Ciberseguridad
cibercrimen

Siete antiguos vectores de ataque que los ciberdelincuentes siguen utilizando

Los ciberdelincuentes recurren a antiguos vectores de ataque para atacar a las organizaciones, los sistemas y los datos. ¿Por qué? Porque funcionan y son baratos de explotar.

ataque

Incluso en la actual era de la evolución digital, los hackers maliciosos siguen utilizando vectores de ataque que se remontan a décadas atrás. Las investigaciones muestran notables periodos de resurgimiento relacionados con ciertos métodos considerados anticuados. Lo que esto indica es que, si bien los detalles de los ataques pueden cambiar con el tiempo, los puntos de infección, distribución y proliferación pueden permanecer e incluso conducir a la más importante de las brechas.

"Los ciberdelincuentes tienden a volver a los métodos de ataque 'favoritos de siempre', sobre todo cuando los vectores más novedosos son clausurados o se vuelven más difíciles de ejecutar, debido a los esfuerzos de las fuerzas del orden y los equipos de seguridad", afirma el vicepresidente de Egress Threat Intelligence, Jack Chapman.

El ingeniero de seguridad estratégica de Cato Networks, Peter Lee, está de acuerdo y cita dos razones principales por las que los ciberdelincuentes utilizan vectores de ataque de la "vieja escuela": la economía y la adquisición de objetivos. "El floreciente mercado de los exploits pone un precio a todo lo que los atacantes lanzan contra sus objetivos y los precios varían enormemente, por lo que existe un fuerte incentivo para que los atacantes empiecen por lo barato y vayan subiendo. No es necesario quemar los 2 millones de dólares de tu iPhone de día cero si puedes comprometer el mismo objetivo explotando un servidor web CVE sin parches de 2017. En segundo lugar, las mejoras en la ciberdefensa en todos los ámbitos han hecho que sea más difícil para los ciberdelincuentes hacer llegar su mensaje a los objetivos clave, lo que en ocasiones les está obligando a recurrir a viejos vectores que han salido del radar de muchos defensores."

A continuación, siete antiguos vectores de ataque que los ciberdelincuentes siguen utilizando hoy en día, con consejos prácticos para defenderse de ellos.

1. Dispositivos de almacenamiento físico para infectar sistemas, propagar malware

Los primeros virus informáticos se propagaron a través de disquetes, y el uso de dispositivos de almacenamiento físico para infectar sistemas y propagar malware persiste hasta nuestros días. Esto se puso de manifiesto en enero de 2022, cuando el FBI emitió una advertencia pública sobre BadUSB, una campaña de ataque por USB en la que se enviaron numerosas unidades USB, repletas de software malicioso, a empleados de organizaciones de los sectores del transporte, la defensa y los seguros.

Los USB estaban configurados con teclados disfrazados de tarjetas de regalo o facturas y, una vez insertados, inyectaban comandos para descargar malware como capturadores de credenciales, puertas traseras y ransomware. La campaña fue un intento de explotar la tendencia masiva de trabajar desde casa y demostró que los estafadores modernos no tienen reparos en utilizar métodos que tienen decenas de años.

"Desde mediados de 2021, Cisco Talos Incident Response (CTIR) ha respondido a un número creciente de compromisos en los que las unidades USB extraíbles están infectando a las organizaciones con malware, afectando a una variedad de verticales de la industria", dice David Liebenberg, jefe de análisis estratégico de Cisco Talos, a CSO. "Hemos observado varias variantes de malware, normalmente más antiguas, entregadas de esta manera, incluyendo Sality y PlugX, que se dirigen a los sistemas Windows y se sabe que se propagan a través de unidades extraíbles."

Los atacantes siguen utilizando este método de ataque porque funciona y para aprovechar el aumento del trabajo híbrido unido a la falta de formación de los empleados, afirma Liebenberg. "Las organizaciones que utilizan USB o unidades extraíbles para operaciones empresariales legítimas deberían limitar y, si es posible, restringir el uso de USB en el entorno. También deberían tener políticas claras que restrinjan la reutilización de los USB o el uso de los mismos desde casa y proporcionar formación a los empleados sobre los riesgos asociados a la conexión de los USB personales a los sistemas corporativos."

2. Virus de macro para explotar Microsoft Word y Outlook

Los atacantes siguen atacando a las organizaciones con virus escritos en lenguaje de macros y ocultos en documentos, un vector de ataque desde el virus Melissa de 1999. Este virus se aprovechaba de los sistemas basados en Microsoft Word y Outlook, infectando los ordenadores a través del correo electrónico y de un archivo adjunto malicioso, antes de enviarse por correo masivo a las 50 primeras personas de la lista de contactos de la víctima y de desactivar múltiples funciones de protección.

"A pesar de las formas de protección de las organizaciones y de las orientaciones de organismos como el NCSC británico, el NIST estadounidense y el ACSC australiano, sigue siendo difícil defenderse completamente de las macros", afirma Piers Wilson, jefe de gestión de proyectos de Huntsman Security. "Muchos de los vectores en torno a las macros se basan en la ingeniería social. Por ejemplo, un documento puede aparecer con caracteres aleatorios mientras que el correo electrónico que lo cubre dice que, al ser un documento sensible, los usuarios deben habilitar las macros para descifrarlo."

Los atacantes pueden utilizar las macros para cometer ciberdelitos o intentos de explotación más sofisticados, pero gran parte de la protección se reduce a la educación de los usuarios y a la implantación de controles técnicos en el gateway y en el endpoint, añade Wilson. "Sin embargo, dado que tantos documentos siguen utilizando macros (incluidos, irónicamente, los cuestionarios de seguridad de los proveedores), siempre existe el riesgo de que la vigilancia falle y un ataque consiga pasar."

3. Aprovechamiento de vulnerabilidades antiguas no parcheadas para obtener puntos de ataque

Apuntar a vulnerabilidades previamente identificadas es una táctica muy común y probada por los atacantes, y las vulnerabilidades conocidas pueden ser explotadas años después si no son parcheadas, dice la analista de Forrester Allie Mellen a CSO. "Un ejemplo clásico de esto es el exploit EternalBlue. A pesar de que se publicaron parches para la vulnerabilidad en marzo de 2017, el exploit fue utilizado en mayo de 2017 por el ransomware WannaCry, y luego de nuevo en junio de 2017 en el ciberataque NotPetya. Por eso es tan importante parchear los sistemas con rapidez y eficacia."

Ryan Linder, ingeniero de riesgos y vulnerabilidades de Censys, coincide. "EternalBlue (CVE-2017-0144) sigue haciendo vulnerables a las organizaciones hoy en día. El exploit afecta al protocolo Server Message Block (SMB). Según los datos de búsqueda de Censys, todavía hay más de 200.000 sistemas expuestos a Internet que soportan SMBv1, que fue creado en 1983", afirma. Muchas empresas no mantienen su software actualizado, lo que las hace vulnerables a exploits críticos, e incluso cuando los exploits se hacen públicos, muchas siguen sin parchear sus sistemas, añade.

Poner parches de forma sistemática es también algo muy difícil de hacer en una empresa grande y compleja, por lo que es importante priorizar estos esfuerzos y hacerlos en toda la empresa, dice Mellen.

4. Inyección SQL para manipular aplicaciones/páginas web, acceder a bases de datos

Puede que los ataques SQL tengan más de 20 años de antigüedad, pero los hackers siguen recurriendo a ellos para explotar aplicaciones/páginas web y acceder a las bases de datos que se encuentran detrás de ellas, afirma Chapman. "No es un enfoque nuevo o innovador, pero los ciberdelincuentes saben que no necesitan reinventar la rueda para obtener resultados". Las inyecciones SQL siguen funcionando porque los desarrolladores suelen cortar el código sin una adecuada conciencia de seguridad, añade.

De hecho, las inyecciones SQL ocupan el número 3 en el Top 10 de OWASP para las vulnerabilidades web y, en 2021, 718 vulnerabilidades de inyección SQL fueron aceptadas como CVEs. "Las organizaciones pueden prevenir estos ataques teniendo pruebas de seguridad de aplicaciones dinámicas (DAST) y pruebas de seguridad de aplicaciones estáticas (SAST) en su lugar", añade Chapman.

5. Fraude de tarifas avanzadas para estafar a los usuarios

Esta técnica se ganó su reputación gracias a las estafas 419, comúnmente conocidas como el truco del "pariente rico perdido que murió y te dejó dinero". Las investigaciones indican que se remonta al siglo XIX y que los estafadores la utilizan con frecuencia en la actualidad. El método aprovecha la escasez de tiempo: por ejemplo, "te lo perderás si no actúas rápido y obtendrás un gran rendimiento por un pequeño desembolso".

"Aunque el correo electrónico del 'tío rico' sigue circulando estos días, es mucho más probable que esta técnica se utilice en el contexto de una estafa con criptomonedas (invierte una pequeña cantidad para obtener una gran ganancia), estafas con transferencias bancarias/tarjetas de regalo (ayuda a tu jefe para que te haga un favor en el trabajo) o estafas con multas falsas (paga a Hacienda algo de dinero para que cancelen una factura de impuestos)", explica a CSO el fundador de Bugcrowd, Casey Ellis. Estas estafas son efectivas porque desencadenan la codicia, la aversión a la pérdida y el sesgo de escasez, dice.

"Si una víctima es explotada con éxito, a menudo un atacante aprovechará la falacia del coste del sol y duplicará su intención de obtener más de ellos". El aislamiento social y los cambios en la dinámica social creados por la pandemia del COVID-19 han hecho que aumente este tipo de estafa, ya que la capacidad normal de comprobar dos veces si participar en una actividad es prudente o no, es más difícil para la víctima potencial, dice Ellis. "Dentro de una empresa, el fomento de una cultura de confiar pero verificar, junto con cero culpa (y cero críticas por comprobar dos veces si algo es legítimo o no), puede ser una forma eficaz de reforzar una plantilla contra este tipo de ataques, y si se hace bien, pueden compartir sus lecciones y su paranoia proactiva para salvaguardar mejor a sus familias y amigos también."

6. Ataques al Protocolo de Escritorio Remoto para exponer los sistemas

Las vulnerabilidades de RDP han sido un problema durante años, sin embargo, aproximadamente un tercio de los ciberataques todavía comienzan con un ordenador Windows con RDP expuesto a Internet, dice Ray Canzanese, director de Netskope Threat Labs. "Los atacantes han automatizado completamente sus procesos para descubrir y atacar servicios expuestos como RDP".

El RDP nunca debería estar expuesto a Internet, añade Canzanese, y si necesitas acceder al RDP cuando estás fuera de casa o de la oficina, entonces deberías utilizar una de las muchas soluciones de red privada virtual (VPN) o de acceso a la red de confianza cero (ZTNA) que te permiten utilizar el RDP sin exponerlo. "Puedes utilizar una solución VPN o ZTNA para asegurarte de que ningún servicio de red queda expuesto a Internet para que sea objetivo de los atacantes".

7. Phishing de red dirigida a grupos de víctimas

Los ataques de phishing por correo electrónico Cast-netting reciben su nombre de una técnica de pesca tradicional en la que el pescador lanza una red comparativamente pequeña en un estanque o en otra zona pequeña. No les importa el pez que pesquen, pero será de ese pequeño espacio. "A diferencia del Spear-phishing, que está muy centrado en atacar a un individuo específico, o del drift-net phishing, que puede enviar de miles a millones de correos electrónicos con la esperanza de atrapar a cualquiera con el cebo, el cast-netting se dirige a cualquier persona de una organización específica", explica el ingeniero técnico senior de Vulcan Cyber, Mike Parkin. "Al atacante no le importa quién en la organización muerde el anzuelo, siempre que consiga a alguien en el espacio objetivo".

A pesar de ser un método de ataque que ha existido durante muchos años, todavía se utiliza hoy en día, ya que cae en el punto dulce de esfuerzo y eficacia para los ciberdelincuentes, añade Parkin. "Estos ataques pueden utilizar un gancho oportuno, como un evento deportivo local o la apertura de un nuevo restaurante cercano, que la organización objetivo encontraría plausible y lograría pasar los filtros de spam masivo. Algo así requiere mucha menos investigación que la elaboración de un gancho que pueda atrapar a un solo individuo. Una vez que el atacante tiene un punto de apoyo, puede ampliar su posición en el entorno de la organización".



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper