Actualmente vivimos sumergidos en una sociedad que interactúa diariamente con las tecnologías de la información como parte de sus tareas diarias; desde el uso del cajero ATM, el pago en el supermercado hasta la actualización del estado en nuestra red social favorita. Si bien es cierto que la privacidad es un derecho humano, el uso del correo electrónico, tarjetas de crédito y toda aquella actividad que utilice de manera electrónica nuestros datos, requiere que la privacidad de la información de cada ser humano u organización sea protegida durante el uso de estos servicios. Cada individuo vive con una serie de datos como son el correo electrónico, número telefónico, CURP, historial crediticio, etc., los cuales utilizamos e intercambiamos diariamente con personas, compañías e incluso el gobierno. Cada vez que solicitamos un crédito o inclusive al solicitar empleo, estos datos son consultados y juzgados a favor o en contra de nosotros. Básicamente lo que le pase a nuestros datos, nos afecta directamente a nosotros, en medida de que aquella información considerada como privada sea modificada o consultada sin nuestra autorización.
Por otra parte, en las organizaciones cada vez es más común escuchar que la protección de la información es una iniciativa clave para la operación del negocio, desde la información de clientes y proveedores pasando por el material con propiedad intelectual hasta el correo personal de los empleados. Esto ha orillado a varias empresas a implementar estrategias de protección y monitoreo del uso de la información, que permitan reducir el riesgo de que algún empleado pueda ser víctima de un ataque masivo o incluso de un ataque dirigido hacia él en particular, con el objeto de obtener información confidencial de la organización.
Ataques dirigidos
A diferencia de un ataque de tipo broadcast que es más propenso a ser identificado rápidamente por alguna firma antivirus como un código malicioso, en un ataque dirigido el intruso debe ser paciente previo al ataque, buscando la oportunidad correcta para acceder a una sola computadora que pueda contener información confidencial o que permita el acceso a otros sistemas dentro de una red privada. Esta es la característica principal de un ataque dirigido (también conocido como targeted attack), el cual difiere del escenario tradicional de un ataque por malware, spam o phishing.
Por ejemplo, en un escenario tradicional el intruso busca propagar su malware de manera masiva, con el objeto de tener el control de tantos equipos como sea posible, para posteriormente enviar correo spam, generar ataques de negación de servicio o rentar esta red de equipos comprometidos a un mejor postor, entre otro tipo de actividades. Sin embargo, durante la propagación del código malicioso es muy probable que una muestra de este código sea capturada por un honeypot o una honeynetde una firma de seguridad, y sea analizada para generar una actualización de un software antivirus que proteja a los usuarios de dicha amenaza.
En un ataque dirigido no existe una propagación de malware, ni el envío masivo de correo electrónico a varias direcciones, en lugar de ello, el intruso envía cinco, tres o incluso un solo correo electrónico con malware como archivo adjunto. Esto conlleva a que sea difícil obtener una muestra de este malware ya que muy probablemente nunca es capturado por un honeypot, en cambio solo afecta a una sola organización y posiblemente a un solo empleado. Si este usuario no se da cuenta de que este correo tiene un código malicioso como adjunto, pasará desapercibido por la organización y por ende por la mayoría de las firmas antivirus.
¿Cómo funciona un ataque dirigido?
Primero que nada el intruso es paciente, analiza a la víctima y busca la oportunidad apropiada para realizar un ataque exitoso. Previo al ataque, el intruso investiga a su víctima utilizando la información de fácil acceso. Por ejemplo, si la víctima es una organización, el intruso podría identificar el objetivo del ataque por medio del organigrama que está disponible en la página web de la empresa, investigar sobre sus socios de negocio y conocer un poco sobre la industria sobre la que opera la organización de manera que pueda crear un correo electrónico con un mensaje creíble para el usuario y que propicie la apertura del código malicioso. Incluso el intruso podría utilizar ingeniería social en llamadas hechas a individuos identificados en el organigrama de la organización para obtener más información sobre el objetivo.
Una vez que se cuenta con toda esta información, el intruso busca la manera de influenciar al usuario a que abra el archivo adjunto; comúnmente un archivo .doc, .exe, .pdf, .xls o .ppt que puede contener una carta o presentación proveniente de un proveedor o de la editorial de una de sus revistas electrónicas preferidas a la cual está suscrito. Si el usuario obtiene el correo y ejecuta el código malicioso que viene adjunto, el malware tomará control de su computadora y dará acceso remoto al intruso mientras utiliza técnicas para ocultar su presencia en el equipo del usuario, estas técnicas son similares a las utilizadas por rootkits.
Ahora es cuestión de tiempo para que el intruso obtenga información confidencial del usuario o peor aún, que pueda comprometer a otros sistemas dentro de la red privada de la organización, sistemas con información de más alto valor para la víctima.
¿Cómo protegerse?
Veamos el caso de una organización con problemas de propagación de spam. Si este correo llega a uno de los empleados, se supone que fue una excepción mal manejada por el filtro anti-spam. Sin embargo, en el caso de un ataque dirigido si uno de los empleados recibe este correo, este empleado es el objetivo del ataque, el cual busca obtener su información personal o de la organización. Por estos motivos hay que proteger al eslabón más débil, el usuario, teniendo en cuenta las siguientes recomendaciones:
- Capacitación de empleados. Que los empleados sepan manejar información confidencial y que sean conscientes sobre el manejo de la información al interior de la organización en un mayor grado, ayudará a que la identificación de este tipo de ataques sea hecha, en la mayoría de las ocasiones, por las propias víctimas.
- Asegurar la red. El intruso buscará información sobre la victima previo al ataque, si esta información no la puede obtener por medio de ingeniería social o de manera directa en la información pública de la organización, buscará obtenerla mediante un ataque sobre la red.
- Evitar proporcionar información de más. Un ataque dirigido requiere que el intruso conozca bien a la víctima y mientras más información le proporcionemos, será más probable que seamos víctimas de este ataque. Consideremos que los datos de contacto y la estructura organizacional de la empresa son datos confidenciales.
- Deshacerse de información confidencial de manera adecuada. Se recomienda implementar procesos para el procesamiento de documentos confidenciales que han sido desechados. No se debe permitir que los empleados se deshagan de esta información directamente en el basurero, se debe utilizar un triturador o mejor aún, un contenedor de documentos para su posterior procesamiento.
El tener en consideración las recomendaciones anteriores y mientras que el personal de cumplimiento a las políticas de seguridad alineadas a las mejores prácticas para el manejo de la información y mejor aún, que exista un compromiso de la dirección de la organización para el cumplimiento de estos procesos, ayudará a mitigar el riesgo de un ataque dirigido.
