En nuestro blog ya hemos hablado en otras entradas de ciberseguridad y de cómo podemos proteger nuestra empresa. En esta ocasión, queremos ofreceros otra perspectiva, ya que para poder hacer frente a las amenazas de los ciberdelincuentes, la mejor manera es conocer cómo actúan. Hoy, de la mano del Instituto Nacional de Ciberseguridad os explicamos los 5 pasos de un ciberataque que puede robar o destruir información de nuestra empresa.
Obtención de información
El primer paso que siguen los ciberdelincuentes cuando toman la decisión de atacar una empresa es obtener toda la información posible sobre la misma. Da igual de qué tipo sea, cualquier información posible puede serles interesante. Nombres de empleados, direcciones de correo, horarios, nombres familiares de empleados, cuentas en redes sociales de empleados y familiares, números de teléfono, historial laboral de los empleados, historial de la empresa, etc. Y, por supuesto, algunos datos técnicos (nuestra IP, nuestro dominio, los subdominios que tenemos reservados, los servidores que tenemos abiertos a internet…). Para realizar un ataque es necesario conocer toda la información posible de la compañía.
Un buen plan de ciberseguridad y una política de concienciación de empleados ayudarán a que el atacante no entre «a través del portátil del hijo del administrador de sistemas».
Escaneo de sistemas
Una vez que el ciberdelincuente conoce datos técnicos como los servidores conectados a Internet y sus direcciones IP (es decir su identificador en Internet), se pondrá a detectar los puertos abiertos (en nuestros servidores existen puertos que, al igual que las puertas, deben de estar cerradas, salvo aquellas por las que queramos que pasen), las versiones de los gestores de contenidos web (CMS) de la empresa, los servidores de ficheros (FTP), etc. También detectará que sistemas operativos están ejecutándose en esos servidores y toda la información técnica que pueda. Para ello realizará escaneos contra IP concretas o rangos de IP.
Para ponérselo mucho más difícil la mejor idea es tener siempre actualizado nuestros sistemas y todo el software que hay instalado en ellos.
Acceso remoto
Con la información obtenida en las fases anteriores, el atacante busca vulnerabilidades del software y el sistema operativo que ha encontrado que tienen nuestros servidores y encuentra o escribe un programa para acceder (también conocido como exploit). Un exploit es un pequeño programa que aprovecha los fallos de los sistemas para las vulnerabilidades existentes en ese software. También puede decidir mandar un correo electrónico con malware a las personas que cree más vulnerables. El ciberdelincuente intentará atacar de la forma más silenciosa posible, intentando siempre pasar desapercibido.
La mejor solución para evitar el acceso remoto, ya la hemos dado: establecer una política de actualización de todas las aplicaciones y sistemas para que se realice de forma continua. Siempre acompañada de una política de concienciación de empleados.
Mantener el acceso
Una vez ha accedido a la «máquina objetivo» el atacante querrá mantener el acceso a la misma. Para ello, abrirá puertas traseras para volver de nuevo e intentará comprometer otras máquinas que estén en la misma red. De esta manera, si actualizamos el software de nuestro servidor o detectamos su presencia, el atacante aún podrá acceder a nuestros sistemas a través de otras vías que ha dejado preparadas para estas situaciones.
Una de las vías para evitar que un atacante «abra» puertas traseras es la instalación de software que evita este tipo de acciones si no se es administrador. Así, un buen antivirus, siempre actualizado y evitar que los empleados trabajen en sus equipos con permisos de administración nos permitirá evitar que el ataque sea persistente en el tiempo.
Borrado de huellas
Todo lo que hacemos en un ordenador queda registrado en mayor o menor medida en unos archivos que se conocen como registros de actividad. El problema es que si se tienen los permisos adecuados, estos registros de actividad pueden ser eliminados. Esa será la siguiente tarea del atacante que ha comprometido un sistema. Si no quiere ser descubierto, borrará toda traza de sus movimientos en los equipos comprometidos.
Para evitar que pueda conseguirlo, lo mejor es que los empleados utilicen sus equipos sin permisos de administración. De esta manera, si se consigue comprometer el equipo de un empleado, tendrá los mismos permisos que éste. Así no podrá eliminar los registros de actividad.
Además es interesante centralizar los registros de actividad en un servidor central. De manera que, o el atacante consigue llegar este servidor, o se podrá conocer todos los pasos que siguió desde que comprometió el primer equipo de la empresa.
Por todo ello, nuestra recomendación es que para poder obtener la mejor protección frente a posibles ciberataques, lo mejor es contar con expertos en ciberseguridad que planteen una estrategia basada en la puesta en marcha de acciones y herramientas como: políticas proactivas de seguridad, informes periódicos de seguimiento, seguridad perimetral y en la red, acceso remoto seguro, protección de datos y gestión de identidades, entre otras.
Ahora que conocéis los 5 pasos de un ciberataque a una empresa, esperamos que no tengáis que enfrentaros al daño producido por un ciberdelincuente. Recordad, que la prevención es la mejor solución para dormir tranquilo. Si os ha surgido alguna duda al respecto, nuestro equipo de profesionales expertos en seguridad estará encantado de atenderos. Así que, no dudéis en contactar con nosotros.
