Un ataque[1] interno ocurre cuando usuarios legítimos de un sistema actúan de forma no autorizada o irresponsable. Los externos se producen frecuentemente con el empleo de las posibilidades de acceso remoto destinadas a usuarios autorizados.
Respecto a las modalidades más empleadas en los ataques a los sistemas informáticos estaremos hablando con Miguel Gutiérrez Rodríguez, Director General de Informática del Ministerio de Comunicaciones de Cuba.
¿Cuál es el patrón de conducta seguido por los atacantes en los ataques a los sistemas informáticos?
En correspondencia con el blanco elegido para ser atacado, los ataques pueden ser dirigidos o no dirigidos. En el caso de los primeros estos se realizan sobre un blanco determinado de antemano a partir de un interés específico y en el caso de los no dirigidos sobre un sistema al que se le haya detectado alguna vulnerabilidad que posibilite la agresión. En ambos casos el atacante cumple un patrón de conducta recorriendo unas etapas determinadas para lograr su objetivo, así lo muestra Gonzalo García Pierrat, Director de Organización y Control de la Oficina de Seguridad para las Redes Informáticas (OSRI) de Cuba, en su texto, Administración de incidentes de seguridad informática. Explica que durante un ataque dirigido las etapas podrían ser las siguientes:
Reconocimiento – Búsqueda de información sobre la entidad o sistema a atacar.
Exploración (escaneo) – Identificación de sistemas operativos empleados, bases de datos, puertos abiertos y otros.
Enumeración – Servicios que se encuentran en ejecución.
Entrada al sistema – Mediante la explotación de vulnerabilidades existentes en servidores o aplicaciones.
Escalada de privilegios – Una vez dentro tratar de obtener privilegios de administración.
Mantener el acceso – Instalar una puerta trasera para poder acceder fácilmente en un futuro.
Saltar a otros sistemas – Utilizar los accesos obtenidos para acceder a otros sistemas.
Limpieza del rastro – Ocultar o borrar las evidencias del ataque.
Durante un ataque no dirigido la secuencia de acciones es similar, comenzando por una búsqueda aleatoria de vulnerabilidades, que son explotadas para lograr el acceso.
El enfrentamiento exitoso a los ataques dirigidos a los sistemas informáticos, transita por el establecimiento de contramedidas que eviten que se exploten las vulnerabilidades que posean los mismos.
Creo que la identificación de las vulnerabilidades del sistema es vital para aplicar las técnicas de protección que eviten que un ataque tenga éxito. Como un ejemplo positivo se puede mencionar que los portales institucionales de gobierno a todos los niveles, han recibido en menos de un año un número significativo de ataques y un mínimo ha sido exitoso.
Hay otros ejemplos, con menos condiciones de seguridad, donde estos ataques si han tenido éxito. En el proceso investigativo que siempre se hace, se identificaron fallas de seguridad.
Se han registrado casos de ataques internos por violación de las medidas de seguridad, lo cual es también un problema internacional. En ese sentido se han detectado pérdidas de información vital para las entidades a partir de la introducción de dispositivos externos (memorias flash, discos externos y otros) por usuarios legítimos.
¿Cuáles son las herramientas más utilizadas por los atacantes para la obtención de información sobre el blanco seleccionado?
El ataque a una red informática estará casi siempre precedido de una intensa actividad de exploración, que en muchos casos puede no ser advertida, durante la cual el atacante busca información sobre la topología, estructura y composición de las redes, la profundidad y solidez de las defensas y los probables puntos débiles de las mismas.
De manera general se utilizan las siguientes herramientas:
Protocolo SNMP: Se utiliza para examinar la tabla de ruteo en un dispositivo inseguro, con el fin de conocer los detalles más íntimos acerca del objetivo de la topología de red perteneciente a una organización.
Programa TraceRoute: Puede revelar el número de redes intermedias y los ruteadores en torno al servidor específico escogido como blanco del ataque.
Protocolo Whois: Servicio de información que provee datos acerca de todos los dominios DNS y el administrador responsable para cada dominio.
Programa Nslookup: Para acceder a los servidores DNS a fin de obtener una lista de las direcciones IP y sus correspondientes nombres.
Protocolo Finger: Puede revelar información detallada acerca de los usuarios de un servidor específico (números telefónicos, tiempo y última sesión y otros).
A partir de la información obtenida, el agresor podrá iniciar acciones con el objetivo de lograr el acceso a algunas de las computadoras exploradas y poner en peligro a toda la red.
En Internet hay disponibles varias herramientas que pueden examinar una subred o un dominio y ver las posibles fallas de seguridad. Estos programas determinan la debilidad de cada uno de los sistemas con respecto a puntos de vulnerabilidad comunes. El atacante usa la información obtenida por este tipo de rastreadores para intentar el acceso no autorizado al sistema de la organización objeto de ataque.
Como es lógico, los directivos de las empresas y entidades no pueden dominar los detalles técnicos citados, para eso están los especialistas en informática y en ciberseguridad; pero sí deben tener una cultura general en estas cuestiones. En la misma medida que avance la informatización y automatización de los procesos de una organización debe avanzar la ciberseguridad, son como las dos alas de un pájaro.
[1] Se denomina ataque al intento de acceso o acceso a un sistema o una red informática o terminal mediante la explotación de vulnerabilidades existentes en su seguridad.
Pingback: ¿Cuáles son las modalidades más empleadas en los ataques a los sistemas informáticos? | argencuba
Pingback: ¿Cuáles son las modalidades más empleadas en los ataques a los sistemas informáticos? | VenCuba