Si ha seguido esta serie sobre seguridad de la información hasta ahora (
Parte 1 y
Parte 2), debe tener una idea de qué puntos del proceso de comunicación lo dejan expuesto y qué tipo de herramientas los cubren.
Dado que las amenazas de categoría 1 son predominantemente pasivas (permitiéndole llegar a ellas), puede usarlas para practicar para apuntalar las debilidades. Sabes exactamente lo que persiguen estos adversarios, y puedes tomarte el tiempo para configurar tus defensas justo antes de ponerlos a prueba.
Comenzando con la categoría 2, debes estar en tu juego A. Estos enemigos no esperan que estés listo, y tienen un arsenal más grande y variado. Afortunadamente, de ahora en adelante, esta serie se aplicará a exponencialmente menos de ustedes.
La gran mayoría de las personas se preocupan por ser víctimas de atacantes de categoría 2, que generalmente pueden clasificarse como hackers de sombrero negro de algún tipo. Sin embargo, el hecho es que los temores de ser pirateados están en su mayoría fuera de lugar.
Mas que
tres cuartos de los estadounidenses están preocupados de que sean pirateadosy las encuestas muestran que
la mayoría de las personas ven los ataques de piratería como la mayor amenaza a la estabilidad social.
En realidad, sin embargo,
solo el 36 por ciento de los estadounidenses han informado que fueron pirateados al menos una vez.
Claramente, algunas personas están en riesgo, entonces, ¿cómo saber si usted es uno de ellos? Al igual que los delincuentes convencionales, los hackers criminales eligen objetivos fáciles y lucrativos.
Algunos objetivos se ajustan a este perfil. Un grupo en la mira está compuesto por compañías que tienen datos de millones de usuarios, como entidades del sector privado con presencia en la Web. ¿Por qué ir tras los datos de un usuario a la vez cuando ya están recopilados en un solo lugar?
A los hackers criminales también les gusta cazar organizaciones pequeñas que tienen un capital modesto pero una seguridad de la información débil. El ransomware, que es rampante contra estos objetivos, es particularmente devastador porque a menudo no tienen el personal técnico para recuperarse, y muchos recurren al pago del rescate.
Al igual que con el crimen análogo, figuras públicas altamente influyentes como celebridades y políticos también son acosados por piratas informáticos criminales.
Los que se clasifican a sí mismos como "personas normales" son en general menos propensos a enfrentar ataques de la categoría 2, pero existen excepciones. Incluso para aquellos que evitan el centro de atención, los individuos más ricos son buscados por sombreros negros, por razones obvias.
Los propietarios de billeteras de criptomonedas también son una marca favorita, ya que varios de ellos abrieron rápidamente una billetera durante la fiebre del oro de la criptomoneda, con la seguridad como una ocurrencia tardía.
Los sombreros negros no solo buscan dinero, sino que también buscan información altamente confidencial. Periodistas, líderes empresariales, políticos y personal militar, entre otros, se encuentran sujetos a amenazas de categoría 2 porque la información que poseen puede tener una influencia dramática en la distribución del poder y los recursos materiales.
El personal de seguridad de la información también puede ser atacado por sombreros negros, ya que estos profesionales pueden disfrutar del acceso a personas u organizaciones como las anteriores. Si administra los sistemas en los que operan los titanes de negocios o los políticos, comprometerlo es tan bueno como comprometer esas cifras directamente.
Lo que une a todas estas víctimas potenciales es que tienen datos que son notablemente valiosos para ciertos intereses motivados. Si se ajusta a alguno de estos perfiles objetivo, preste atención.
Black Hat Black Ops (y sus cargas)
¿Quién está disparando exactamente para estos objetivos? La categoría 2 abarca un espectro de actores.
El arquetipo del hacker solitario está representado aquí, aunque los actores de esta categoría tienen motivaciones diversas.
El sombrero negro solitario puede querer causar travesuras y ganar notoriedad al comprometer a una víctima de alto perfil. Un atacante solitario podría intentar ganar dinero fácilmente robando moneda fiduciaria o criptomoneda.
También hay un subconjunto de ejércitos de hackers interesados en información especializada porque operan en círculos donde es codiciada. Por ejemplo, un hacktivista estaría motivado para comprometer a un oponente ideológico para socavar la actividad política de este último.
Como con la mayoría de las cosas, los piratas informáticos pueden lograr más en un grupo de lo que pueden por sí solos. Muchas tripulaciones de sombrero negro comparten los objetivos anteriores que los solitarios tienen, pero pueden asumir operaciones más complejas. Algunos equipos de sombrero negro llevan a cabo espionaje corporativo, como robar secretos comerciales.
Además, un grupo de piratas informáticos maliciosos podría actuar para sabotear una investigación criminal o periodística, una empresa que generalmente es auxiliar para otras actividades nefastas. Los escuadrones de piratería maliciosa podrían movilizarse a instancias o inspiración de los estados-nación, alineando los objetivos como un poder o grupo de afinidad.
Las técnicas que emplean estos adversarios son tan amplias como sus objetivos, y generalmente se mezclan en cualquier operación. Sin embargo, ayuda a familiarizarse con el oficio enemigo básico.
Como cualquier buen enemigo, los adversarios de categoría 2 atacan las brechas en su armadura, la mayor de las cuales son las contraseñas. Hay algunas formas en que los hackers descifran las contraseñas. El primero es adivinar la fuerza bruta. Esto implica ejecutar un programa que adivina rápidamente múltiples contraseñas potenciales para ver si algo funciona. Por defecto, estos programas prueban las contraseñas más comunes, pero los objetivos inteligentes pueden evitar este escollo.
Para evitar esto, los atacantes reunirán inteligencia de código abierto (OSINT) en su objetivo, verificando cosas como perfiles de redes sociales o registros públicos, para tener una idea de las palabras clave que podría contener la contraseña del objetivo. Una vez que se identifican, el atacante configura el software de craqueo para mezclar estas palabras clave en las contraseñas adivinadas.
El segundo método de ataque basado en contraseña aprovecha las cuentas previamente violadas. Dado que el estadounidense promedio tiene algo de
unas pocas docenas a
más de cien cuentas en línea, y una encuesta de Pew Research de 2017 muestra que
casi dos quintos de los adultos reutilizan contraseñas idénticas o similares – Es muy probable que la contraseña de una cuenta violada pueda abrir otra.
Peor aún, los usuarios que reutilizan las contraseñas están a merced del servicio menos protegido: si el sitio en el que creó una cuenta es propietario, una contraseña reutilizada puede hacer que su vida en línea se caiga.
Otra herramienta favorita de sombrero negro es la ingeniería social, que es la manipulación de
sesgos cognitivos
Por ejemplo, si está en una organización lo suficientemente grande como para que trabajar con extraños prácticos sea algo común, es posible que no piense en alguien que dice ser algo así de TI que le pide que verifique su contraseña. Los piratas informáticos maliciosos se hacen pasar por todo el tiempo para engañar no solo a sus objetivos, sino también a los operadores de servicios que utilizan los objetivos.
Para dar un ejemplo más concreto, los atacantes se comunicarán con el proveedor de servicios celulares de la víctima, se harán pasar por la víctima y convencerán al proveedor de que cambie la tarjeta SIM de la víctima a la suya, escuchando las llamadas y los mensajes de texto de la víctima. Luego usan esto para un mayor compromiso. Por lo tanto, los efectos de la ingeniería social son tan peligrosos como simples.
Si esos medios no lo cortan, los sombreros negros pueden recurrir a troyanos. Al igual que el truco de su homónimo caballo de madera gigante realizado con soldados griegos, los troyanos están diseñados para parecer legítimos para colarse en exploits de software. En este sentido, tienen mucho en común con la ingeniería social.
Los troyanos se disfrazan de software, archivos o URL inocuos que el objetivo probablemente buscará o aceptará a ciegas. Los objetivos que desean lo que parece ofrecerse a menudo bajan la guardia.
Los adversarios dispuestos a trabajar más pueden aprovechar vulnerabilidades sin parches en el software que su cantera ha instalado. Si son de primer nivel, pueden ejercer una vulnerabilidad de día cero, una que los desarrolladores del software aún no conocen, pero la mayoría de los atacantes explotarán una vulnerabilidad que ya se sabe que existe, pero los usuarios pueden no tener parcheado
El último (al menos en esta descripción general de alto nivel), pero no menos importante en el comercio de sombrero negro es el ataque de hombre en el medio (MITM). Este es uno de los ataques más agresivos pero más efectivos que los hackers malintencionados pueden llevar a cabo, porque literalmente se interponen entre el dispositivo de su objetivo y todos los canales de comunicación.
Desde esta posición, están en una posición no solo para leer todo lo que el usuario envía y recibe, sino también para modificar las transmisiones en cualquier dirección. Es una posición difícil de ocupar, pero que todos los sombreros negros anhelan: controlan todo lo que sale o sale del dispositivo, y el usuario nunca lo sabrá.
¿Cómo provocan los adversarios un ataque MITM? Las redes abiertas son su mejor opción, ya que dejan las comunicaciones visibles para cualquiera. Los sombreros negros también irán con redes protegidas por contraseña en un apuro, especialmente las redes que pertenecen a sus presas, ya que generalmente son triviales para descifrar.
Los atacantes pueden llevar los ataques MITM al siguiente nivel al comprometer un dispositivo en su red. Bajo este modelo, buscarán un dispositivo siempre encendido que el usuario no configure o monitoree cuidadosamente, como un enrutador inalámbrico o un dispositivo de Internet de las cosas.
Una vez que los hackers malintencionados se hacen cargo, ven mucho de lo que está haciendo en la red y, a menudo, pueden interponerse entre usted e Internet a través de trucos como la falsificación ARP (Protocolo de resolución de direcciones), que engaña a su computadora para que pase su tráfico de Internet dispositivo infectado La única forma de detectar algo como esto es revisar su tabla ARP. ¿Ha revisado su tabla ARP recientemente? Exactamente.
Me quito el sombrero ante las herramientas de seguridad
Por desalentador que sea, no estás indefenso al enfrentarlo.
Su mejor línea de defensa es reforzar sus contraseñas con un administrador de contraseñas. Este sencillo programa crea un archivo encriptado con todas las contraseñas de su cuenta, y lo abre solo cuando se ingresa una contraseña maestra. Cada cuenta aparece en el archivo "bóveda" con su contraseña correspondiente. Cuando desee desbloquear una cuenta, abra la bóveda de contraseñas y copie y pegue la contraseña destacada (pero intacta) de su entrada de bóveda en el campo de contraseña de la cuenta.
Los administradores de contraseñas confieren enormes beneficios. Con ellos, cada contraseña puede ser única, evitando que los atacantes reintenten las contraseñas con éxito. También le permiten crear contraseñas altamente aleatorias para cada cuenta, evitando ataques de fuerza bruta impulsados por el diccionario. Debido a que solo copia y pega la contraseña, no tiene que saber cuál es.
Las contraseñas de alta entropía realmente son su único recurso con las cuentas en línea, ya que el operador del servicio se encarga del resto. Los administradores de contraseñas son solo la ruta más directa a tales contraseñas.
Otra forma de bloquear sus cuentas es usar una clave 2FA. Para entender por qué, necesitamos un curso intensivo en teoría de autenticación. La autenticación es otorgar acceso a las personas mediante la confirmación de sus identidades, prueba de que toma una de tres formas. Las personas pueden autenticar sus dentaduras produciendo algo que saben (por ejemplo, una contraseña), algo que son (por ejemplo, un identificador biométrico) o algo que tienen.
Tradicionalmente, la mayoría de las personas ha protegido cada cuenta con solo una de ellas a la vez, generalmente "algo que saben". La autenticación de dos factores (2FA) se basa en la idea de que es más seguro requerir dos formas de autenticación en lugar de una. Por lo general, 2FA toma la forma de una "clave 2FA", un dongle físico que debe estar presente cuando ingresa una contraseña, para "verificar" su identidad.
Emplear 2FA es bastante común ahora que hay opciones fáciles de usar para las claves 2FA. Si no tiene una clave física 2FA, puede configurar la autenticación multifactor (MFA) con su dispositivo móvil. Bajo este esquema, una solicitud de inicio de sesión requiere un PIN único que se envía a su dispositivo móvil. Debido a que se supone que usted es el único portador de su dispositivo móvil, actúa como un segundo factor "algo que tiene".
A medida que la ingeniería social explota las tendencias humanas naturales, no existe una herramienta única o heurística cognitiva que la derrote. Sin embargo, lo que puede hacer es practicar un alto nivel de escepticismo. Examina todos los mensajes que recibes. Antes de responder a un mensaje o cumplir con sus directivas, realice siempre algún tipo de comprobación de validez que valide que el mensaje es de la parte de la que dice ser.
Los diagnósticos se verán diferentes para cada medio, pero esta verificación implicará confirmar que proviene de la dirección correcta, emitida en el tono verbal o escrito correcto, y exhibir el comportamiento correcto para el individuo o rol que supuestamente representa el interlocutor.
Los enlaces son el mecanismo de entrega más común para las hazañas de ingeniería social, por lo que siempre debe tratarlos con cuidado. Como hábito general, independientemente de si considera que el remitente es legítimo o no, no debe hacer clic en los enlaces a menos que esté seguro de a dónde van.
Puede resolverlo colocando el mouse sobre el enlace sin haciendo clic en él Su navegador previsualizará el destino final con un mouseover en una esquina inferior de la ventana de su navegador. Aún mejor, si no tiene que ir a donde lleva el enlace, simplemente no lo haga. Para los enlaces a los que necesita acceder, navegue por su cuenta ingresando la URL o buscándola en línea.
Si bien los archivos son un vehículo menos común para los troyanos, son más destructivos. Con eso en mente, tenga cuidado con los archivos que maneja. Una de las formas más fáciles de ser golpeado con un troyano es transmitir o descargar contenido de fuentes incompletas. No estoy aquí para dar una conferencia antipiratería, solo para advertirte de una vía principal para el ataque. Cuando diverges de los canales oficiales, nunca sabes realmente quién está ofreciendo el archivo que buscas, o qué hay realmente en él. Interactuar voluntariamente con él lo invita a su sistema.
Al igual que con los enlaces, no maneje archivos que no necesita, especialmente de personas en las que no confía. Si es inevitable manejar archivos, primero ejecútelos a través de un escáner de malware. Esto ya no requiere una exploración antivirus, pero se puede lograr con una exploración rápida por un servicio basado en la web como
VirusTotal.
Estos escáneres basados en la web sirven como un meta-repositorio que contiene "firmas" de malware confirmado: cuando se cargan los archivos, se verifican contra todas las firmas. Técnicamente, esto funciona solo si el ataque se ha intentado antes en algún lugar. A menos que sea un objetivo de un valor extremadamente alto (uno de los que cazaría un actor de amenaza de categoría 3), su adversario seguramente reciclará un ataque contra usted.
Esto puede ser tan común como para ser trivial, pero vale la pena repetirlo: siempre actualice su dispositivo inmediatamente cuando haya una actualización disponible. Si es posible, no use su dispositivo en ningún lugar que no sea su red doméstica hasta que lo actualice. Esto reduce la posibilidad de que su dispositivo aún vulnerable sea expuesto a ataques.
Tenga en cuenta también los ciclos de soporte de seguridad de su dispositivo. Este es el período de tiempo durante el cual los desarrolladores de su sistema operativo escribirán e implementarán actualizaciones del sistema operativo en su dispositivo.
Para dispositivos móviles, esté especialmente atento, ya que los ciclos de soporte tienden a durar solo de tres a cinco años a partir de la fecha de lanzamiento. Una vez que su dispositivo esté fuera de soporte, compre uno nuevo. Cuando lo haga, asegúrese de comprar un dispositivo desbloqueado. Debido a que no está bajo el control del operador, evita sufrir la intromisión del operador que introduce demoras entre el desarrollador del sistema operativo y su dispositivo, asegurando que reciba actualizaciones inmaculadas de inmediato.
Las computadoras personales (es decir, las computadoras de escritorio y las computadoras portátiles) también tienen un ciclo de soporte que debe rastrear, pero generalmente es más largo. En muchos casos, es funcionalmente indefinido, pero requiere intervención manual para ejecutar actualizaciones de versiones principales. Cuando su hardware sea demasiado viejo para admitir la última actualización del sistema operativo, compre uno nuevo. Si esto no es financieramente factible, cambie a una distribución Linux de escritorio.
Para aquellos de ustedes que estudiaron la entrada anterior de esta serie, la práctica de usar redes privadas virtuales será familiar. Si no estás seguro de qué es una VPN, te recomiendo
consulte la Parte 2 antes de continuar.
Además de frustrar a su ISP, una VPN frustra los ataques MITM, porque se garantiza que habrá al menos una capa encriptada sobre su comunicación, incluso cuando esté en redes expuestas (por ejemplo, redes inalámbricas abiertas).
Sin embargo, hay una manera de mejorar su VPN, que es mediante el empleo de un dispositivo proxy transparente. Este es un dispositivo con dos radios: uno para conectarse a su dispositivo de usuario final (por ejemplo, una computadora portátil) y otro para conectarse al punto de acceso a la red (AP).
Esto coloca un dispositivo proxy entre usted y su red para mantener su dispositivo de usuario final a un paso de una red potencialmente hostil. El dispositivo proxy se conecta automáticamente a su VPN y reenvía todo el tráfico de su dispositivo de usuario final a través de la VPN. Para los observadores, su dispositivo de usuario final ni siquiera está en la red, porque el AP no puede verlo.
Dónde ir a continuación
A estas alturas ya has aprendido algunas técnicas defensivas bastante formidables que, si se practican con habilidad, te pondrán muy por delante de la manada. Además, el modo de análisis que necesita para contrarrestar estas amenazas lo equipa a evaluar nuevas amenazas metódicamente.
Con respecto a la categoría 3, esta mentalidad será empujada casi más allá del reconocimiento. Por ahora, haga un balance de lo que tiene. Cuando nos encontramos de nuevo, comenzamos nuestro descenso a la locura.
Jonathan Terrasi ha sido columnista de ECT News Network desde 2017. Sus principales intereses son la seguridad informática (especialmente con el escritorio de Linux), el cifrado y el análisis de la política y los asuntos actuales. Es escritor y músico independiente a tiempo completo. Su experiencia incluye proporcionar comentarios técnicos y análisis en artículos publicados por el Comité de Chicago para defender la Declaración de Derechos.