El Targeted Cyber Attack (TCA) o Ataque Cibernético Dirigido es una acción que tiene como objetivo una persona o empresa con la intención de robar información o dinero por un largo período.
Mientras que el objetivo de un ataque cibernético común es alcanzar el mayor público posible, el TCA dirige sus esfuerzos hacia una única víctima, buscando mantenerse anónimo mientras captura la información.
Muchas organizaciones piensan que nunca sufrirán ataques cibernéticos en su estructura, o, si estos suceden, será solo en un futuro distante. Consideran que el riesgo es propio del negocio y les parecen muy caros los costos de prevención.
En general, piensan así: ‘eso nunca sucederá con nosotros’, ‘no tenemos nada que esconder’, ‘somos muy pequeños para ser objeto de ataques’, ‘existen empresas mayores y más atrayentes’ o ‘hemos invertido en sistemas de firewall y antivirus que nos protegerán’.
Ignorar el riesgo no es la mejor decisión
Es importante para la empresa conocer las amenazas, evaluar la situación e implementar medidas preventivas, pues ‘peor que enfrentar una amenaza es no estar preparado para la misma’.
Según CyberEdge, aseguradora para riesgos cibernéticos, las organizaciones sufren cada vez más ataques. El 89% de las empresas nacionales relataron que fueron comprometidas por ataques el último año. Aunque las empresas en Brasil hayan sido las mayores víctimas en el período, quienes están más preocupadas con las amenazas futuras son las empresas en Japón, con 78%.
Cómo identificar al TCA
Para protegerse, es importante conocer al enemigo y el TCA es de difícil identificación. Sus características son:
- invertir tiempo para permanecer ‘invisible’ mientras obtiene el máximo de información posible
- sentir aversión a la publicidad y a la exposición en medios de comunicación
- tener un objetivo específico en miras e invertir tiempo en la recolección de datos y la preparación del ataque.
Asimismo, cuenta con un proceso organizativo de ingeniería social; se infiltra en la red y roba la información de los servidores y banco de datos; realiza un gran volumen de transferencia de datos a lo largo del tiempo, pero en cantidades pequeñas para no ser notado; y tiene un alcance restricto, esto lleva a que no sean muy efectivos los filtros basados exclusivamente en la reputación.
Normalmente, un TCA exitoso solo es descubierto meses o años después de su inicio. Durante ese período, el TCA obtiene millones de registros o desvía sumas de dinero sin ser notado. De esta forma, su identificación demanda conocimiento, planificación, prevención y supervisión.
Cabe resaltar que el TCA difiere del hacktivismo en su objetivo y resultado final. El TCA se preocupa en no ser notado mientras roba información y valores de sus víctimas, mientras que el hacktivismo busca denegrir la imagen y causar perjuicio a los usuarios mientras actúa.
Técnicas variadas para alcanzar el objetivo
Una variedad de técnicas y herramientas se utilizan para lograr el objetivo del ataque. De forma general, estas técnicas se pueden clasificar en directas (que exploran las vulnerabilidades de la red y del sistema) o indirectas (que utilizan diversas estrategias hasta llegar al objetivo final).
Entre los vectores indirectos, el más utilizado y eficaz es la ingeniería social, que usa la manipulación psicológica, explorando la confianza, el desconocimiento y la curiosidad en el uso de recursos tecnológicos. Otra acción indirecta bastante adoptada es el phishing e-mail, que trata de engañar al usuario con anexos y URL maliciosas. Este ataque ni siempre es de fácil detección porque, en un TCA, el invasor ya posee información de la víctima y la utiliza de forma creativa, explorando intereses personales.
Otro vector es el spear phishing, como es llamado el envío de anexos contaminados por códigos maliciosos. Es común que los usuarios abran los archivos porque los e-mails utilizan temas familiares. Para burlar el sistema de filtrado y el antivirus, en el spear phishing, los invasores sustituyen los anexos por URL de sitios web infectados –ataque conocido como ‘drive-by download’. De acuerdo con PhishLabs, empresa de seguridad con sede en los Estados Unidos, el 91% de los TCA usan spear phishing e-mails.
También puede ser utilizado el advanced malware, un sofisticado código malicioso que ejecuta operaciones de forma furtiva en las redes y sistemas, fundamental para el éxito del ataque y la permanencia de modo ‘invisible’ en el ambiente.
Ya los llamados RAT (Remote Access Toolkits) son herramientas y códigos maliciosos desarrollados para atacar vulnerabilidades en ambientes desactualizados.
El waterhole attack (ataque de abrevadero) consiste en la infección dos usuarios de Internet por medio de sitios web legítimos comprometidos con códigos maliciosos. En un TCA, el invasor identifica los sitios web normalmente accedidos, encuentra una forma de infectar estas páginas y espera hasta que las víctimas caigan en la trampa.
El TCA se aprovecha también de que muchos funcionarios poseen dispositivos superiores a los ofrecidos por la compañía y acaban usando sus propios equipos en el lugar de trabajo. El uso de dispositivos personales conlleva riesgos porque no cuentan con el mismo nivel de protección de los equipos corporativos. Conscientes de ello, los atacantes implantan códigos maliciosos que se activarán cuando estos equipos personales se usen externamente, en redes menos protegidas como las residenciales o de uso compartido.
Estrategias para una solución
No existe una solución única eficaz para la protección del ambiente con relación al TCA. Así, se debe crear una estrategia de prevención, detección, análisis y mitigación. Para prevenir el ataque, es necesario realizar entrenamientos de identificación de amenazas con los usuarios, tener una protección avanzada para e-mails con detección de malwares enviados en archivos anexos, verificación en tiempo real de URL infectadas, mantenimiento y actualización constante de los sistemas y equipos, además de configuración y pruebas continuas de las herramientas de protección utilizadas.
La fase de detección tiene como objetivo el monitoreo del ambiente y la identificación del ataque en el menor tiempo posible. Tener indicadores claros de comportamientos fuera de lo común es fundamental para la percepción temprana de un TCA. Cuando se identifica una ofensiva, el primer paso es constatar la fase en que está para tomar medidas de contención, determinando rápidamente el ambiente comprometido para contener inmediatamente la fuga.
Es necesario el trabajo de cuantificar el perjuicio causado y los datos robados para que la empresa establezca estrategias de mitigación de las pérdidas directas e indirectas relacionadas con la marca y los clientes afectados. Es importante reexaminar todo el ambiente para implementar mejoras definitivas que impidan nuevos ataques.
Para evitarlos, las soluciones de Advanced e-mail Gateway Protection con funcionalidades de DLP y Targeted Attack Protection están entre las más efectivas porque la ofensiva indirecta, por mensaje, es una de las más comunes.
Aunque poco se comente o se revele, el TCA es –en realidad– llevado a cabo por organizaciones delictivas cada vez más especializadas. Las compañías de todo el mundo han sufrido ataques dirigidos al espionaje y robo de información con el objetivo de extorsionar dinero o beneficios. El desvío directo de importes de dinero, si bien no es la meta más común, también figura entre las principales preocupaciones de una ofensiva de este tipo.
Ignorar el riesgo de ser objeto de un TCA es desconsiderar el real valor del conocimiento y de los secretos industriales que apoyan el crecimiento y el diferenciador competitivo de las empresas. De esta forma, aunque el combate sea complejo, se debe estudiar y estructurar planes que mitiguen las amenazas institucionales. Mediante análisis cuidadosos de riesgo, se puede orientar las inversiones y tomar decisiones correctas. Crear consciencia en el consejo ejecutivo de esta necesidad y definir las acciones para reducir o aceptar este riesgo también son esenciales para una buena gestión de Seguridad de la Información alineada a los objetivos de negocios.
Por Kleber Melo, presidente del Consejo Consultivo de (ISC)² para América Latina