En este momento estás viendo Métodos de infiltración en redes informáticas

Métodos de infiltración en redes informáticas

Métodos de infiltración en redes informáticas

En las redes informáticas actuales, la seguridad no es una una opción, es una necesidad perentoria ante la posibilidad de infiltraciones de «hackers» malintencionados.

Hoy en día, todos estamos conectados a Internet, aumentando la posibilidad de que se produzca una brecha de seguridad en nuestra red y tenga consecuencias como el robo de datos personales para su venta o uso para identificaciones fraudulentas. Cuanta más información tengan, más fácil les resultará, por ejemplo, enviar correos creíbles con enlaces maliciosos.

Sumario

  • Ingeniería social
  • Denegación de servicio «DoS»
  • DoS distribuido «DDoS»
  • Botnet
  • Man in the middle
  • Envenenamiento SEO
  • Descifrado de contraseñas de Wi-Fi
  • Ataques de contraseña
  • Amenazas persistentes avanzadas
  • Conclusión

La mayoría de las técnicas de ataque actuales son similares a las de hace unos años, como comprometer contraseñas débiles, ataques de «phishing» o la descarga de «malware» desde webs maliciosas. Pero cada vez son más sofisticadas y difíciles de combatir.

Hay muchos tipos de «malware» que representan una amenaza para tu red u organización, pero ¿que técnicas pueden utilizar los ciberdelincuentes para introducirse en tus redes y sistemas?.

Tienen muchos medios a su disposición, por lo que es importante conocerlos para tratar de evitarlos.

Ingeniería social

El concepto de ingeniería social es el proceso de manipulación de las personas para que hagan o permitan acciones con el fin de obtener información confidencial. Para conseguirlo, el «hacker», normalmente dependerá de la disposición del objetivo, pero también explotará sus vulnerabilidades.

Ingeniería social
Ingeniería social

El ciberdelincuente, con la información obtenida con la ingeniería social, tratará de ganarse la confianza del usuario y llevarlo a hacer algo bajo manipulación y engaño.

Por ejemplo, un «hacker» llama a un empleado autorizado con un problema urgente que requiere acceso inmediato a la red, y apelará a la vanidad, a la codicia del empleado, o invocará la autoridad mediante el uso de técnicas de eliminación de nombres para obtener este acceso.

Podemos establecer varios aspectos sobre la ingeniería social.

Pretexto. Se produce cuando, en el intento de obtener datos privilegiados, un atacante llama a una persona y miente sobre su identificación o la esconde. Por ejemplo, hará una llamada fingiendo necesitar los datos personales o financieros de una persona para confirmar su identidad.

Infiltración (tailgating). Se produce cuando un atacante entra rápidamente siguiendo a una persona autorizada a un lugar seguro, por ejemplo un CPD. Colarse…

Una cosa por otra (quid pro quo). Ocurre cuando un «hacker» solicita información personal de alguien a cambio de algo, como un regalo o dinero.

Hay que tener mucho cuidado con la información que se maneja y con quien se comparte.

Denegación de servicio

Los ataques «DoS» de denegación de servicio «Denial of Service», tienen como objetivo la interrupción del servicio de la red a usuarios, dispositivos y aplicaciones. Son un tipo de ataque de red que es relativamente sencillo de llevar a cabo, incluso por parte de un atacante no muy cualificado.

Ataques "DoS"
Ataques «DoS»

Se producen con dos métodos principalmente:

  • Con una cantidad abrumadora de tráfico. Se envía una gran cantidad de datos a una red, a un «host» o a una aplicación a una velocidad mayor de la que puede procesar, provocando una disminución de la velocidad de transmisión o respuesta, o un fallo en un dispositivo o servicio.
  • Con paquetes maliciosos formateados. Un paquete es una colección de datos que se transmite entre equipos o aplicaciones y un receptor en la red o Internet. Si se envía un paquete con formato malicioso, el receptor no sabrá como manejarlo, llegando a bloquear el sistema.

Es decir, si un atacante reenvía paquetes que contienen errores o paquetes formateados incorrectamente, que no pueden ser identificados por una aplicación, hará que el dispositivo receptor funcione muy lentamente o se bloquee.

El ataque se puede dar de muchas formas. Pero todas tienen algo en común, utilizan la familia de protocolos TCP/IP para conseguir su propósito.

El primer objetivo de un ataque «DoS» será uno de los siguientes:

  • Consumo de recursos computacionales, como ancho de banda, espacio de disco, o tiempo de procesador.
  • Alteración de información de configuración, como información de rutas de encaminamiento.
  • Alteración de información de estado, como interrupción de sesiones TCP (TCP reset).
  • Interrupción de componentes físicos de red.
  • Obstrucción de medios de comunicación entre usuarios de un servicio y la víctima, de manera que ya no puedan comunicarse adecuadamente.

Tenemos que considerar los ataques de «DoS» como un ataque con muy alto riesgo, ya que pueden interrumpir las comunicaciones. Lo que supondrá tiempo y dinero.

DoS distribuido

Un ataque «DoS distribuido» (DDoS) tiene los mismos objetivos que uno de «DoS», que un sitio web o recurso de red no esté disponible colapsándolo con tráfico malintencionado para que no pueda funcionar correctamente. Es similar a un ataque «DoS» pero proviene de múltiples fuentes coordinadas.

Ataque de "DDoS"
Ataque de «DDoS»

Veamos, por ejemplo:

Un atacante crea una red (botnet) de «hosts» infectados, también llamados zombies, que son controlados por el «hacker» que lo maneja.
Los equipos zombies, constantemente buscan e infectan más «hosts», creando más y más zombies.
Cuando está preparado, el «hacker» proporciona instrucciones a los sistemas manipuladores para que los «botnet de zombies» lancen un ataque de «DDoS».

Durante un ataque «DDoS», los ciberdelincuentes emplean gran cantidad de equipos infectados y otros dispositivos conectados a través de Internet, incluso dispositivos de Internet de las cosas (IoT), smartphones, ordenadores personales y servidores de red, para enviar una gran cantidad de tráfico a sus objetivos.

Botnet

Una «botnet» es un conjunto de ordenadores, denominados «bots», infectados con un tipo de «malware» que permite controlarlos remotamente por un ciberdelincuente y que pueden ser utilizados de manera conjunta para realizar actividades maliciosas, como un ataque «DDoS».

Uso de una botnet para enviar spam
Uso de una botnet para enviar spam

Un equipo se infecta, generalmente al visitar un sitio web malicioso, abrir un fichero adjunto de correo electrónico o al abrir un archivo de medios infectado, es decir, al instalar algo. La consecuencia es que nuestro equipo se convierte en un «zombie», controlado por el ciberdelincuente o grupo de estos, que se une a una red de equipos controlados llamada «botnet». Puede tener decenas de miles, o incluso cientos de miles de «bots», controlados con un servidor de comando y control.

En los sistemas «windows» y «macOS», las infecciones suelen venir de la instalación de software ilegítimo, activadores, incluso otro software aparentemente legal. Una vez se ejecuta, el «malware» puede escanear la red, discos y propagarse usando vulnerabilidades conocidas del S.O.

En sistemas UNIX, GNU/Linux y BSD, la expansión se realiza por «Telnet» o «ssh» probando usuarios y contraseñas al azar contra todas las IPs que encuentre. También aprovechan las vulnerabilidades conocidas.

Estos «bots» pueden activarse para distribuir «malware», lanzar ataques «DDoS», distribuir correo electrónico no deseado «spam», ejecutar ataques de fuerza bruta para descifrar contraseñas, o incluso utilizarlo para «Cryptominería».

Se ha convertido en otro negocio para los ciberdelincuentes, que suelen alquilar «botnets» a terceros, para lanzar ataques con fines nefastos.

Para prevenir y reducir la superficie de ataque, hay que tener el software actualizado, supervisar la red para localizar actividades inusuales, supervisar los intentos de inicio de sesión fallidos, y tener un «software antimalware» de garantía, como «ClamAV». Muchas empresas y otras organizaciones someten las actividades de red a filtros de tráfico de «botnet», para identificar cualquier ubicación de «botnet».

Man in the middle

En un ataque de intermediario «Man in the middle», se interceptan, con la capacidad de leer, insertar y modificar, las comunicaciones entre varios dispositivos, como un servidor web y una aplicación web, como un navegador. Este ataque se realiza para obtener información de algún equipo o suplantarlo y hacerse pasar por él.

Ataque de intermediario "MitM"
Ataque de intermediario «MitM»

Cuando se produce un ataque «MitM», el ciberdelincuente toma control de un dispositivo sin el conocimiento del usuario. El «MitM», conseguido el acceso a la red, puede interceptar toda la información antes de que se transmita a su destino. Estos tipos de ataques se utilizan a menudo para robar información financiera.

Hay situaciones en las que resulta bastante fácil realizar un ataque de este tipo para un «hacker», por ejemplo las redes wifi abiertas, donde este ciberdelincuente se puede infiltrar como intermediario.

Los «malware» con capacidad de ataque «MitM» son de muchos tipos. Por ejemplo, cuando el ataque esta dirigido a un dispositivo móvil se le llama «MiTM» o «man in the movil». El dispositivo infectado recibe instrucciones de filtrar información confidencial del usuario y enviarla a los atacantes.

Lo vemos con un ejemplo. «Usuario1» se quiere comunicar con «Usuario2», pero «Malote» está en la red filtrando las comunicaciones. En primer lugar los dos usuarios intercambian su clave pública. «Malote» las intercepta e inicia el ataque.

«Malote» manda un mensaje falso a «Usuario1» diciendo que es «Usuario2» con su clave pública. «Usuario1», creyendo que la clave pública es la de «Usuario2», la cifra con la clave de «Malote» y la envía a este. Ahora «Malote» puede leer, insertar lo que quiera o modificarlo. Seguidamente lo cifra con la clave pública de «Usuario2» y se lo envía. Cuando lo reciba creerá que viene de «Usuario1».

Un ejemplo de «malware» con capacidad «MitM» es «ZeUS», que permite a los atacantes capturar los mensajes SMS de verificación en dos pasos que se envían, desde diferentes servicios, a los usuarios.

Existen numerosas maneras de que los ciberdelincuentes se puedan infiltrar en tus sistemas y redes. Vemos alguna más.

Envenenamiento SEO

Probablemente hayas oído hablar de la optimización de motores de búsqueda o SEO. Se trata de una serie de técnicas y estrategias para mejorar el posicionamiento de un sitio web y que gane una mayor visibilidad en los resultados de los motores de búsqueda.

Envenenamiento SEO
Envenenamiento SEO

Los motores de búsqueda como Google, funcionan presentando una lista de páginas web a los usuarios en función de su solicitud de búsqueda. Estas páginas web se clasifican de acuerdo con la relevancia de su contenido.

Muchas empresas legítimas se especializan en la optimización de sitios web para mejorar su posicionamiento SEO «White Hat SEO», pero los atacantes pueden utilizar técnicas ilícitas para obtener beneficios a corto plazo «Black Hat SEO». Utilizan el SEO, para hacer que un sitio web malicioso aparezca más arriba en los resultados de la búsqueda, aunque tienen el riesgo de ser duramente penalizadas si son detectadas por los motores de búsqueda. Esta técnica se denomina envenenamiento SEO o «SEO Poisoning».

Uno de los principales objetivos del envenenamiento SEO es aumentar el tráfico a sitios web maliciosos que contienen «malware», o intentar ingeniería social.

Descifrado de contraseñas de Wi-Fi

Muchas veces, para conseguir las contraseñas de «Wi-Fi» es suficiente un poco de ingeniería social. Por ejemplo, estás en la cafetería de tu empresa tomando algo cuando otra persona se te acerca, angustiado, y te dice que no puede conectarse a la red «Wi-Fi pública» con su teléfono. Te pregunta si tienes la contraseña de la «Wi-Fi privada» de la empresa para comprobar que su teléfono funciona.

Si se la das, estarás creando una brecha de seguridad y facilitando un «MitM». Mucho cuidado con esto.

Ataque de contraseña a una WiFi
Ataque de contraseña a una WiFi

Pero los «hackers» tienen otras técnicas disponibles. Algunos usan ataques de fuerza bruta, probando posibles combinaciones para intentar adivinar una contraseña. Otros pueden identificar contraseñas sin cifrar escuchando y capturando los paquetes enviados en la red. Esto se denomina rastreo de red, hay software disponible al alcance de cualquiera como «wireshark». Si la contraseña está cifrada, el atacante aún puede revelarla mediante una herramienta de decodificación de contraseñas, como veremos.

«PassGAN» es una aplicación basada en inteligencia artificial, capaz de descifrar contraseñas en menos de un minuto y mostrar lo vulnerable que llega a ser aquello que supones que está protegiendo tus datos.

Ataques de contraseña

Lo más normal cuando nos autenticamos en una aplicación o un sitio web, es que establezcamos un nombre de usuario y una contraseña. La vulneración de estos datos supone que los ciberdelincuentes tengan acceso a todos tus datos e información más valiosa. Veamos los ataques de contraseña más habituales.

Ataques de contraseña
Ataques de contraseña

Pulverización de contraseña

Esta técnica intenta obtener acceso a un sistema «rociando» algunas contraseñas de uso común en un gran número de cuentas de usuario. Por ejemplo, un ciberdelincuente utiliza «Password» con muchos nombres de usuario y después vuelve a intentarlo con una segunda contraseña de uso común, como «guest» o «123456».

Con esta técnica se consigue que el atacante no sea detectado al evitar los bloqueos frecuentes de la cuenta.

Ataques de diccionario

El atacante prueba sistemáticamente todas las palabras de un diccionario, o una lista de palabras de uso común, como «contraseña» o «123456», para intentar logearse en una cuenta protegida con contraseña.

Ataque de fuerza bruta

Esta es la forma más utilizada y simple para obtener acceso a una cuenta protegida por contraseña. Consiste en la utilización de todas las combinaciones posibles de letras, números y caracteres especiales, en el espacio de contraseñas, de forma sistemática, hasta que encuentra la correcta. En 2011, había productos comerciales disponibles que afirmaban tener la capacidad de probar hasta 112.000 contraseñas por segundo en un equipo de escritorio estándar.

Al realizar un ataque de fuerza bruta, el atacante prueba todas las combinaciones posibles hasta encontrar la contraseña. Para ello se apoyan en ficheros con listas de palabras o diccionarios.

Además también disponemos de software específico como «Ophcrack», «L0phtCrack», «THC Hydra», «RainbowCrack» o «Medusa», que probarán cada combinación posible hasta encontrar la coincidencia.

Debido a que los ataques de fuerza bruta llevan su tiempo, las contraseñas complejas costará mucho más tiempo encontrarlas. Hive System va actualizando su famosa «Tabla sobre las contraseñas».

Tabla de contraseñas de "HiveSystem"
Tabla de contraseñas de «Hive System»

Ataques arcoíris

En los sistemas informáticos, las contraseñas no se almacenan como texto sin formato, sino como valores «hash». Una función «hash» es una función matemática que no tiene reverso, es decir, no podemos deducir la contraseña del valor «hash».

Para eso se crean las tablas arcoiris «rainbow», que no son más que una tabla con un gran diccionario de contraseñas y sus valores «hash» precalculados.

Al realizar el ataque arcoiris, compara el «hash» de una contraseña con los almacenados en la tabla «rainbow». Cuando un atacante encuentra una coincidencia, identifica la contraseña utilizada para crear el «hash».

Tiene la ventaja sobre los ataques de fuerza bruta en que no tiene que calcular los «hash» de cada contraseña, agilizando el proceso.

Interceptación de tráfico

Al interceptar una comunicación, con un «sniffer de red», las contraseñas con texto plano o sin cifrar, pueden ser leídas sin ningún problema por el que esta interceptando la comunicación.

Por eso, si almacenas una contraseña en texto plano, cualquier persona que tenga acceso a tu cuenta o dispositivo podrá leerlo aunque no tenga autorización.

Amenazas persistentes avanzadas

Una de las técnicas de infiltración más temibles son las «amenazas persistentes avanzadas» (APT). Son operaciones sigilosas, de múltiples fases y a largo plazo, contra un objetivo específico, que establece un «hackeo» continuo, con el fin de permanecer en el sistema durante mucho tiempo.

Amenazas persistentes avanzadas "APT"
Amenazas persistentes avanzadas «APT»

En consecuencia con el nivel de esfuerzo necesario y las técnicas avanzadas requeridas, estos ataques están dirigidos a objetivos de alto valor como estados y grandes corporaciones, con la finalidad de poder robar información durante mucho tiempo, en vez de entrar y salir rápido para evitar la detección.

Por eso, un atacante individual, normalmente, carece de las habilidades, los recursos o la persistencia para realizar APTs.

Debido a la complejidad y al nivel de habilidad requerido para llevar a cabo un ataque de este tipo, una APT está bien financiada y generalmente apunta a organizaciones o naciones por razones comerciales o políticas.

El objetivo principal es implementar «malware» personalizado en alguno de los sistemas del objetivo y permanecer allí sin ser detectado.

Para evitar que los ciberdelincuentes lancen un ciberataque, las organizaciones deben verificar constantemente las vulnerabilidades de seguridad en sus sistemas y redes. Para ello se dispone de software «antimalware» y se debe monitorear la red con sistemas IDS o sistema de detección de intrusiones, un programa de detección de accesos no autorizados a un equipo o a una red. También existen sistemas IPS o sistema de prevención de intrusos.

Conclusión

Como la ciberseguridad en las empresas suele ser mucho más avanzada que la de los usuarios particulares, las técnicas de infiltración requieren, a menudo, la participación de alguien desde el interior, aunque esta persona no sea consciente de lo que está haciendo. Para estos ataques se despliega una extensa campaña de ingeniería social, como el «whaling» o el «spear phising».

Para proteger las infraestructuras de comunicaciones y maximizar las posibilidades de una defensa exitosa, se debe implementar un conjunto de medidas hardware, como DMZs, cortafuegos, servidores de autenticación bien protegidos, etc… y software como IDSs, IPSs, cortafuegos software, otro software de monitoréo como «NetData Monitoring» y sobre todo una solución de seguridad avanzada, un buen «antimalware».

Además, será necesario contar con el factor humano, tanto de técnicos capacitados con conocimiento en técnicas de ingeniería social, como llevar a cabo una formación, imprescindible, de los usuarios de los sistemas, ya que este es el eslabón más débil de la cadena para los ciberdelincuentes.

Si tienes algún comentario que hacer sobre este artículo, al pie del post tienes un formulario para hacerlo.

Si quieres contactar conmigo por cualquier otro asunto relacionado con el sitio, en la página de contacto, tienes un formulario más adecuado.

Y para suscribirte y recibir las novedades publicadas, tienes un enlace en pie de la página o desde aquí mismo.

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.