Pasos que sigue un ciberdelincuente para atacar una empresa

Son muchas las técnicas empleadas por los atacantes para intentar hacerse con el bien más preciado de una empresa, su información, pero los pasos que siguen para ello son siempre los mismos. Así lo afirma el INCIBE, que explica en qué consisten esos cinco pasos y da cuatro consejos para dificultar a un atacante sus intentos de acceso a la empresa.

1. Obtención de toda la información posible de una empresa. Desde datos de empleados, incluyendo nombres, direcciones de correo, horarios, cuentas en redes sociales, nombres de familiares, etc., a datos técnicos, como la IP, el dominio y subdominios, o los servidores abiertos a internet, cualquier información puede serles interesante a los atacantes. Estos aún no van a acceder a los sistemas ni atacar la empresa, por lo que detectar un ataque en esta fase es casi imposible. Sin embargo para dificultarles esta tarea se pueden eliminar de la página listados de empleados, teléfonos, direcciones de correo, horarios, etc. si no es necesario tenerlos, y cuando se contrate un dominio de Internet, se deba dar la menor información posible. “Además, un buen plan de seguridad y una política de concienciación de empleados ayudarán a que el atacante no entre a través del portátil del hijo del administrador de sistemas”, aseguran desde INCIBE.

2. Escaneo de sistemas. Una vez que el ciberdelincuente conoce datos técnicos como los servidores conectados a Internet y sus direcciones IP, se pondrá a detectar los puertos abiertos, las versiones de los gestores de contenidos web (CMS) de la empresa, los servidores de ficheros (FTP), qué sistemas operativos están ejecutándose y toda la información técnica que pueda, para lo que realizará escaneos contra IP concretas o rangos de IP. “Cuanta más información consiga un atacante sobre los programas que tenemos instalados en nuestros servidores, más opciones tendrá de acceder a información de nuestra empresa”, comentan desde el INCIBE. Estos escaneos pueden detectarse con herramientas como Sistemas de Detección de Intrusiones, pero lo mejor a es tener siempre actualizados los sistemas y todo el software que hay instalado en ellos.

3. Acceso remoto. Con la información obtenida en las fases anteriores, el atacante busca vulnerabilidades en el sistema y encuentra o escribe un exploit para acceder o envía correo electrónico con malware a las personas que cree más vulnerables. Intentará siempre pasar desapercibido, por lo que en muchos casos dará rodeos para llegar a su objetivo y pasará por infectar el equipo de un empleado para llegar al servidor central. La mejor solución para evitarlo es establecer una política de actualización continua de todas las aplicaciones y sistemas, acompañada de una política de concienciación de empleados.

4. Mantener el acceso a través de puertas traseras. De esta manera, si se actualiza el software del servidor o se detecta su presencia, el atacante aún podrá acceder a los sistemas a través de puertas traseras que ha dejado preparadas para estas situaciones. Una vía para evitar que se abran puertas traseras es la instalación de una solución de seguridad siempre actualizada, y evitar que los empleados trabajen en sus equipos con permisos de administración.

5. Borrado de huellas. Una vez que el atacante ha comprometido un sistema evitará ser descubierto, para lo que borrará toda traza de sus movimientos en los equipos comprometidos. Para evitar que pueda conseguirlo, lo mejor es que los empleados utilicen sus equipos sin permisos de administración, de manera que si su equipo es comprometido, el atacante tendrá los mismos permisos que éste y no podrá eliminar los registros de actividad. Además es interesante centralizar los registros de actividad en un servidor central.