Publicada. April 16, 2010

Paciencia y cuidado caracterizan a nuevos ciberataques

Por Carlos Fernández de Lara

Email |  ¿Desea imprimir? Regístrese ahora

El caso del robo de tarjetas de crédito de Heartland y el ataque de hackers chinos a compañías estadunidenses, conocido como Operación Aurora, marcaron el inicio de una nueva era en el mundo del cibercrimen.

El mundo del cibercrimen ya no consiste en seducir y engañar a las masas. Hoy, los delincuentes ya comenzaron a ser selectivos al escoger a sus víctimas, a través de ataques únicos en busca de información precisa y de alto valor, aseguraron ejecutivos de Symantec.

En el marco del Vision 2010, en la ciudad de Las Vegas, Estados Unidos, Francis deSouza, vicepresidente  del grupo de seguridad de Symantec, informó que los ciberataques son cada vez más sofisticados, mejor organizados y precisos en el robo de información, que los presentados en los últimos diez años.

“Los cibercriminales ya no buscan infectar a millones de usuarios para ver qué datos alcanzan a robar, porque muchas veces adquieren información inútil. Lo que buscan los delincuentes en la red son datos de propiedad intelectual o archivos financieros de alto valor, que están en manos de ciertas organizaciones o usuarios”, dijo deSouza.

Uno de los casos más recientes en esta nueva tendencia de ataques es Hydraq, bautizado así por el nombre del virus que lo propagó y también conocido como Operación Aurora, el cual afectó y robo propiedad intelectual de más de dos docenas de organizaciones estadunidenses, entre ellas Google.

Según el experto, Hydraq fue creado exclusivamente para atacar blancos específicos y robar información sensible de las organizaciones. Esta precisión en el ataque complicó la posibilidad de detección y reacción frente a la amenaza.

“Con los datos que hemos recopilado, en Symantec, descubrimos que durante 2009 más del 60% de las fugas de información o identidades expuestas fueron reflejo de ciberataques. De acuerdo al reporte State of Enterprise Security Report 2010, 100% de las compañías encuestadas  reconocieron sufrir algún tipo de pérdida a través de medios electrónic en 2009”, afirmó el experto.

El modelo de operación de estos ataques le permitió  a Symantec determinar las cuatro fases en la nueva era de ciberataques, o como ellos lo llaman  la  “Anatomía de las Brechas de Seguridad: Incursión, Descubrimiento, Captura y Exfiltración”.

Incursión y Descubrimiento

Entrar al sistema pero no saquearlo. Son dos de las principales características de los ciberataques de nueva generación, informaron los expertos de Symantec.

Sin cambio alguno, los atacantes continúan buscando el eslabón más débil en la infraestructura de las compañías: la ignorancia o error humano. A través de servicios, correos electrónicos, imágenes, archivos o sitios web los cibercriminales buscan engañar a los usuarios para comprometer sus sistemas.

Pero contrario a un asalto bancario a mano armada, donde se trata de extraer el mayor botín en el menor tiempo posible, los ataques informáticos de la nueva era resaltan por su paciencia, cuidado y capacidad para permanecer desapercibidos, por meses o años, en los sistemas antes de robar un bit de información, afirma deSouza.

“En casos como el robo de información de Heartland, donde comprometieron más de 130 millones de números de tarjetas de crédito, los cibercriminales permanecieron en el sistema durante casi un año antes de extraer los datos”, dijo el experto.

Así, contrario a robar cantidades masivas de información, como lo hacían anteriormente, los nuevos cibercriminales se dedican a mapear cada plano de la estructura de red, para conocer dónde y quiénes tienen acceso a los archivos más sensibles de la compañía.

Muchas veces, reconoce deSouza, la información no la obtienen de los equipos de los directivos o altos ejecutivos, sino de sus asistentes o empleados de menor rango pero que también tienen acceso a los mismos datos y operan con menos niveles de protección.

Captura y Extracción

Una vez detectados los datos, el código malicioso analiza su valor y  procede a recolectarlos (Captura) y enviarlos a los red de criminales.

Este último proceso, el de Exfiltración  o Extracción,  comúnmente es el más “ruidoso”, pues implica la salida de información sensible de la compañía, explicó deSouza. Sin embargo, agregó que para este momento es demasiado tarde como para reaccionar contra el robo de  los datos.

“Google no detectó que su infraestructura fue violada con Hydraq, sino hasta la cuarta fase de la brecha, momento en el que era muy tarde como para reaccionar o tratar de impedirlo. Peor aún, hay empresas que ni siquiera notan cuando han sufridos brechas en su organización, sino hasta varios meses después”.

El reto de las firmas

DeSouza afirmó que la protección basada en firmas es insuficiente para hacer frente a los nuevos ciberataques dirigidos, pues la misma exclusividad en el código malicioso detrás del golpe imposibilita a las compañías de seguridad desarrollar una vacuna.

Comúnmente, explicó deSouza,  para crear una firma contra algún malware esperamos a que el código malicioso sea detectado por nuestros sistemas, después desarrollamos la vacuna y todos nuestros clientes están protegidos automáticamente. Pero si estamos hablando de un código único o creado en específicos para atacar a una empresa detectarlo es prácticamente imposible.

A pesar del nuevo escenario en los ataques al robo de propiedad intelectual, los expertos de Symantec reconocieron que el número de ciberataques no se reducirá de manera exponencial en los próximos años.

Según deSouza, Symantec detecta más de 2,000 millones de incidentes de seguridad al día en todo el orbe, y en el último año el número de firmas publicadas por la empresa rebasó los tres millones, contra los 1.8 millones que desarrollaron durante 2008.

Artículos relacionados

1. Saber que sí y que no proteger, he ahí el dilema: Symantec
2. Cibercrimen es una industria de 1,000 billones de dólares
3. Los ciberataques, el mayor miedo de las empresas: Symantec
4. Clinton pide apoyo mundial por ciberataques
5. Revelan detalles sobre ciberataques a EU y Corea