Tecnologías de seguridad

Políticas de seguridad: mal uso de recursos

Según encuestas realizadas en Europa y Estados Unidos (en inglés), los empleados de compañías gastan alrededor del 30% de sus horas de trabajo en asuntos privados. Si se multiplican las horas que se gastan en asuntos no relacionados al negocio por el coste promedio de la hora de trabajo, los analistas estiman que esto causa pérdidas de millones de dólares anuales a las compañías. Las pérdidas indirectas pueden elevar esta cifra todavía más. Y si los empleados, queriendo o sin querer, ayudan a realizar ataques de hacking o robo de identidad, causan daños a la reputación de la compañía o infringen sus derechos de autor, los costes siguen creciendo.

El hecho es que los empleados a menudo utilizan los equipos de la oficina para comunicarse en sitios de redes sociales, compartir enlaces o descargar archivos de sitios sospechosos. Además, los cibercriminales a menudo usan los sitios de redes sociales para estafar a los usuarios con ataques phishing y distribuir malware. Muchos blogs personales, sitios de entretenimiento, servicios para compartir archivos, rastreadores de torrent y archivos descargados por este medio están infectados. Las contraseñas para las cuentas de correo a menudo sufren hackeos o robos.

Este artículo describe algunos problemas que pueden surgir del uso indebido de equipos de oficina y demuestra cómo se pueden evitar incidentes similares en una red corporativa.

Ataques dirigidos

Las amenazas que los usuarios enfrentan cada día suelen ser ataques que se distribuyen de forma masiva, por lo que una solución antivirus basta para prevenir la mayoría de los accidentes. Los ataques dirigidos son diferentes: se realizan en secreto, a menudo utilizando técnicas extraordinarias; son muy sofisticados y organizados. Para lograr sus metas, los usuarios fraudulentos utilizan la herramienta más efectiva para explotar cualquier programa o vulnerabilidad social.

La ingeniería social

En 2009, más de 20 importantes compañías de informática, como Google, Adobe, Juniper y Yahoo, fueron víctimas del ataque dirigido conocido como Operación Aurora. En una versión de este ataque, se convenció a los empleados de una compañía para que ingresaran a sitios maliciosos mediante redes sociales y clientes de mensajería instantánea. Usando técnicas de ingeniería social, los estafadores se pusieron en contacto con sus víctimas potenciales, ganaron su confianza e hicieron todo lo necesario para lograr que abran un enlace. La experiencia dicta que esto fue suficiente para:

  1. recolectar una gran cantidad de información de las redes sociales sobre el usuario, sus intereses, preferencias y contactos
  2. crear una cuenta concentrándose en los intereses de la víctima y sus datos personales (su año y lugar de nacimiento, escuela, universidad a la que asistió, etc.)
  3. hacerse “amigo” de su lista de contactos
  4. ponerse en contacto con la víctima usando un “disfraz” especial para ella

Cuando una cuenta se prepara de forma tan minuciosa, es muy probable que la víctima potencial caiga en la trampa y pulse en un enlace sospechoso. Si esto falla, el estafador puede tratar de usar un truco más sofisticado: irrumpir en la cuenta de un usuario en quien la víctima confíe y enviarle los enlaces desde allí. Esto no suele ser difícil de lograr, en especial si entre los contactos de confianza de la víctima hay usuarios vulnerables como niños, ancianos o adolescentes.

En un ataque dirigido, el enlace puede llevar a la víctima a un sitio que contiene una serie de exploits “0-day” que permiten a los cibercriminales irrumpir en ordenadores vulnerables. Está claro que, al comunicarse por redes sociales desde el equipo de la oficina, los empleados pueden, sin darse cuenta, ayudar a los hackers a penetrar en la red corporativa.

Ataques “watering hole”

Además de los ataques dirigidos mediante redes sociales, los ataques llamados “watering hole” (pozo de agua) no son menos peligrosos. La idea básica de este tipo de ataques es encontrar e infectar los sitios que frecuentan los empleados de la compañía. Hace poco, el sitio del Ministerio de Trabajo de los Estados Unidos sufrió una infección informática, pero se cree que el verdadero blanco del ataque era el Departamento de Energía: los criminales querían infectar los equipos del Departamento de Energía mediante los empleados que visitaban el sitio web del Ministerio de Trabajo con regularidad.

Cuando un funcionario de una compañía atacada ingresa al sitio infectado, el código del cuerpo de la página redirige en secreto a su navegador a un sitio malicioso que contiene una serie de exploits de día cero. El malware que se publica en sitios web infectados, por ejemplo en un script del servidor, a menudo actúa de forma selectiva para implementar códigos maliciosos en páginas que se envían al usuario más relevante en la compañía atacada. Por ende, los estafadores pueden esconder el ataque dirigido de las empresas antivirus y expertos en seguridad informática.

Los estafadores tratan de infectar sitios web legítimos y de confianza. En estos casos se requiere que los usuarios den pasos adicionales para ejecutar el exploit – enciendan JavaScript, permitan la ejecución del applet Java para confirmar la excepción de seguridad, etc.- pero aun así pueden llegar a pulsar en los botones “Aceptar” y “Confirmar” sin darse cuenta de la gravedad de sus acciones.

Protección

Es obvio que los usuarios juegan un rol importante en los ataques dirigidos: sin darse cuenta, permiten que los estafadores ataquen el sistema. Por desgracia, en la actualidad no existe ninguna tecnología que pueda eliminar el error humano de la seguridad de las redes corporativas. Pero es posible utilizar algunas tecnologías relevantes para reforzar las políticas de seguridad y proteger contra ataques dirigidos al combatirlos en cada una de sus etapas: desde el primer intento de explotar una vulnerabilidad hasta los intentos de comprometer la red.

Protección contra exploits

Como los ataques dirigidos emplean malware único, la detección basada en firmas no basta para identificar el código malicioso que se emplea. Pero los programas antivirus tienen desde hace mucho más herramientas a su disposición además de la detección basada en firmas. La tecnología AEP (de protección automática contra exploits) que utiliza mecanismos de prevención de ejecución de datos (DEP) y de selección aleatoria del diseño del espacio de direcciones (ASLR), y los métodos de análisis heurístico y control sobre códigos ejecutables pueden bloquear la ejecución de códigos maliciosos cuando explotan una vulnerabilidad del día cero.

Si los estafadores logran atacar el sistema -mediante un exploit o programa malicioso ejecutado por el usuario-, el control de tráfico de red y el control de aplicaciones ayudará a prevenir mayores intrusiones en la red corporativa.

Control de tráfico de red

Una vez que un código malicioso (un troyano o un exploit de código shell) entra en el sistema, suele tratar de hacer alguna (o más de una) de las siguientes acciones:

  • Establecer una conexión con un centro de comando (conexión saliente)
  • Abrir puertos para conexiones entrantes
  • Descargar módulos adicionales
  • Implementar códigos maliciosos en otros procesos para mantenerse conectado al centro de comando
  • Recolectar información sobre la red, sus sistemas y usuarios
  • Enviar la información recolectada (direcciones IP, nombres de equipos y cuentas, nombres de usuario, contraseñas, etc.) al servidor de los estafadores.

En general, tras haberse conectado al sistema, los estafadores tratan de recolectar información sobre él y sobre la red corporativa a la que pertenece el equipo. Para conseguir la información local, los atacantes no necesitan privilegios adicionales: la lista de los procesos ejecutados, los programas y parches instalados, usuarios conectados, etc. se puede encontrar con facilidad. La información sobre la red corporativa, búsquedas de otros sistemas vulnerables -sistemas de protección, carpetas compartidas, servicios de red, servidores, etc.- se consigue usando scripts especiales y utilidades que puedan esconder su actividad y burlar los sistemas de seguridad. Toda esta información se envía a los cibercriminales por Internet para que la analicen antes de dar el próximo paso.

Con la tecnología de control de tráfico de red (Firewall, IPS / IDS), los administradores de sistema y especialistas en seguridad informática no sólo pueden bloquear la actividad de red peligrosa, también pueden detectar cualquier penetración en la red corporativa. Los Cortafuegos e IPS/IDS pueden:

  • Bloquear las conexiones entrantes y salientes
    • por puerto
    • por nombre de dominio y dirección IP
    • por protocolo
  • Generar análisis estadísticos del tráfico (flujo de red) en busca de anomalías
  • Recolectar tráfico de red sospechoso para análisis más extensos
  • Detectar y bloquear:
    • instrucciones salientes o salidas similares que se envían por Internet
    • descargas de archivos sospechosos de Internet (módulos de malware adicionales)
    • transmisiones de información confidencial (direcciones IP, nombres de usuario, nombres de los equipos, documentos corporativos, números de tarjetas de crédito, etc.)

Los cortafuegos e IPS/IDS pueden detectar anomalías en la forma en la que los nodos de red interactúan tan pronto como el código malicioso inicia un contacto con el centro de comando o realiza un escaneo de la red corporativa para otros sistemas, puertos abiertos, carpetas compartidas, etc. Esta detección de anomalías hace que los expertos en seguridad informática puedan responder a la amenaza, evitando más intrusiones que podrían comprometer la red corporativa.

Control de aplicaciones

Tras ingresar al sistema atacado, los criminales tratan de consolidar su éxito: se descargan módulos y utilidades adicionales en el sistema y se incorporan códigos maliciosos que proveen una conexión con el centro de comando en procesos de mayor confianza, como explorer.exe, csrss.exe, smss.exe, etc.

El Control de Aplicaciones puede bloquear la ejecución y descarga de programas que no son de confianza y módulos del paquete de herramientas de intrusión del estafador, y las políticas HIPS deberían usarse para bloquear los comportamientos inusuales y potencialmente peligrosos de programas legítimos. Por ejemplo, los navegadores no deberían abrir los puertos para conexiones entrantes ni los procesos del sistema (explorer.exe, csrss.exe, smss.exe, etc.), y otras aplicaciones (calc.exe, notepad.exe, etc.) deberían estar conectadas con servidores externos ni mostrar códigos maliciosos a otros procesos de confianza; este comportamiento debería estar prohibido.

Para evitar que los criminales controlen el sistema, los especialistas en seguridad informática deberían:

  • evitar que los programas de confianza o vulnerables implementen códigos en otros procesos
  • restringir el acceso de las aplicaciones sólo a sistemas y recursos del sistema críticos
  • bloquear las funciones que podrían ser peligrosas y que no son una característica predeterminada de las aplicaciones (acceso a redes, instalación de controladores, creación de capturas de pantalla, accesos a la cámara web o micrófono, etc.)

Los sistemas que requieren el nivel más alto de protección deberían estar salvaguardados por el modo Denegar de forma Predeterminada (Default Deny), que puede bloquear el inicio de cualquier programa que no esté incluido en la lista de admitidos guardada de forma local o en la nube.

Codificación de archivos

Si los estafadores consiguen tener control del sistema y penetran en la red corporativa, pueden tratar de encontrar y subir archivos que contengan información que consideren importante:

  • documentos corporativos, incluyendo políticas de seguridad
  • archivos que contienen credenciales
  • archivos de configuración
  • códigos fuente
  • llaves privadas

Esta información se puede encontrar en el equipo afectado y en las carpetas de red abiertas en otros sistemas. Para prevenir una filtración confidencial de datos, los especialistas en seguridad informática deberían codificar los archivos y el disco para restringir el acceso local a información confidencial (protegida). Los datos también se transfieren aunque estén codificados. Pero, aunque los cibercriminales puedan descargarlos, no podrán leer el contenido de los archivos codificados.

Políticas de seguridad

Por sí sola, ninguna de las tecnologías de arriba es suficiente para prevenir un ataque dirigido. Para proteger la red corporativa, todas estas tecnologías deben estar bien integradas y cuidadosamente calibradas.

Aun así, los administradores de sistema y especialistas en seguridad también deben usar medidas de protección administrativa:

  • La educación de los usuarios. Todos los usuarios deben:
    • Conocer y cumplir las políticas de seguridad de la compañía
    • Comprender las posibles consecuencias de las amenazas de Internet, como el phishing, la ingeniería social o los sitios que distribuyen malware
    • Informar al servicio de seguridad sobre cualquier incidente que se presente
  • Control sobre los derechos de acceso y privilegios de los usuarios:
    • Cualquier derecho y privilegio debe concederse sólo cuando sea necesario
    • Todos los derechos y privilegios (el acceso) que se concede a los usuarios deben registrarse
  • Analizar los sistemas en busca de vulnerabilidades y servicios de red en desuso:
    • Detectar y analizar servicios de red y aplicaciones vulnerables
    • Actualizar componentes y aplicaciones vulnerables. Si no están actualizados, los programas vulnerables deben restringirse o prohibirse.

Conclusión

El mal uso de recursos de la compañía puede causar pérdidas financieras directas y severos incidentes de seguridad informática. Al utilizar las redes sociales o visitar sitios web con el equipo de la oficina, los empleados pueden convertirse en víctimas inconscientes y aliados involuntarios de cibercriminales que planean ataques dirigidos.

En la segunda parte del artículo describiremos un incidente en el que se utilizaron correos personales, programas y contenidos sin licencia en una red corporativa y daremos algunos consejos sobre las medidas de seguridad necesarias para prevenir estos incidentes.

Políticas de seguridad: mal uso de recursos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada