Inicio Articulos. La nueva realidad de los ataques cibernéticos. ¿Espionaje industrial o simples travesuras...

La nueva realidad de los ataques cibernéticos. ¿Espionaje industrial o simples travesuras inofensivas?

Revista Mundo-Contact

   

La nueva realidad de los ataques cibernéticos
¿Espionaje industrial o simples travesuras inofensivas?

Bogdan Dumitru*

Cuando se distribuía un virus y afectaba a usuarios desprevenidos, el objetivo no era la fortuna, sino la fama. Los “hackers” no buscaban dinero, sino la gloria que se obtenía de irrumpir en un sistema y provocar el caos. Aunque difícilmente resultaba inofensivo, y estaba lejos de ser financieramente irrelevante, para los afectados, no eran más que el equivalente actual de las travesuras.

Ahora, a los hackers lo que más les interesa es no ser detectados. La fama es lo más alejado de sus mentes. En cambio, se concentran en un objetivo: información. Información que les pueda producir dinero. A veces es información acerca del producto de una compañía (espionaje industrial para obtener una ventaja competitiva o ganancia financiera a través de la manipulación de acciones). Y en otras ocasiones es más directo: van tras las finanzas de la compañía (facturas, números de cuentas de clientes, cualquier cosa que puedan obtener que les produzca dinero).

Este cambio de rumbo (de las travesuras maliciosas al cibercrimen) se puede ver casi todos los días, y ninguna compañía es inmune a un ataque. Grande o pequeña, cualquiera está en riesgo diariamente. Toda compañía que conserva datos y tiene acceso a Internet está en riesgo. Las compañías necesitan tomar medidas de protección para asegurarse de estar protegidas de las amenazas que están hoy en circulación, pero también necesitan estar protegidas de amenazas que aún no han salido a la luz.

Los “tejemanejes”: cómo atacan los cibercriminales

El cibercrimen se presenta en muchas formas. Troyanos, spyware y ataques dirigidos son sólo unas cuantas de las tácticas que se utilizan para alterar las operaciones de una compañía. Y aunque estas mismas amenazas son travesuras más o menos inofensivas, la mayoría es resultado de cibercriminales que irrumpen en redes de empresas pequeñas y medianas para hurtar documentos e información importantes o que intentan mantener bajo vigilancia las actividades de una compañía.

Más comúnmente, todas las tácticas que se utilizan para atacar la información de una compañía se clasifican como malware (software malicioso diseñado para atacar y operar sin ser detectado a fin de recopilar información). Aunque cambia constantemente, la tendencia entre los cibercriminales consiste en crear diferentes piezas de malware con capacidades cada vez mejores para no ser detectadas.

Es importante notar que hoy día los cibercriminales tienen acceso a todas las herramientas que las empresas utilizan para defenderse. Utilizan los mismos programas para probar sus metodologías de ataque y para monitorear el éxito de su ataque. Por ejemplo, un ataque se puede iniciar con un troyano que no es reconocido por las defensas que ha implementado una compañía. Una vez dentro, continúa operando hasta que las defensas de la compañía la detectan, reconocen la amenaza y siguen una acción. Sin embargo, como los criminales prueban su ataque con el mismo software, pueden modificar ligeramente su malware para que continúen con sus operaciones habituales.

Los “tejemanejes” más comunes de los cibercriminales incluyen:

Spyware: se instala sin el consentimiento del usuario e intercepta información o toma control parcial de la interacción entre el usuario y la computadora. Envía información a otra computadora para su uso ilegal. Gusanos: un gusano se autoreplica se envía a otras computadoras, a menudo sin intervención del usuario, ocasionando problemas en la red y consumiendo principalmente ancho de banda. Adware: se ejecuta automáticamente y muestra o descarga material publicitario en una computadora. El adware y el spyware son tipos de amenazas íntimamente relacionados que invaden la privacidad del usuario. Programas de infección de archivos: se adjuntan por sí solos a archivos de programas, en general archivos .COM o .EXE seleccionados, y pueden infectar cualquier programa cuya ejecución es solicitada. Algunos virus que infectan archivos llegan como programas o scripts independientes que se envían como adjuntos a una nota enviada por correo electrónico. Spam: abuso común de sistemas de mensajería electrónica. El spam es una puerta de entrada para diversas variedades de malware. Suplantación de la identidad (o “phising”): intento por adquirir información confidencial, como nombres de usuario, contraseñas y detalles de tarjetas de crédito, disfrazándose como una entidad de confianza en una forma de comunicación electrónica.

Debe notarse que, con la proliferación de dispositivos móviles con navegadores Web y acceso permanente a Internet, el mundo móvil está abierto ahora a estos tipos de ataques. Los virus basados en vulnerabilidades de los navegadores aumentarán con el tiempo y requerirán atención diligente y sólidas directivas de seguridad, aunadas a precauciones defensivas para minimizar el riesgo.

Soluciones de seguridad: cómo se pueden defender las empresas

El método principal para detectar amenazas es por su “firma”. Un analista de virus observa el código, determina su intención, tipo, etc., y crea una firma para éste. Esta firma se envía a los suscriptores a través de actualizaciones de rutina. Una vez recibida la firma, la computadora queda protegida de la amenaza.

Este modelo, aunque efectivo, es más reactivo que proactivo en la protección contra amenazas en que no puede ofrecer protección de amenazas día cero desconocidas (sólo las conocidas). Además, la demora en la que se incurre entre la identificación de una amenazas y la creación de una firma es una ventana de oportunidad que la mayoría de los cibercriminales estarán muy complacidos de aprovechar.

Una metodología alternativa para la detección de ataques es por medio del uso de las heurísticas. En esta metodología, el software de seguridad emula una computadora virtual dentro de una computadora, ejecutando aplicaciones de software y verificando si hay un comportamiento potencialmente perjudicial. Esto ofrece una protección proactiva y mejora la detección de amenazas día cero y malware desconocido. Sin embargo, los falsos positivos podrían tener información “segura” clasificada como malware.

Hoy día, la mayoría de las soluciones de seguridad utilizan una combinación de detección de firmas y heurísticas (confiando más en una o en la otra, según el fabricante) para ofrecer protección de amenazas nuevas y existentes.

Para las empresas es un acto de equilibrio (usar una solución que es altamente proactiva y que se sustenta ampliamente en las heurísticas, o una que se sustente más en la detección basada en firmas). Una cosa es clara: las heurísticas son parte vital de cualquier solución de seguridad. Las tendencias e incrementos recientes en la actividad de los hackers, en especial de China1, se pueden defender de la mejor forma por medio de heurísticas, ya que éstas pueden detectar código o archivos sospechosos basándose en su reacción en la computadora virtual.

Conclusión:

Conforme aumenta el nivel de amenazas para las empresas, está claro que los métodos tradicionales de protección necesitan ser mejorados. Cuando elijan una solución de seguridad, las empresas deben considerar el panorama de las amenazas como que pertenece a ellas y hacer la selección más pertinente. Por ejemplo, si la empresa tiene múltiples usuarios móviles, se debe seleccionar una solución con sólida protección para dispositivos móviles. Una cosa es cierta: agregar una solución de seguridad con heurísticas inteligentes ayudará a proteger la red de una empresa para evitar que intrusos ataquen la red.

*Bogdan Dumitru, CTO BitDefender

1. Computerweekly.com, 18 de diciembre de 2007, Cliff Saran, citando la investigación de Finjan (http://www.computerweekly.com/Articles/2007/12/06/228514/businesses-at-risk-from-hacker-attacks-warns-finjan.htm).

 

Ahora, a los hackers lo que más les interesa es no ser detectados. La fama es lo más alejado de sus mentes. En cambio, se concentran en un objetivo: información. Información que les pueda producir dinero. A veces es información acerca del producto de una compañía.

Y en otras ocasiones es más directo: van tras las finanzas de la compañía (facturas, números de cuentas de clientes, cualquier cosa que puedan obtener que les produzca dinero).

La demora en la que se incurre entre la identificación de una amenazas y la creación de una firma es una ventana de oportunidad que la mayoría de los cibercriminales estarán muy complacidos de aprovechar.

Hoy día, la mayoría de las soluciones de seguridad utilizan una combinación de detección de firmas y heurísticas (confiando más en una o en la otra, según el fabricante) para ofrecer protección de amenazas nuevas y existentes.