1.2. Fundamentación de un ataque informático
Nota previa: Las siguientes notas no pretenden alentar a nadie a realizar algún tipo de actividad ilícita contra la propiedad de una red o dispositivo digital de una persona física o jurídica. Son una simple valoración sobre las posibilidades en las que opera la ciberdelincuencia y otro tipo de actores.
Tabla de contenidos:
Fundamentación de un ataque informático. Formas y tipos
1.2.1. Factores de incursión
En casi todos los ataques informáticos interviene al menos uno de estos 3 factores:
- Interacción de la víctima: Esta es persuadida a efectuar unas operaciones a través de su dispositivo, normalmente mediante engaño.
- Ejecución de código malicioso o vulnerable: En el dispositivo de la víctima se ejecuta un software que el atacante emplea como medio para obtener el acceso al dispositivo de la víctima, ya sea porqué el software es vulnerable o bien porqué la víctima ejecuta un código malicioso sin ser consciente.
- Control del dispositivo: Mediante la obtención de una consola de comandos en la máquina atacante (shell) que permite obtener acceso remoto a la máquina víctima.
1.2.2. Infraestructura de mando y control (C&C o C2)
Mando y control (Command and control en inglés) se refiere a la infraestructura en que se fundamentan gran parte de las formas de los ataques. En esta, como si de una arquitectura cliente-servidor se tratara, el atacante dispondrá de sus propios dispositivos que como si fueran servidores, se emplean para desarrollar las diferentes etapas de un ataque y finalmente tener acceso al dispositivo de la víctima y tener el control sobre esta. La máquina víctima en este caso sería la parte cliente, pues envía información a la parte servidor, que es la máquina atacante.
En el campo de la seguridad informática esta nomenclatura se utiliza mayormente para referirse a las técnicas de ataque que emplean software intrusivo mediante el cual el atacante obtiene el control del dispositivo de la víctima, no obstante, este sistema dual (máquina atacante-máquina víctima) es válido al referirse a otros métodos de ataque o incluso a otros métodos menos intrusivos como el phishing.
En los ataques informáticos sofisticados, es habitual que la comunicación entre la máquina atacante y máquinas víctimas no se efectúe de forma directa, sino a través de la mediación de un entramado de redes que dificulten la localización de los servidores del atacante por su IP.
1.2.3. Etapas y desarrollo de un ataque informático
A pesar de los diferentes tipos de ataques informáticos, se pueden establecer unas pautas que pueden aplicarse de forma recurrente y que se identifican con las secciones desarrolladas:
- Reconocimiento de la víctima:
- Identificación de víctima: Tipo de target, tipos de dispositivos probables y objetivos.
- Técnicas de rastreo y escaneo de información: Técnicas para la obtención de datos personales de fuentes disponibles de forma pública (OSINT); rastreo de dominios e IP corporativos; técnicas no intrusivas y de reconocimiento de aplicaciones web, servidores y servicios disponibles públicamente.
- Explotación: En función del tipo de víctima y la información obtenida en el paso anterior, el atacante deberá elaborar un plan para acometer la intrusión y comprometer los dispositivos. Las técnicas de explotación implican conocer las vulnerabilidades que pueden encontrarse en los dispositivos de una red y adecuar el plan de ataque:
- Tipos de explotación: Ataque a servidores públicos a través de vulnerabilidades de tipo zero-day; elaboración de malware susceptible de ser descargado y ejecutado por la víctima; técnicas de ingeniería social y la capacidad de crear medios digitales fraudulentos (páginas web, correos electrónicas con identidad falsa, etc.); ataques a navegadores web desde el lado cliente (usuario); explotación de vulnerabilidades en aplicaciones web.
- Técnicas derivadas: Creación de software con capacidad para corromper servicios mediante técnicas de ingeniería inversa; técnicas de ocultación de IP; técnicas de evasión de sistemas de cortafuegos y antivirus.
- Post-Explotación: En los casos en que el objetivo consista en hacerse con el control de la máquina de la víctima: técnicas de escalada de privilegios de usuario; pivotar y extender el ataque hacia otros dispositivos de la red; limpiar todos los registros posibles que puedan delatar la autoría de un ataque.
Esta breve metodología es derivada de otros procedimientos más elaborados para ataques informáticos dirigidos contra conglomerados empresariales o gubernamentales, que requieren la participación de varios grupos de atacantes y una gran infraestructura, normalmente financiada por determinados grupos de intereses. Son los métodos ATP o de amenaza persistente avanzada (Advanced Persistent Threat).