Los ataques dirigidos pueden considerarse una de las amenazas más grandes que puede enfrentar una organización en el mundo interconectado. Es lo peor que puede sucederle a las compañías sin importar su tamaño, ya que no solo su reputación se ve afectada sino que también los daños provocados pueden ascender a varios miles de millones de dólares. Nos enteramos de estos ataques dirigidos a través de los medios de comunicación, donde se les considera incidentes de ‘brechas de seguridad, como los que afectaron a Sony, Target y Ashley Madison.
Por más sensacionalista y peligroso que suene en las noticias, una brecha de seguridad por sí sola no es quien provoca todos los estragos y pone en un dilema a las compañías. Hay mucho más detrás de un ataque dirigido ya que también se utilizan para espiar a países e instancias gubernamentales.
Entonces, ¿qué es un ataque dirigido? ¿Qué lo diferencia de las amenazas comunes de las que nos enteramos continuamente a través de los medios de comunicación? Responderemos a éstas y otras preguntas en esta primera parte de una serie de artículos que abordarán la amenaza que podría paralizar a las tiendas departamentales tan fácilmente como podría derribar gobiernos.
¿Cuándo un ataque dirigido se considera un ataque?
Un ataque se puede considerar un ataque dirigido cuando cumple con estos tres criterios:
- Los atacantes tienen un objetivo específico y se ha demostrado que invirtieron una cantidad considerable de tiempo, recursos y esfuerzo en preparar y llevar a cabo el ataque dirigido
- El principal propósito del ataque dirigido es infiltrarse en la red del objetivo y robar información de sus servidores
- El ataque es persistente y los atacantes realizan un esfuerzo considerable para asegurarse de que el ataque continúe más allá de la penetración inicial a la red y de la infiltración de datos.
Con frecuencia los ataques dirigidos se descubren años después de que se han presentado, después de que miles, e incluso millonesa de registros de clientes o unidades de información ya se han extraído.
¿En qué se diferencia un ataque dirigido del hacktivismo?
El hacktivismo o los ataques de hacking relacionados con el activismo son distintos a los ataques dirigidos debido a la naturaleza vandálica única de los primeros. A menudo son más una molestia – no son tan dañinos, y es posible lidiar fácilmente con ellos, como cuando se pintan paredes durante una protesta. Los ataques de hacktivismo no buscan penetrar a las redes y roban poca o ninguna información
Asimismo, son realizados con el máximo aplomo y visibilidad – están diseñados para ser vistos, contrario a permanecer ocultos como lo hacen los ataques dirigidos.
¿Cómo se diferencia un ataque dirigido de las operaciones del crimen cibernético?
La mayor diferencia entre un ataque dirigido y una operación del crimen cibernético es su alcance. El propósito del crimen cibernético es acosar a tantos usuarios como sea posible en la menor cantidad de tiempo para superar los esfuerzos de seguridad.
Por otro lado, la operación de un ataque dirigido tiene un alcance muy limitado – normalmente limita su objetivo a sólo una compañía u organización. Algunas veces este alcance se reduce aún más a un empleado específico o a un grupo de empleados dentro de esa organización. Todo ese trabajo, todo ese esfuerzo, toda esa investigación, se realizan para asegurarse de que el objetivo muerda el anzuelo y caiga en su trampa, lo que les abre una puerta para entrar a la red.
Una manera sencilla de diferenciar un ataque dirigido de una operación del crimen cibernético es la siguiente: los ataques dirigidos son deliberados, intencionados y persistentes; no son automáticos, oportunistas o indiscriminados por naturaleza.
Si se descubre que un ataque se ha enfocado en un objetivo específico, o los objetivos identificados tienen algo bastante en común (como compañías en la misma industria), entonces existen altas posibilidades de que sea un ataque dirigido.
Por último, las operaciones del crimen cibernético tienen casi siempre un móvil financiero (por ejemplo, robar datos bancarios). Si bien los ataques dirigidos son realizados hasta cierto punto por motivos financieros, el principal objetivo de un ataque es siempre el robo de información.
¿Cómo se diferencia un ataque dirigido de una APT (Amenaza Persistente Avanzada)?
Los ataques dirigidos se diferencian de las APTs de la misma manera que un arma corta se diferencia de un avanzado rifle que utiliza el ejército: sofisticación, ingeniería y el tipo de usuario.
Las APTs son ataques que utilizan código y herramientas que se diseñaron desde cero – no sólo por los hackers como en el caso de los ataques dirigidos, sino también por grupos de ingenieros talentosos y a los que se les pagan altas sumas de dinero. Las APTs también pueden ser ataques que han sido patrocinados por algún estado, lo que significa que gobiernos están detrás de ellas, en lugar de un pequeño grupo de hackers como en el caso de los ataques dirigidos.
Asimismo, el alcance y potencia de las APTs tienen un mayor alcance y potencia que los ataques dirigidos, y van detrás de objetivos realmente grandes como los contratistas que colaboran con los departamentos de defensa y otras agencias de gobierno. Probablemente las compañías no necesiten preocuparse tanto por ellas como deberían hacerlo por los ataques dirigidos, pero es mejor protegerse contra ambos por si acaso.
Soluciones como Trend Micro Deep Discovery -una plataforma de protección contra amenazas- permiten que las compañías detecten, analicen y respondan a los ataques dirigidos de hoy en tiempo real.
Esta es la primera parte de una serie de artículos sobre ataques dirigidos; el tema se cubrirá con mayor detalle en futuros artículos y actualizaciones.
Leave a Reply