Con importantes fallos de seguridad en numerosas aplicaciones, ¿hay algo de esperanza para alcanzar un futuro seguro? La respuesta es, por supuesto, que sí. Pero eso no significa que no haya desafíos de por medio. El identificar las vulnerabilidades puede no ser nuevo para quienes llevamos defendiéndonos años, o décadas. Lo preocupante es tener unos adversarios que cambian sus tácticas de ataque continuamente.

De hecho, tampoco es de extrañar que se sirvan de recursos legítimos, para perpetrar sus perversos ciberataques. Además, quizás no sea siempre posible planificarse para combatir estos usos erróneos de ciertas herramientas, cuando una aplicación está siendo creada.

Una táctica de ransomware usual

El 80% de los incidentes en ciberseguridad ha afectado a cuentas confidenciales. En relación con esto, la escalada de privilegios es una gran vulnerabilidad que veremos, cada vez más, cómo es explotada. Una estrategia común en los operadores de ransomware, así como en otros actores de amenaza, es alcanzar privilegios o ventajas elevadas dentro de un sistema.

Con ello podrían acceder a datos comprometidos, a la vez que legitiman sus propias acciones delictivas. Si el ladrón de información posee el mismo acceso que un usuario regular, entonces sus posibilidades de filtrar información confidencial se incrementan. Y si este acceso robado es de Administrador, entonces el obtener datos «sabrosos» es algo casi seguro.

Además de mantener al día el software, el monitoreo del flujo de datos y las iniciativas del modelo de redes Zero Trust son algo clave. Como mínimo, esta «confianza cero» significa que el principio del menor privilegio se aplicará. Por tanto la la autenticación multifactor será requerida, siempre que esté disponible.

Esencialmente, esto asegura que quien no necesita acceso a un sistema o archivo no pueda acceder, pues deben probar que son quienes dicen ser. El monitoreo del flujo de datos igualmente puede ayudar a encontrar una brecha prematuramente, limitando la cantidad de información que pueda ser robada.

El control a distancia

La ejecución de control arbitrario -RCE en inglés- no es un ataque que vaya a desaparecer pronto. Estos ataques implicaban el 27% de total en 2020, un 7% más que en 2019. Si un «cracker» puede encontrar una forma de hacer funcionar un código arbitrario en tu sistema y a distancia, tendrá mucho más control que si simplemente obtuviese un usuario, para instalar malware con funciones predefinidas y sin ser consciente de ello.

Si el cracker puede utilizar este código arbitrario remoto, entonces gana la posibilidad de mudar el sistema e incluso la red. Así se adaptarían y podrían variar tácticas y objetivos, en función de lo que se encontrasen. Para ello, el monitoreo de comportamiento es de las mejores armas que ayudan a detectar los RCE en tus sistemas.

Si una aplicación comienza a obedecer comandos y a dar vueltas a procesos ajenos a su funcionamiento corriente, podrían frenar un ataque que está en sus comienzos. Pero el hecho de que este tipo de ciberataque sea tan común obliga que mantengas parches de seguridad actualizados, para frenarla mayoría de hostilidades antes de que se materialicen.

¿Pero quién necesita el malware?

Una forma de atacar que gusta mucho hoy es mediante procesos legítimos y aplicaciones de confianza, para llegar a metas perversas. Estas amenazas sin registro previo pueden ser complicadas de detectar, pues no implican la instalación de un malware. Una de las «apps» que más se explota de esta maliciosa forma es PowerShell. Si uno atiende a que esta es de las más eficientes a la hora de codificar y utilizar comandos de sistemas, entonces tiene todo el sentido del mundo.

Es otro ejemplo de que el monitoreo de aplicaciones y procesos puede implicar que se identifique un ataque de manera temprana. ¿De verdad necesita PowerShell desactivar características de seguridad? Pues en la mayoría de casos, probablemente no. Se pueden monitorear comportamientos como este, incluso en aplicaciones de confianza como la recién nombrada. Combina esto con la IA y con «Advanced Machine Learning», y comenzará a rastrear actitudes comunes en tu red, con respuestas automatizadas ante acciones extrañas.

Debes de ponerte en marcha

Mientras que los tipos de ataques más usuales podrían no cambiar demasiado, toda variación en códigos o aplicaciones implica que puedan aparecer nuevas vulnerabilidades. No quiere decir que debamos rendirnos, y simplemente dejar que el enemigo venza. Significa que ahora es el momento de doblar nuestros esfuerzos y frustrar sus intentos.

Debes implementar una estrategia de gestión de parches, monitorear la red, utilizar detección de comportamientos, y por supuesto evitar la complacencia. El hecho de que los principales proveedores de software estén constantemente remendando brechas críticas es en realidad positivo, pues aunque los «crackers» no se den por vencido nosotros tampoco.

*Escrito y publicado originalmente en The Hacker News.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.