Conceptos Clave de Ciberseguridad: Malware, Amenazas APT y Fases de Ataque

Ingeniería informática, , ,

Amenazas de Seguridad Cibernética Actuales

¿Qué amenazas de seguridad preocupan más en la actualidad?

Las amenazas que más preocupan actualmente incluyen:

  • Kits de exploits (exploit kits)
  • Spam
  • Malware
  • Brechas de datos (Data breaches)
  • Ciberespionaje (Cyber espionage)
  • Ransomware
  • Fuga de información (Information leakage)

Específicamente en el ámbito empresarial, las mayores preocupaciones son la denegación de servicio y las brechas de datos.

Conceptos Fundamentales de Malware

Explica brevemente qué es el malware, qué tipos de malware hay y qué mecanismos distinguen a unos de otros.

El malware (software malicioso) es un software o fragmento de código que se hace pasar por una aplicación normal o se incluye dentro de alguna de ellas.

Los tipos de malware que existen son:

Virus
Malware tradicional, un fragmento de código que no es autónomo y necesita estar alojado en algún sitio. Requiere de intervención humana para propagarse.
Worm (Gusano)
Software autónomo que no necesita alojarse en otro sitio. Tiene la capacidad de propagarse a través de la red sin necesidad de intervención humana. Se aprovecha de vulnerabilidades de las aplicaciones o del Sistema Operativo (SO).
Troyano
También es autónomo, pero suele camuflarse dentro de otro software o aplicación. Su principal objetivo es ocultarse y proporcionar acceso no autorizado al sistema infectado. La mayoría de las veces incorporan spyware.
Spyware
Su función es espiar al usuario. Incorpora herramientas como keyloggers o grabadores de escritorio.
Ransomware
Encripta archivos del sistema infectado para chantajear a su propietario si los quiere recuperar.
Adware
Su funcionalidad es mostrar publicidad no deseada.
Rootkit
Es el malware más peligroso por su potencial impacto y su dificultad para ser detectado. Proporciona máximos privilegios a un usuario en un sistema, lo que le permite controlar el hardware y el SO.

Amenazas Persistentes Avanzadas (APT) y Pilares de Seguridad

¿Qué significa el acrónimo APT? ¿Qué tipo de amenaza es y qué la caracteriza?

APT significa Advanced Persistent Threat (Amenaza Persistente Avanzada). Se refiere a campañas de ataque dirigido que son:

  • Persistente: Perdura en el tiempo hasta que tiene éxito.
  • Avanzada: Implica recursos significativos (a menudo patrocinados por un gobierno o una gran corporación).

No es puramente un tipo de malware, aunque a veces se usa el término. Un factor clave es la Atribución (identificar quién está detrás).

¿A qué pilar de la seguridad amenaza una brecha de datos? ¿Y una denegación de servicio?

Los pilares fundamentales de la seguridad son la Confidencialidad, la Integridad y la Disponibilidad (C.I.D.):

  • Una brecha de datos amenaza la Confidencialidad.
  • Una denegación de servicio (DoS) amenaza la Disponibilidad.

Modelo de Amenazas STRIDE

¿Qué es STRIDE y para qué sirve? Explica este modelo brevemente.

STRIDE es un modelo de clasificación de amenazas propuesto por Microsoft, ampliamente utilizado para identificar y categorizar riesgos de seguridad en sistemas y aplicaciones.

Spoofing (Suplantación)
Suplantación de identidad. Afecta a la autenticación y a todos los pilares de la seguridad.
Tampering (Manipulación)
Manipulación de datos. Afecta a la Integridad.
Repudiation (Repudio)
Negación de haber realizado una acción. Afecta al No Repudio.
Information disclosure (Divulgación de Información)
Filtración de información sensible. Afecta a la Confidencialidad.
Denial of service (Denegación de Servicio)
Impedir el acceso a recursos. Afecta a la Disponibilidad.
Elevation of privilege (Escalado de Privilegios)
Obtención de permisos superiores a los asignados. Afecta al Control de Acceso.

Clasificación de Atacantes Cibernéticos

¿Qué tipos de atacantes o adversarios se distinguen en la actualidad?

Black Hat Hacker / Cibercriminales / Delincuentes
Atacantes que se aprovechan de las vulnerabilidades de los sistemas con fines maliciosos, vulnerando la ley. Tienen altos conocimientos y no revelan las vulnerabilidades descubiertas a los administradores debido a sus malas intenciones.
White Hat Hacker (Hackers Éticos)
Atacantes que informan siempre de las vulnerabilidades descubiertas e incluso colaboran en su subsanación.
Script Kiddies
Atacantes aficionados, sin suficiente nivel de conocimientos técnicos, que usan herramientas automáticas y recetas cuyo funcionamiento y consecuencias desconocen.
Crackers
Atacantes que se centran en romper sistemas criptográficos, poseyendo altos conocimientos matemáticos y algorítmicos.

También distinguimos hacktivistas, ciberterroristas, phreakers, scammers, militares, corporate-sponsored o state-sponsored (patrocinados por corporaciones o estados).

Ciclo de Vida de un Ataque Cibernético

¿Por qué fases atraviesa un ataque a la seguridad? Explica brevemente cada una de ellas.

  1. Recogida de Información (Reconocimiento)

    Consiste en conocer al objetivo y realizar un estudio en profundidad sobre la información disponible en los medios públicos necesaria para diseñar el ataque. Para ello se suele recurrir a consultar e investigar los metadatos de la documentación públicamente accesible.

  2. Construcción

    Diseño y desarrollo del ataque, basándose en las vulnerabilidades identificadas.

  3. Repetición (Persistencia)

    Esta fase no siempre es necesaria. Se busca la persistencia cuando se desea mantener el ataque en el tiempo, pero depende mucho del patrón empleado y de los objetivos del atacante.

  4. Obtención de Resultados

    La finalidad del ataque, que puede ser el robo de propiedad intelectual, accediendo a las copias de seguridad de la competencia, o cualquier otro objetivo definido.

  5. Anonimato

    Fase crucial para evitar la atribución y las consecuencias legales. Las técnicas utilizadas incluyen:

    • Físico: Acceder desde una red pública para dificultar la identificación de la IP.
    • Uso de Bouncer: El atacante toma el control sobre un sistema (zombie o bot) y lo usa como “puerta de entrada” para su conexión, haciendo que se vea como el origen de los ataques. Al tener el control total del sistema, se pueden editar registros, borrar huellas y hacer rastreos imposibles.
    • Uso de Proxy: Servidores que, mediante NAT (Network Address Translation), realizan funciones de intermediación, ocultando el origen de las comunicaciones.

Técnicas de Reconocimiento: Footprinting y Fingerprinting

¿Qué diferencia hay entre el Footprinting y el Fingerprinting?

El Footprinting pretende obtener la huella identificativa (footprint) de la red, sistema o usuario objetivo de manera legal o pasiva. Su primera etapa consiste en recuperar información del objetivo en los medios públicos (metadatos, redes sociales, prensa, BOE, Internet, OSINT).

El Fingerprinting pretende obtener (de manera alegal o ilegal) una recogida de datos más específicos y activos. Permite recopilar información sobre toda la pila TCP/IP de una red o sistema concreto (topologías, direcciones y nombres a distintos niveles, estado de puertos, estado de actualización del software/parches del SO, listados de vulnerabilidades, contraseñas).

¿Cuáles son las principales técnicas de Footprinting? ¿Y de Fingerprinting?

Footprinting (Técnicas Pasivas)

Técnicas: Buscadores (Google, Shodan), metadatos, redes sociales, ingeniería social.

Herramientas: Netcraft, theHarvester, Maltego, claves PGP y dorks de buscadores.

Fingerprinting (Técnicas Activas)

Técnicas: Ingeniería Social y phishing, sniffing, mapping, scanning.

Herramientas: Nmap, Nbtscan, módulos auxiliares con Metasploit.

Herramientas de Búsqueda y Anonimato

¿Qué es Shodan y para qué se utiliza?

Shodan es un motor de búsqueda especializado para encontrar dispositivos conectados a Internet.

Se utiliza para buscar por protocolo, por IP, por zona, por puertos, parches, o nombre del servidor/dispositivo.

¿Por qué los atacantes suelen buscar el anonimato? ¿Qué tipo de técnicas utilizan?

Los atacantes buscan el anonimato para evitar consecuencias legales, dificultar la atribución del delito y evitar que las víctimas aprendan de sus técnicas.

Las técnicas utilizadas incluyen el anonimato físico (acceso desde red pública), el uso de bouncer y el uso de proxy.

¿Cómo se consigue el anonimato mediante el uso de un proxy?

El proxy realiza funciones de intermediación mediante NAT (Network Address Translation), ocultando el origen real de las comunicaciones. La víctima ve al proxy como origen, no al atacante.

Preguntas Adicionales sobre Seguridad

¿Qué son Tor, FreeNet y I2P?

¿Qué tipos de ataque puedes distinguir en función de su acción/objetivo?

¿En qué base de datos puedes encontrar los patrones de ataque conocidos en la actualidad clasificados por mecanismo de ataque o por dominio?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.