Para las empresas, la conexión a internet es una herramienta fundamental para promocionarse y utilizar servicios como el almacenamiento de copias de seguridad y la sincronización de archivos en la nube o el uso de correo empresarial con cifrado, entre muchas otras cosas. Sin embargo, tanto empresas como particulares que utilizan la red en su día a día, son vulnerables de sufrir un ataque informático que ponga en riesgo la tríada CID de sus datos: su Confidencialidad, Integridad y Disponibilidad.
Por lo tanto, se hace indispensable tomar medidas de prevención para reducir la probabilidad de sufrir un ciberataque. A parte de implementar medidas de seguridad, conocer las fases de un ataque informático es algo fundamental para aumentar las probabilidades de detectar, detener, interrumpir y recuperarnos de un ataque informático.
¿Cuáles son las fases de un ataque informático?
Tenemos que imaginarnos algo como lo que ocurre en todas las películas de atracos: hay un grupo de personas y cada una está especializada en una cosa. Está el que es experto en recabar información, también hay una que es una conductora excelente, otro tiene un gran talento descifrando contraseñas y otra que se infiltra en la empresa objetivo. Este grupo variado y cohesionado, planifica una serie de pasos a seguir con el objetivo de obtener información, alterar datos u obtener beneficio económico. Con los ataques informáticos pasa lo mismo, puede ser un grupo de ciberatacantes o una persona, pero las fases por las que pasan son las mismas. Según el conjunto de analistas de Lockheed Martin Corporation, la secuencia de fases es la siguiente:
Reconocimiento. Se empieza recopilando información sobre la empresa para hallar sus puntos débiles. A los ciberatacantes les interesa conocer los horarios del personal, correos de la empresa, información de redes sociales, etc.
Pueden obtener esta información sin tener que interactuar pero también pueden recabarla mediante ingeniería social haciéndose pasar por una técnica informática, un repartidor o llamando a recepción.
Preparación. Una vez recopilada la información que necesitaban, las vulnerabilidades de la empresa, el atacante o atacantes se preparan. En este momento pueden diseñar un malware que podría ser un virus, un gusano o un keylogger (entre otros) para dirigir al objetivo. No tener los equipos informáticos actualizados, tener el router a la vista o no disponer de antivirus actualizado a la última versión son vulnerabilidades mediante las cuales pueden amenazar nuestros datos.
Distribución. En este punto, los cibercriminales lanzan el malware u otro tipo de ataque al objetivo. Los métodos de distribución varían pero las técnicas más comunes son:
-
El ataque phishing.
-
Dispositivos USB infectados.
-
Explotar una vulnerabilidad de software o hardware.
-
Obtener credenciales de usuario.
-
Una descarga que instala malware con un programa regular.
-
Hackeo de puertos abiertos u otro punto de acceso externo.
Explotación. Se llega a este momento de la secuencia cuando, por ejemplo, se acepta la instalación de un programa que parecía inocuo pero que contenía un malware. En este punto se ha comprometido el equipo. El atacante ha obtenido el acceso en el ordenador o servidor objetivo.
Instalación. En esta fase la persona ciberatacante asegura el acceso en el equipo de la víctima instalando una puerta trasera que le permita acceder en un período de tiempo prolongado.
Comando y control. En este momento el o la ciberatacante manipula en remoto el equipo de la víctima. Puede sustraer información confidencial, alterar o eliminar datos.
Acciones sobre los objetivos. Los atacantes han alcanzado su objetivo y se plantean cuál será su siguiente meta. Tras esto, las fases pueden volver a empezar en otro equipo o sistema informático de la empresa o de la red doméstica.
Como pueden ver, se trata de una sucesión de pasos, no se puede avanzar en el ataque si, por ejemplo, en la fase de distribución, el ataque phishing fue detectado y comunicado a la empresa. Que la empresa sea consciente del ataque y que conozca por qué fases transcurre el atacante permite a las empresas planificar estrategias para prevenir y detectar intrusos maliciosos y prepararse para las amenazas más comunes como los ataques ransomware.
¿Qué podemos hacer para parar la cadena?
Antes que nada, es importante concienciar a toda la plantilla sobre seguridad informática y realizar auditorías de seguridad informática para probar la seguridad de los datos y corregir vulnerabilidades. Y además hay que asegurar, entre otras cosas, que:
-
Los sistemas operativos y programas estén actualizados y que tengan todos los parches de seguridad instalados.
-
Dispone de antivirus y cortafuegos actualizados a la última versión.
-
Se realicen búsqueda de malware en nuestros sistemas.
-
Se monitorea la red de la empresa o doméstica para detectar comportamientos sospechosos.
-
La plantilla debe comunicar si ha recibido llamadas, correos o mensajes sospechosos en el teléfono fijo de la empresa o en las redes sociales.
-
Se limite la cantidad de datos públicos de la empresa en redes sociales.
-
Se protejan aquellos empleados o sistemas que pueden ser objetivo de atacantes que busquen información.
