Tel: (601)7425944
Bittin

Linkedin

Todos los derechos reservados BITTIN 2015
Tel. (601) 7425944 - (+57) 305 7309799 – Dirección: Cr 7 # 29-34 Bogotá Colombia

¿Qué hace un Ciberdelincuente para Atacar las Empresas?

Bogotá D.C., diciembre 15 de 2015.

Si a diario los ciberdelincuentes se dedican a buscar vulnerabilidades en la red y así lograr cazar a sus víctimas, también es cierto, que los expertos en seguridad han logrado detectar sus movimientos, logrando una mayor protección tanto a los datos de las empresas como de las personas naturales que utilizan la web.

La obtención de información, el escaneo de sistemas, el acceso remoto, la apertura de puertas traseras y el borrado de huellas son los pasos que sigue un atacante para acceder a los datos confidenciales de una empresa, y que, según el INCIBE, son siempre los mismos.

Son muchas las técnicas empleadas por los atacantes para intentar hacerse con el bien más preciado de una empresa, su información, pero los pasos que siguen para ello son siempre los mismos. Así lo afirma el INCIBE, que explica en qué consisten esos cinco pasos y da cuatro consejos para dificultar a un atacante sus intentos de acceso a la empresa.

Pasos que sigue un ciberdelincuente para atacar una empresa

  1. Obtención de toda la información posible de una empresa. Desde datos de empleados, incluyendo nombres, direcciones de correo, horarios, cuentas en redes sociales, nombres de familiares, etc., a datos técnicos, como la IP, el dominio y subdominios, o los servidores abiertos a internet, cualquier información puede serles interesante a los atacantes.

Estos aún no van a acceder a los sistemas ni atacar la empresa, por lo que detectar un ataque en esta fase es casi imposible. Sin embargo para dificultarles esta tarea se pueden eliminar de la página listados de empleados, teléfonos, direcciones de correo, horarios, etc., si no es necesario tenerlos, y cuando se contrate un dominio de Internet, se deba dar la menor información posible. “Además, un buen plan de seguridad y una política de concienciación de empleados ayudarán a que el atacante no entre a través del portátil del hijo del administrador de sistemas”, aseguran desde INCIBE.

  1. Escaneo de sistemas. Una vez que el ciberdelincuente conoce datos técnicos como los servidores conectados a Internet y sus direcciones IP, se pondrá a detectar los puertos abiertos, las versiones de los gestores de contenidos web (CMS) de la empresa, los servidores de ficheros (FTP), qué sistemas operativos están ejecutándose y toda la información técnica que pueda, para lo que realizará escaneos contra IP concretas o rangos de IP.

“Cuanta más información consiga un atacante sobre los programas que tenemos instalados en nuestros servidores, más opciones tendrá de acceder a información de nuestra empresa”, comentan desde el INCIBE. Estos escaneos pueden detectarse con herramientas como Sistemas de Detección de Instrucciones, pero lo mejor a es tener siempre actualizados los sistemas y todo el software que hay instalado en ellos.

  1. Acceso remoto. Con la información obtenida en las fases anteriores, el atacante busca vulnerabilidades en el sistema y encuentra o escribe un exploit para acceder o envía correo electrónico con malware a las personas que cree más vulnerables. Intentará siempre pasar desapercibido, por lo que en muchos casos dará rodeos para llegar a su objetivo y pasará por infectar el equipo de un empleado para llegar al servidor central. La mejor solución para evitarlo es establecer una política de actualización continua de todas las aplicaciones y sistemas, acompañada de una política de concienciación de empleados.
  2. Mantener el acceso a través de puertas traseras. De esta manera, si se actualiza el software del servidor o se detecta su presencia, el atacante aún podrá acceder a los sistemas a través de puertas traseras que ha dejado preparadas para estas situaciones. Una vía para evitar que se abran puertas traseras es la instalación de una solución de seguridad siempre actualizada, y evitar que los empleados trabajen en sus equipos con permisos de administración.
  3. Borrado de huellas. Una vez que el atacante ha comprometido un sistema evitará ser descubierto, para lo que borrará toda traza de sus movimientos en los equipos comprometidos. Para evitar que pueda conseguirlo, lo mejor es que los empleados utilicen sus equipos sin permisos de administración, de manera que si su equipo es comprometido, el atacante tendrá los mismos permisos que éste y no podrá eliminar los registros de actividad. Además es interesante centralizar los registros de actividad en un servidor central.

Es importante tener en cuenta cada uno de estos pasos para así lograr una mayor protección de los datos y fortalecer la ciberseguridad que a diario está siendo vulnerada por los diferentes actores de la red. No olvide cambiar con frecuencia las contraseñas como actividad sencilla pero primordial para la ciberseguridad.

Fuente: CSO Computerworld