Saber lo que sabe el enemigo es clave para una defensa adecuada



Piense como un atacante si quiere comprender su superficie de ataque, dice el investigador de seguridad de Black Hat Europe.

Cuando se trata de defender una organización contra las ciberamenazas, conocer a su enemigo no es suficiente. Igualmente importante es saber lo que el enemigo sabe sobre ti y cuánto sabes tú sobre ti mismo.

Ese es el consejo de Etay Maor, director de seguridad de la firma de inteligencia de amenazas IntSights, en una sesión informativa en el evento virtual Black Hat Europe 2020 esta semana.

Cada vez más, los atacantes han pasado de irrumpir en una red objetivo a simplemente iniciar sesión utilizando credenciales disponibles de una variedad de fuentes y obtenidas de diferentes maneras, incluida la ingeniería social, las búsquedas simples en la World-wide-web y los mercados de la Dark Website, dijo.

Con más personas trabajando fuera de sus hogares y otros lugares remotos debido a la pandemia world-wide, los delincuentes tienen más oportunidades de encontrar esa información, señaló Maor.

A menudo, estos datos pueden ser tan simples como una combinación predeterminada de nombre de usuario y contraseña en un enrutador que les da acceso a la pink doméstica de un empleado y a los dispositivos conectados a ella. O podría ser el resultado de compartir en exceso datos confidenciales en sitios como GitHub por parte de personas que trabajan desde casa y buscan colaborar con compañeros de trabajo en proyectos. O podrían ser contraseñas fáciles de adivinar o datos de credenciales vendidos en la Dark World wide web que brindan a los atacantes acceso a los dispositivos de los empleados o la purple empresarial.

«¿Realmente conozco todos los dispositivos en oficinas físicas y oficinas en el hogar? ¿Sé si GitHub está exponiendo mis datos?» Dijo Maor. «Puede ir a GitHub y ejecutar algunas búsquedas muy ingenuas y encontrar claves maestras, nombres de usuario y contraseñas para bases de datos y tokens de Azure», dijo. Los delincuentes buscan este tipo de información porque les da un pie en la puerta para lanzar un ataque más amplio.

Las organizaciones deben prestar atención a saber lo que un atacante podría saber sobre ellas, dice Maor. Eso significa pensar en todas las formas en que los delincuentes podrían recopilar inteligencia sobre la organización, ya sea en forma de contraseñas predeterminadas en enrutadores domésticos o mediante búsquedas simples en motores de búsqueda públicos como Censys. A menudo, la inteligencia que se puede usar en un ataque es fácil de encontrar a través de medidas rudimentarias, dice.

Lo que agrava la situación es la abundancia de credenciales y el acceso a sistemas comprometidos que están disponibles fácilmente en los mercados criminales clandestinos, dijo Maor. Como ejemplo, señaló un anuncio que los investigadores de IntSights observaron recientemente en un foro clandestino que promocionaba las credenciales de administrador de dominio de una empresa de 12.500 millones de dólares con unos 33.000 empleados. Entre los artículos a la venta había decenas de miles de nombres de usuario y contraseñas pertenecientes a los empleados de la empresa.

En otros casos, IntSights encontró un anuncio de una vulnerabilidad de ejecución remota de código en una purple bancaria que se vendía por $ 10,000, acceso a servidores RDP y VNC que se vendían por entre $ 10 y $ 20, y acceso a una base de datos completa que se subastaba por $ 10,000, con ofertas tomado en incrementos de $ 5,000.

IntSights descubrió el acceso a cientos de miles de dispositivos comprometidos pertenecientes a usuarios individuales que se vendían en mercados clandestinos como Genisis Market. Ha habido una duplicación en la disponibilidad de tales dispositivos comprometidos desde que comenzó la pandemia, dijo Maor.

«Cada infracción cibernética que ha ocurrido se debe a una de dos razones», dijo Maor, citando a Frank Abagnale, cuyas travesuras como estafador en su juventud lo llevaron a la cárcel, una carrera como consultor de seguridad y un papel protagónico en el película Atrápame si puedes. «O alguien de la empresa hizo algo que no debería haber hecho o alguien de la empresa no hizo algo que debería haber hecho».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first