
¡Pensando como hacker!
Hace ya una década, el columnista Roger A. Grimes comentó lo siguiente:
Los asesores profesionales me preguntan a menudo qué rasgo ayudaría
más a destacar a un profesional de seguridad informática.
Mi respuesta es siempre la misma: piensa como un hacker.
Sin embargo, inmediatamente aclaró que no se refería
a hackers maliciosos (black-hat),
sino a personas capaces de idear formas de penetrar en cualquier sistema
informático sin incurrir en actividades ilegales (white-hat hackers).
No obstante, podríamos suponer que solo las motivaciones
y los objetivos finales pueden diferenciar a ambos grupos.
“Mirando los sistemas a través de los ojos de un hacker,
se pueden identificar mejor los puntos débiles y crear defensas.
Los mejores antihackers son los mismos hackers“, afirma Grimes.
(De hecho, este es el núcleo de Fluid Attacks,
que emplea hackers éticos en el nombre
de la ciberseguridad de las empresas clientes).
Relativo a dichas observaciones, esta vez,
tomé como referencia principal para este artículo del
blog la investigación realizada por Esteves, Ramalho y de Haro,
publicada en 2017 en
el MIT Sloan Management Review.
Básicamente, encuestaron a 23 hackers expertos y,
a partir de los datos recogidos,
crearon un marco para ayudar a las organizaciones a responder
a las amenazas de ciberataques.
Veamos qué podríamos extraer de su artículo y de otras fuentes.
Hoy en día, debemos saber que una buena lucha contra
los riesgos de ciberseguridad requiere que,
dentro de las empresas afectadas,
todos los implicados comprendan los rasgos,
las estrategias y la mentalidad de quienes pueden convertirse en intrusos.
Todos estos responsables deben mantener una postura abierta
y flexible para ver a los atacantes
y los problemas desde diversos ángulos.
Entre las primeras características de los hackers
(tanto de sombrero negro como de sombrero blanco)
mencionadas por los autores referenciados,
tenemos su alta capacidad intelectual,
sus conocimientos de apoyo en informática y su tendencia
a disfrutar correr riesgos.
En lo que respecta específicamente a los hackers maliciosos,
a menudo se sienten atraídos por la idea de ganar miles
o millones de dólares con sus ciberataques.
Estos ataques pueden dirigirse fácilmente a personas
u organizaciones considerablemente alejadas de sus lugares de acción.
Hoy en día, a diferencia del pasado,
estos delincuentes trabajan en grupo,
lo que sin duda los hace más fuertes.
Cada individuo puede contribuir al equipo con sus conocimientos
y especialidades particulares.
Mentalidad y acciones de hackers
Pensar como el atacante es actuar de forma preventiva.
Es querer anticiparse a lo que el delincuente puede hacer
con tus sistemas y activos de información para reducir los riesgos.
Para este fin,
es bastante útil conocer las mentalidades o conjuntos
de actitudes que se atribuyen a los hackers.
(Pero, de nuevo, estas tendencias básicas, lejos de las malas intenciones,
también pueden atribuirse a los hackers éticos,
que son quienes mejor pueden entender a los actores amenazantes).
Precisamente,
Esteves y sus colegas nos ofrecen dos actitudes asociadas
a los hackers en un ataque: explorativa y explotadora.
Cuando un ataque está empezando,
“los hackers suelen utilizar una mentalidad de exploración
que combina el pensamiento deliberado e intuitivo
y se basa en la experimentación intensiva. […]
Una vez conseguido el acceso a un sistema,
los hackers recurren a una mentalidad de explotación
para alcanzar sus objetivos” (p. ej., el robo de información).
Vinculados a estos dos conjuntos de actitudes anteriores,
los investigadores se remiten a cuatro pasos
que los hackers suelen seguir en sus ataques.
Dos pasos de exploración: (1) identificación de vulnerabilidades
y (2) escaneo y pruebas.
Dos etapas de explotación: (3) obtener acceso y (4) mantener el acceso.
En el primer paso (identificación de vulnerabilidades),
los hackers suelen demostrar paciencia y determinación,
además de astucia y curiosidad.
Una vez elegida, digamos, una empresa como objetivo,
examinan minuciosamente los sistemas en búsqueda de vulnerabilidades.
Recopilan tantos datos como les es posible
(técnica de footprinting).
Como nuestro jefe de equipo ofensivo
Andres Roldan mencionó
una vez en una presentación, los hackers (incluidos los éticos) obtienen,
por ejemplo, detalles técnicos del objetivo,
limitaciones técnicas y listas de posibles controles y datos.
Al detectar muchos de las fallas de seguridad disponibles
para la explotación, el error humano a menudo también aparece
en la mira de los hackers.
El acceso a los sistemas puede facilitarse mediante una comunicación
engañosa con personas internas de la empresa,
que pueden entregar credenciales a los atacantes sin saberlo.
Asimismo,
características como las habilidades sociales
y persuasivas también destacan en algunos hackers.
En el segundo paso (escaneo y pruebas),
los hackers se empeñan en progresar.
Su avance con accesos no autorizados puede verse facilitado
por las vulnerabilidades que detectan con herramientas
de escaneo en las aplicaciones de los sistemas.
Estas fallas, aunque sean pequeñas,
pueden contribuir a que se abra una brecha incluso mayor.
En el tercer paso (obtener acceso),
los hackers entran en el sistema tras haber definido
las posibles rutas de vulnerabilidad a seguir o explotar.
Como dijo Roldán en su presentación,
los hackers pueden utilizar vulnerabilidades públicas
o crear las sus propias.
Pueden abusar de las fallas de autorización,
descifrar credenciales y obtener acceso de tipo administrador.
A partir de ahí, extraen toda la información posible,
abusan de privilegios y acceden a otros dominios con movimiento lateral.
Después, según los autores, en el último paso (mantener el acceso),
“los hackers intentan conservar la titularidad del sistema
y el acceso para futuros ataques mientras pasan desapercibidos”.
En esta fase,
es habitual que los hackers borren rastros
y evidencia para evitar ser detectados.
¿Cómo nos puede ayudar todo esto?
Todo esto es sólo un resumen.
Descubrir a grandes rasgos cómo piensa y actúa un hacker,
descubrir sus patrones de comportamiento,
por ejemplo, estudiando ataques que ya se han producido
o viéndoles atacar (a hackers éticos, por supuesto),
puede ayudar a educar a tu empresa increíblemente
en materia de ciberseguridad.
Puede ayudar especialmente a tus ingenieros
y desarrolladores a generar planes,
prepararse para posibles eventos futuros y reducir riesgos.
A partir del trabajo de Esteves y sus colegas,
puedes seguir varias recomendaciones.
En primer lugar, intenta conseguir personas especializadas,
con suerte ya cualificadas como hackers,
para que se unan a tu plantilla o trabajen como externos que,
además de evaluar tus sistemas, ayuden a entrenar a otros
de tus empleados desde un punto de vista ofensivo.
Por ejemplo,
algunas organizaciones han invitado a hackers a infiltrarse
en su software y descubrir vulnerabilidades a cambio de recompensas
y reconocimiento (bug bounties).
Además, desde hace tiempo,
algunos hackers de sombrero negro han empezado a cambiar de bando.
Son reclutados y contratados para trabajar de forma ética,
incluso en las empresas a las que dirigieron los ataques.
Busca formas de hacer footprinting en tu empresa con regularidad,
y revisa tus sistemas y sus puntos débiles con lupa.
Procura educar a tus empleados sobre tus políticas de tratamiento
de datos y las técnicas que los hackers malintencionados
podrían utilizar para engañarlos.
Realiza pruebas de penetración en tus aplicaciones con la ayuda
de tus expertos y de empresas como Fluid Attacks para averiguar
hasta dónde podrían llegar los ciberdelincuentes en tus sistemas y por qué.
Vigila todas las rutas posibles para cerrarlas o bloquearlas cuanto antes.
Por último, permanece atento a cualquier evento sospechoso
y asegúrate que tus sistemas de control y monitoreo estén actualizados.
Si quieres empezar a sumergirte en las ideas y formas de pensar
de los hackers o ampliar tu espectro en este sentido,
te invito a que eches un vistazo a nuestros artículos
(1.0,
2.0, 3.0,
4.0, 5.0)
basados en el libro Tribe of Hackers Red Team
de Carey y Jin (2019).
Uno de los pasos más importantes para no sufrir
un ataque de ciberseguridad es comprender a tu adversario;
las técnicas que utiliza, el malware que utiliza,
su objetivo y las vulnerabilidades que te ponen en mayor riesgo.
—Threatpost
*** This is a Security Bloggers Network syndicated blog from Fluid Attacks RSS Feed authored by Felipe Ruiz. Read the original post at: https://fluidattacks.com/es/blog/pensando-como-hacker/