This post is also available in: Português Español
Conferencia de Seguridad en EUA enumera los tipos de ataques que fueron reevaluados y que aún siguen siendo amenazas a las cuales temer.
La RSA Conference 2020 realizada en San Francisco, finalizó el 28 de febrero; es un evento enfocado en la seguridad de la información que reunió a más de 36.000 participantes y 700 ponentes. Esta convención es considerada una de las grandes referencias del sector, en el mundo. Entre los puntos más resaltantes de la misma, se encuentra la sesión anual: “Los 5 nuevos métodos de ataques más peligrosos y cómo combatirlos”, dirigida por especialistas del Instituto SANS.
Con todo, este año, muchas no eran exactamente nuevas, ya que se tratan de amenazas antiguas que resurgieron. Y, a pesar de que el título de la sesión se refiera a 5 nuevos métodos de ataques, los analistas llegaron hasta los 7. Veámoslos a continuación:
Comando y Control (C2)
EL profesor Ed Skoudis, del Instituto SANS, destacó lo que él llamó “la era dorada del C2” como una de las principales amenazas nuevas. C2 significa control de comando, y generalmente se relaciona a una actividad de botnet controlada a partir de un punto de comando central.
Skoudis mostró varias maneras cómo las empresas pueden protegerse de ese problema. Entre las sugerencias se mencionaron medios para controlar fuertemente el tráfico de salida y buscar señales y anomalías en logs. También propuso que los profesionales de seguridad promovieran la creación de listas blancas de softwares para limitar lo que puede ser ejecutado dentro de la empresa.
Viviendo de la Tierra
Otra tendencia que Skoudis expuso fue el concepto de “vivir de la tierra” (Living Off The Land), que se refiere al acto, por parte de los hackers, de usar herramientas que ya están presentes en una empresa y luego aprovecharlas para obtener ganancias maliciosas. El término es una alusión a grupos de nómadas que consumen sólo lo que la tierra les ofrece, sin modificar lo que ya estaba allí cuando llegaron. “Si usted es un hacker, lo que usted puede hacer es usar los recursos del propio sistema operacional para atacar esa máquina y esparcirse a otros sistemas”, dijo. Este concepto tampoco es totalmente nuevo, ya que a mediados del 2015 ya había sido informado.
Existen varios métodos para que las compañías se protejan. Skoudis citó un conjunto de recursos en el proyecto LOLBAS, que presenta herramientas para ayudar a identificar y limitar el riesgo de ataques de ese tipo.
Amenazas persistentes avanzadas
Con respecto a la amenaza persistente avanzada, Skoudis advirtió que el malware ahora puede entrar a los dispositivos de una manera que antes no ocurría. Por ejemplo, él observó que ahora es posible introducir un malware en un cable de cargador USB. Con estos cables, incluso si la empresa consigue eliminar cualquier malware instalado en un determinado sistema, con el acceso persistente avanzado, la próxima vez que el cable sea conectado se infectará todo de nuevo.
Skoudis dice que es importante que los trabajadores y directores no conecten nada al sistema, pues es necesario que antes, se aseguren que los cables y otros componentes estén chequeados y hayan sido adquiridos de fuentes confiables.
Integridad de dispositivos móviles
Heather Mahalik, profesora destacada y directora de inteligencia digital del Instituto SANS, destacó el riesgo de los dispositivos móviles como una de las principales amenazas.
Como los teléfonos celulares se volvieron una parte esencial de nuestra vida cotidiana, ella observó que, si un teléfono cae en las manos equivocadas, puede ser catastrófico. Ella no se estaba refiriendo solamente a dispositivos perdidos o robados, sino también al peligro de aparatos restaurados al que no se le eliminaron correctamente los datos del propietario anterior. Ella también mencionó el riesgo de vulnerabilidad checkm8 en los dispositivos Apple IOS, vulnerabilidad permite el jailbreak de checkra1n.
Fallas en la autenticación de doble factor
La autenticación de doble factor (2FA) es una práctica recomendada para mejorar la seguridad del usuario, pero tampoco es infalible. Mahalik mostró que no es suficiente con simplemente tener un código que debe ser digitado en 2FA. Ella también advirtió que existen algunos aplicativos que solamente piden un número de teléfono, lo que es un riesgoso si un usuario cambia de número y un tiempo después la operadora le otorga ese número a un nuevo cliente. En Brasil, usualmente, cuando se cancela un número, aproximadamente 6 meses después, este queda a la disposición de las operadoras para ser comercializado.
“Usted necesita de una contraseña y de un 2FA”, adicionó. “Si solo tiene uno de los dos, no existe una seguridad verdadera”. Mahalik sugirió que, cuando los usuarios obtengan un nuevo número de teléfono, asegurarse de entrar en todos los aplicativos con el 2FA y reemplazar al número viejo con el nuevo.
Vulnerabilidades del perímetro corporativo
Johannes Ullrich, miembro del instituto SANS, identificó el riesgo de vulnerabilidades en el perímetro de las empresas como una de las principales amenazas. En el año pasado, él enfatizó que hubo varios problemas, conocidos públicamente, en dispositivos corporativos de firewall y perímetro de seguridad.
Además de aplicar parches, Ullrich sugiere que los usuarios nunca expongan las interfaces administrativas de los productos de seguridad de perímetro en la internet pública
APIs de host local
Las amenazas emergentes finales, identificadas por Ullrich, son las APIs de host local integradas en aplicativos corporativos. A pesar de que el propósito de las APIs sea habilitar funciones como soporte y agentes técnicos, ellas también exponen a las empresas a un riesgo potencial.
Para ayudar a limitar amenazas de ese tipo, Ullrich sugiere que los usuarios, siempre que puedan, identifiquen todo lo que debe entrar en un sistema y monitoreen cómo los aplicativos lidian con los recursos externos. Los especialistas refirman de esa manera que todo cuidado es poco cuando se trata de seguridad digital y que cualquier vulnerabilidad, por pequeña que sea, representa un riesgo potencial (que los cibercriminales pueden estar vigilando en ese preciso momento).