Un ciberataque ocurre cuando un criminal intenta exfiltrar informacion de tu organización principalmente por dos motivos: chantajearla para cobrar una recompensa o para atribuirse méritos de hacktivismo.
En casi todos los casos, el detonante solamente es un click en un enlace o la ejecución de un archivo.
Hace tiempo que escribo posts sobre ciberseguridad en esta web, algunos sobre vulnerabilidades, otros sobre servicios expuestos en Internet, o el primero en el que explicaba cómo funciona un ciberataque. Te recomiendo que lo leas para tener una visión más completa de cómo funciona y cómo responder ante un ciberataque:
? Cómo funciona un ciberataque
Pero ahora, vamos a ver qué pasos son los que tienes que seguir si hackean tu empresa.
Cómo empieza un Ciberataque
Dependiendo del objetivo del ciberataque el desencadenante puede ser uno u otro. Prácticamente en todos los casos este detonante suele ser un click en un enlace o la ejecución de un archivo malicioso llamado Malware.
Para conseguir que piques, el hacker atacante se basa en meterte prisa o en ofrecerte un suculento “premio” que obtendrás al dar click, pero una vez que haces click en el enlace ya la has cagado… o no…
Fase #1. Click!: «Parece que no ocurre nada, no debe de funcionar el enlace…»
Lo siguiente que ocurre es que no ocurre nada. Claro… nada a simple vista, que es lo que el atacante quiere que pienses, pero el bicho ya está ahí, en tu equipo (portátil, móvil o lo que utilices para conectarte). Ahora empieza la cadena de la muerte:
Fase #2. Última oportunidad: Reconocimiento, movimientos laterales y persistencia
Una vez que han logrado que hagas click en el enlace, la cadena de la muerte (kill-chain) empieza a avanzar. El fin de esta cadena es lograr tener persistencia en tu equipo y poder entrar de forma remota con un C2 (Command and control), – aunque reinicies el equipo todas las veces que quieras -, y empezar a exfiltrar datos.
Es cuestión de horas o días que tu sistema de detección de alertas (SIEM en grandes empresas) detecte la intrusión y aquí es cuando empieza la fiesta de los juegos del hambre (solo puede quedar uno, matar al bicho o morir).
En la fase de reconocimiento, si el atacante lo hace bien, no podrás saber que está analizando tu red. Será cuando empiecen los primeros ataques, si tienes un buen sistema de monitorización de amenazas, cuando descubras que te están intentando atacar: varios intentos de login fallidos desde una IP ajena a tu organización, etc…
Fase #3. No lo he pillado en el ataque inicial: ¿Qué hago ahora?
Una vez que el atacante está dentro es cada vez más difícil pillarle, pero todavía hay esperanza. Puedes averiguar:
- Desde dónde ha procedido el ataque,
- saber cómo funciona el malware,
- y a dónde se intenta conectar.
Así puedes cerrar todo tipo de conexiones hacia el exterior y cargarte el C2 que han dejado en tus servidores/equipos para garantizar la persistencia en el futuro.
Básicamente se trata de hacer matching de los Indicators of Compromise (IOC’s) conocidos con IOC’s que estén circulando en tu organización. Por ejemplo con un IOC que se corresponda a una IP podrías cerrar conexiones desde esa IP a tu organización (bastionado de tu red).
Lo más importante para dar una respuesta en estos estados del ataque es intentar averiguar en el menor tiempo posible la forma en la que se han colado en tu organización.
Fase #4. ¿Y si ya ha empezado a moverse por nuestra red?
Una vez que el atacante ya ha hecho movimientos laterales será más difícil detectarlo, pero no imposible.
Si finalmente este hacker consigue exfiltrar datos o pedirnos un rescate por nuestros datos lo mejor que podemos hacer es NO pagar y denunciar ante los Cuerpos y Fuerzas de Seguridad del Estado.
Evidentemente, no restaures el backup hasta que no vuelvan a estar seguros los sistemas. Si no tenemos un sistema de backup de la información deberíamos ir pensando en tener uno para que no nos vuelva a ocurrir lo mismo y podamos retomar las Operaciones de nuestra empresa en el menor tiempo posible.
Fase #5. Análisis post-mortem
Finalmente es súper importante que antes de volver a re-establecer todo tu sistema te asegures de que has puesto todas las medidas necesarias para que no se reproduzca ese mismo incidente.
Además, no te olvides de hacer un análisis post-mortem para tener claras las lecciones aprendidas de este ataque y sepas qué puntos de todo tu sistema de protección, detección y respuesta han fallado en ese ataque para reforzarlos en el futuro.
Joan Rodríguez
Santander Global T&O
Soy Ingeniero superior informático y he tenido la gran oportunidad de trabajar en todos los perfiles de desarrollo Waterfall o Agile: Desarrollador, Arquitecto SW, Evangelista del SW, Scrum master, Jefe de proyecto, Team leader, QA tester y Product owner. Me considero una persona inquieta, resiliente, friki y sobre todo muy volcado con mi familia. Ahora estoy haciendo desarrollos de ciberseguridad para el Grupo Santander.
