Vectores de ataque: qué son y cómo utilizarlos

Definición de vectores de ataque

Un vector de ataque es un método o una combinación de métodos que los ciberdelincuentes utilizan para provocar una brecha en la red de una víctima o infiltrarse en ella.

Habitualmente, los adversarios desarrollan un arsenal de vectores de ataque que utilizan de forma rutinaria para perpetrar sus ataques. Con el tiempo y el uso, estos vectores de ataque se pueden convertir en "tarjetas de presentación" virtuales de los ciberdelincuentes o bandas organizadas de ciberdelincuencia, lo que permite a los analistas de inteligencia sobre amenazas, los proveedores de servicios de ciberseguridad, las autoridades y las organizaciones gubernamentales asignar una identidad a cada adversario.

Reconocer y rastrear los vectores de ataque de un adversario permite a las organizaciones defenderse mejor de ataques dirigidos actuales y futuros. Además, conocer la identidad de un atacante (determinada en gran medida por su uso de un vector de ataque de firma) puede ayudar a la organización a identificar las capacidades del adversario y tomar las medidas necesarias para proteger el negocio y sus recursos en el futuro.

Comparación entre vector de ataque, superficie de ataque, vector de amenaza y atacante

¿Qué es una superficie de ataque?

Una superficie de ataque es la suma de todas las posibles exposiciones a riesgos de seguridad en el entorno de una organización. Dicho de otro modo, es el conjunto de todas las vulnerabilidades posibles (conocidas y desconocidas) y los controles de todo el hardware, software, componentes de red y empleados.

Las superficies de ataque se clasifican normalmente en tres tipos básicos:

1. Superficie de ataque digital: Abarca todo el entorno de red y software de una organización. Puede incluir aplicaciones, código, puertos y otros puntos de entrada y salida.
2. Superficie de ataque física: Toda la infraestructura de una organización, como sistemas de sobremesa, portátiles, dispositivos móviles, servidores, puertas de acceso, infraestructura de telecomunicaciones y fuentes de alimentación eléctrica.
3. Superficie de ataque de ingeniería social: Ataques a la mente humana, a menudo, a través de phishing, pretexting, (smishing), vishing (buzón de voz) y otras técnicas de manipulación para engañar a la víctima

¿Qué es un vector de amenaza?

Un vector de amenaza es un término utilizado para describir el método que utiliza un ciberdelincuente para obtener un acceso inicial a la red o infraestructura de la víctima. En muchos contextos, es sinónimo de vector de ataque.

¿Qué es un atacante?

Un atacante, también conocido como "actor malicioso" o "adversario digital" es cualquier persona u organización que causa daño intencionadamente en la esfera digital. Se dedican a aprovechar debilidades en dispositivos, redes y sistemas para iniciar ataques disruptivos contra individuos u organizaciones.

El término "atacante" incluye a ciberdelincuentes, pero también a otras personas. Por ejemplo, engloba a defensores de determinadas ideologías, como hacktivistas (activistas hackers) y terroristas, amenazas internas e incluso trolls de Internet; todos ellos se consideran atacantes.

Cómo se utilizan los vectores de ataque

Por lo general, los vectores de amenaza se clasifican en dos categorías:

1. Vectores de ataque pasivos
2. Vector de ataque activos

Vectores de ataque pasivos

Un vector de ataque pasivo es una técnica de ataque en la que el adversario monitoriza el sistema de la víctima en busca de vulnerabilidades, como un puerto abierto, un error de configuración o una aplicación de software sin parches que puedan utilizar para obtener acceso.

Normalmente, el objetivo de los ataques pasivos no es dañar el sistema ni interrumpir las operaciones comerciales. Por el contrario, lo que pretenden es obtener acceso a datos y otros tipos de información confidencial.

Precisamente porque normalmente los vectores pasivos no alteran el sistema ni el entorno de ningún modo, a las organizaciones les puede resultar difícil detectar un ataque en curso y tomar las medidas necesarias para proteger el negocio de daños mayores.

Algunos ejemplos de vectores de ataque pasivos son el análisis de puertos, la captura (o "sniffing") de datos, las técnicas de escucha (como los ataques de intermediario) y muchos ataques de ingeniería social.

Vector de ataque activos

Un vector de ataque activo es una técnica de ataque que utilizan los adversarios para alterar un sistema o interrumpir su funcionamiento.

Al igual que ocurre con los vectores pasivos, los adversarios que recurren a vectores de ataque activos intentan obtener acceso a datos confidenciales. Sin embargo, a diferencia de ellos, los delincuentes que perpetran un ataque activo también pueden pretender únicamente causar estragos y caos en el entorno informático de la víctima.

Algunos ejemplos de vectores de ataque activos son los ataques de malware, ransomware y denegación de servicio distribuido (DDoS), el robo de credenciales y otras técnicas comunes.

10 tipos de vectores de ataque habituales

Ataques de ingeniería social

La ingeniería social es un proceso en el que el adversario ataca a su víctima y utiliza el poder de emociones como el amor, el miedo o la avaricia para manipular a esa persona de modo que lleve a cabo una acción deseada. Normalmente, el objetivo de los ataques de ingeniería social es obtener información que se pueda utilizar para perpetrar un ataque más complejo, obtener acceso a datos confidenciales o credenciales de usuario o lograr un objetivo menor relativamente rápido, como incitar a un empleado a que compre y comparta tarjetas regalo digitales con el ciberdelincuente.

Los ataques de ingeniería social son una gran preocupación para los profesionales de la ciberseguridad porque, independientemente de cuán fuerte sea el modelo de capas de seguridad y cuán perfeccionadas estén las directivas, un usuario aún puede ser víctima de un engaño y entregar sus credenciales a un ciberdelincuente. Una vez dentro, este puede usar esas credenciales robadas para hacerse pasar por el usuario legítimo, ganando así la capacidad de moverse lateralmente, analizar el sistema de defensa, instalar puertas traseras, robar identidades y, por supuesto, sustraer datos.

Algunos ejemplos habituales de ingeniería social son el phishing, el pretexting y el baiting.

Credenciales débiles y comprometidas

Otro vector de ataque común es el uso de credenciales débiles o comprometidas. En los ataques basados en credenciales, los adversarios utilizan diferentes métodos para robar, descifrar, adivinar o cooptar el identificador o la contraseña del sistema de un usuario (o ambos), o realizar actividades haciéndose pasar por ese usuario.

La obtención de las credenciales permite a los ciberdelincuentes hacerse pasar por el propietario de la cuenta y figurar como alguien con acceso legítimo, como un empleado, un contratista, una cuenta de servicio o un proveedor. Como el ciberdelincuente parece ser un usuario legítimo, resulta difícil que las defensas detecten este tipo de ataque.

Algunos ejemplos de ataques basados en credenciales son:

• Robo de credenciales: Es el acto consistente en robar información personal, como nombres de usuario, contraseñas y datos financieros, con el propósito de obtener acceso a una cuenta o un sistema online.
• Pass-the-Hash (PtH): Tipo de ataque de ciberseguridad en el que un adversario roba una credencial de usuario "hash" y la emplea para crear una nueva sesión de usuario en la misma red. A diferencia de otros ataques de robo de credenciales, un ataque Pass-the-Hash no requiere que el ciberdelincuente conozca o descifre la contraseña para obtener acceso al sistema. En su lugar, utiliza una versión de repositorio de la contraseña para iniciar una nueva sesión.
• Password spraying: El adversario utiliza una contraseña común (como password123) en diferentes cuentas de la misma aplicación en un intento de obtener acceso al sistema por casualidad.

amenazas internas;

Una amenaza interna es un riesgo de ciberseguridad que procede del interior de la organización, normalmente de un empleado, exempleado u otra persona con acceso directo a la red, los datos confidenciales y la propiedad intelectual de la empresa, y que tiene conocimientos de los procesos de negocio, las políticas de la empresa u otra información que puede ayudarle a perpetrar el ataque. No todos los atacantes internos actúan de manera intencionada; algunos pueden haberse convertido en peones de atacantes externos que han comprometido sus recursos digitales y están usándolos.

Errores de configuración de seguridad y vulnerabilidades

Los errores de configuración de seguridad son cualquier error o vulnerabilidad en la configuración del código que permite a los ciberdelincuentes acceder a información confidencial, provocando una brecha de datos o el compromiso de todo el sistema.

Algunos de los errores de configuración de seguridad más habituales son los errores de configuración de AD, es decir, vulnerabilidades en el dominio de Active Directory. Estos errores de configuración de seguridad comunes varían desde la obtención de privilegios administrativos por parte de ciberdelincuentes hasta problemas que surgen de servicios que se ejecutan en un host con varios administradores.

Otro ejemplo de error de configuración de seguridad se ha detectado en JIRA, una herramienta de colaboración. Este error de configuración ha puesto a muchas empresas en una situación de vulnerabilidad al revelar datos corporativos y personales. En este caso, se trató de un error de configuración de autorización en los permisos globales lo que provocó el riesgo de seguridad.

Ransomware

El ransomware es un tipo de malware que cifra los datos de la víctima y para el que el ciberdelincuente responsable solicita un "rescate" o pago con el fin de restaurar el acceso a los archivos y la red. Normalmente, la víctima recibe una clave de descifrado después de realizar el pago para restaurar el acceso a sus archivos. Si no se realiza el pago, el atacante podría publicar los datos en sitios web de filtración de datos (DLS) o bloquear el acceso a los archivos para siempre.

El ransomware se ha convertido en uno de los tipos de malware más destacados y ataca a una amplia variedad de sectores, como el gubernamental, el educativo, el financiero y el sanitario, y sus responsables extorsionan millones de dólares en todo el mundo cada año.

Malware

Malware (software malicioso) es cualquier programa o código creado con la intención de dañar un sistema, una red o un servidor. Los ciberdelincuentes desarrollan malware para infiltrarse de manera discreta en un sistema informático para destruir o acceder a datos y sistemas informáticos confidenciales.

Algunos tipos habituales de malware son los virus, el ransomware, los registradores de pulsaciones, los troyanos, los gusanos, el spyware, la publicidad maliciosa, el scareware, las puertas traseras y el malware móvil.

Ataques de intermediario (MITM)

Un ataque de intermediario es un tipo de ciberataque en el que un atacante espía la comunicación entre dos objetivos. El ciberdelincuente puede intentar "escuchar" una conversación entre dos usuarios, dos sistemas o un usuario y un sistema.

El objetivo de un ataque MITM es recopilar datos personales, contraseñas o datos bancarios, o convencer a la víctima de realizar una acción como cambiar sus credenciales de inicio de sesión, completar una transacción o iniciar una transferencia de fondos.

Secuestro de sesiones

El secuestro de sesiones es una técnica de ciberataque en la que un adversario toma el control de la sesión de un usuario legítimo o la secuestra obteniendo el identificador de la sesión. Una vez que el delincuente ha tomado el control de la sesión, puede hacerse pasar por el usuario comprometido y acceder a cualquier sistema o recurso sobre el que el usuario tenga privilegios.

Ataques de fuerza bruta

Un ataque de fuerza bruta emplea un enfoque de prueba y error para averiguar sistemáticamente la información de inicio de sesión, las credenciales y las claves de cifrado. El ciberdelincuente prueba distintas combinaciones de nombres de usuario y contraseñas hasta que finalmente da con la correcta.

Una vez logra su propósito, el atacante puede acceder al sistema haciéndose pasar por un usuario legítimo y permanecerá en él hasta que se detecte su presencia. Durante este tiempo, se moverá lateralmente, instalará puertas traseras, obtendrá información del sistema para futuros ataques y robará datos.

Ataques DDoS

Un ataque de denegación de servicio distribuido (DDoS) es un ataque malicioso que inunda una red con solicitudes falsas para interrumpir las operaciones comerciales. Cuando una organización es víctima de un ataque de este tipo, los usuarios no pueden realizar tareas rutinarias y necesarias, como acceder al correo electrónico, navegar por sitios web o consultar cuentas en línea u otros recursos operados por un dispositivo o una red comprometidos.

Aunque la mayoría de estos ataques no ocasionan pérdidas de datos y normalmente se resuelven sin pagar un rescate, le cuestan a la organización tiempo, dinero y recursos para restaurar operaciones comerciales críticas.

Cómo protegerse de los vectores de ataque

Existe una amplia variedad de vectores de ataque, cada uno de los cuales aprovecha una vulnerabilidad distinta, ya sea una persona, un software sin parches, un servicio con un error de configuración o una contraseña débil. No existe ningún mecanismo de defensa que proteja a las organizaciones de todos los tipos de ataque. Además, es importante ser consciente de que muchos vectores de ataque atacan a personas, es decir, que la utilidad de la mayoría de las herramientas de seguridad, independientemente de lo avanzadas que sean, será limitada a la hora de proteger a la organización de dichas técnicas.

La existencia de vectores de ataque personales y digitales explica por qué es tan importante para las organizaciones adoptar un enfoque de seguridad integral e incorporar medidas de seguridad reactivas, proactivas, defensivas y preventivas para proteger la organización y sus recursos de la mejor manera posible. A continuación, presentamos una lista de prácticas recomendadas para desarrollar e implementar una estrategia de seguridad integral:

1. Desarrolla un programa de formación en ciberseguridad para empleados sólido

Los empleados representan la primera línea de tu seguridad. Asegúrate de que sigan unas buenas prácticas de higiene, como utilizar una protección de contraseñas sólida, conectarse solo a redes Wi-Fi seguras y que tengan cuidado constantemente con el phishing en todos sus dispositivos. Imparte sesiones de formación sobre seguridad detalladas y periódicas para garantizar que conozcan la evolución del panorama de las amenazas, y de que tomen las medidas necesarias para protegerse a sí mismos y a la empresa de amenazas internas y otros riesgos.

2. Realiza un seguimiento de la configuración del sistema operativo y mantén todo el software parcheado y actualizado

Los hackers buscan constantemente grietas y puertas traseras por donde colarse. Si estás pendiente de actualizar los sistemas, minimizarás tu exposición a riesgos conocidos y limitarás el número de vectores de ataque que utilizan errores de configuración y otras vulnerabilidades informáticas para acceder.

3. Prioriza la protección de la nube

Los adversarios atacan de manera intensa la infraestructura de la nube. El número de ataques a la nube detectados ha aumentado y los adversarios cada vez utilizan una mayor variedad de TTP (errores de configuración, robo de credenciales, etc.) para comprometer datos empresariales críticos y aplicaciones en la nube. Para detener las brechas en la nube, se necesitan funcionalidades sin agente que ofrezcan protección contra errores de configuración y ataques basados en el plano de control y la identidad, combinadas con seguridad en tiempo de ejecución para proteger las cargas de trabajo en la nube.

4. Monitoriza continuamente el entorno en busca de actividades maliciosas e indicadores de ataque (IOA)

Implementa un sistema de detección y respuesta para endpoints (EDR) para monitorizar todos los endpoints mediante la captura de eventos sin procesar para la detección automática de actividades maliciosas no identificadas por los métodos de prevención.

5. Integra inteligencia sobre amenazas en la estrategia de seguridad

Monitoriza los sistemas en tiempo real y mantente al día sobre la inteligencia sobre amenazas más actualizada para identificar el universo de adversarios que podría estar amenazando a tu organización. Obtener datos sobre el siguiente movimiento del ciberdelincuente es clave para adaptar de forma proactiva tus defensas y anticiparte a futuros ataques.

6. Protégete contra los ataques basados en la identidad

Activa una visibilidad completa y en tiempo real de AD, tanto local como en la nube, e identifica administradores ocultos, cuentas obsoletas, credenciales compartidas y otras vías de ataque de AD.

Aumenta la seguridad de AD y reduce riesgos mediante la monitorización del tráfico de autenticación y del comportamiento de los usuarios. Además, aplica directivas de seguridad sólidas para detectar anomalías de forma proactiva.

Activa la monitorización continua de credenciales poco seguras, desviaciones de acceso y compromisos de contraseñas con puntuación de riesgo dinámica para todas las cuentas de usuario y de servicio.

7. Amplía la seguridad de la autenticación multifactor (MFA)

Protege los endpoints no gestionados con acceso condicional basado en riesgos y extiende la protección de la autenticación multifactor (MFA) a aplicaciones y herramientas tradicionales con análisis propios sobre el comportamiento de los usuarios y el tráfico de autenticación.

Aplica una directiva coherente basada en riesgos para bloquear, permitir, auditar o intensificar automáticamente la autenticación para todas las identidades.

8. Crea una referencia de actividad de los usuarios

Centraliza la actividad y el comportamiento de los usuarios en todos los logs de datos relevantes, incluido el acceso, la autenticación y los endpoints.

Usa estos datos para crear una referencia de actividad para cada usuario individual, grupo de usuarios, función, título y dispositivo que permita identificar actividades inusuales o sospechosas.

Asigna una puntuación de riesgo personalizada a cada usuario y endpoint para dar un mayor contexto al equipo de ciberseguridad.

9. Usa el análisis de comportamientos y la IA para identificar amenazas

Emplea análisis y herramientas con IA para monitorizar el comportamiento de los usuarios y los dispositivos en tiempo real.

Cruza las alertas con la puntuación de riesgo para dar mayor contexto al evento y priorizar los esfuerzos de respuesta.

10. La práctica hace al maestro

Ejecuta ejercicios de equipo rojo/equipo azul. Si bien la tecnología es vital para detectar y frenar las intrusiones, los equipos de seguridad son un eslabón crítico de la cadena para detener las brechas de seguridad. Para los equipos de seguridad, la práctica hace al maestro. Es recomendable fomentar un entorno en el que se realicen rutinariamente ejercicios de simulación teórica y de equipo rojo/equipo azul con el fin de identificar las lagunas en la seguridad y eliminar cualquier fallo en tus procedimientos de ciberseguridad y de respuesta. Pero los equipos de seguridad no deberían ser los únicos que practicaran: implementa programas de concienciación de usuarios para combatir la amenaza continua que constituyen el phishing y las técnicas de ingeniería social relacionadas.

Identificación de vectores de ataque con CrowdStrike

En CrowdStrike, creemos que una pieza clave para prevenir los ciberataques y defenderse ante ellos consiste en identificar qué adversarios pueden atacar a tu organización y los vectores de ataque en los que se basan.

Ofrecemos servicios potentes de perfilado de atacantes que permiten identificar a los adversarios que podrían atacar a nuestros clientes, así como sus capacidades e intenciones. De este modo, podemos desarrollar estrategias personalizadas con nuestros clientes para proteger sus datos y recursos expuestos a un mayor riesgo y fortalecer sus defensas en áreas a menudo atacadas por ciberdelincuentes.

Como parte de nuestra oferta de inteligencia humana (HUMINT), hemos desarrollado CrowdStrike Adversary Universe para ayudar a las organizaciones a identificar mejor a los humanos detrás de los ataques y los métodos que usan.