ATAQUES DE “DÍA CERO” La amenaza que pone en riesgo a las empresas

Por Andrés Muñoz, Gerente de Consultoría y Seguridad de NovaRed.

Un ataque de “día cero” puede ser considerado como uno de los instrumentos más peligrosos y amenazantes para la seguridad informática de una compañía. Una de sus formas más “letales” son los APT, que tras infiltrarse en las redes de una empresa, pueden mantenerse escondidas durante largos períodos de tiempo antes de realizar su ataque.

Discretos, sigilosos, hábiles y persistentes. Esas son las características que definen a los llamados “Advanced Persistent Threats” (o APT, por sus siglas en inglés), que corresponden a ataques contra una aplicación o sistema aprovechando vulnerabilidades de “día cero”. A diferencia de los virus, malware o troyanos que buscan atacar bajo la masividad, las APT intentan entrar discretamente en el tráfico de red de las empresas y así ocultarse en el sistema durante un largo período de tiempo antes de llevar a cabo el “gran ataque”. En un estudio, BlueCoat señala que el 78% de las violaciones de APT toman semanas, meses y hasta años en ser detectadas. Uno de los ejemplos más relevantes es el gusano Stuxnet que atacó el sistema operativo, programas de monitorización y control industrial (SCADA) de una central nuclear de Irán. Este worm fue descubierto en 2010, sin embargo, se encontraba en los sistemas de la organización desde 2009. ¿Cómo se propaga una APT? Este tipo de ataques puede realizarse de forma muy simple, como por ejemplo a través de un dispositivo USB o un correo electrónico. En este último caso, uno de los métodos más usados para lanzar APT como punto de acceso a una empresa es el “spear phishing” (intento de fraude por suplantación de correo electrónico). Resulta muy difícil que una persona se tome el tiempo de revisar el código de fuente de cada correo electrónico que recibe, con la finalidad de identificar si este es seguro o no. Es precisamente este hecho lo que los hackers aprovechan para enviar sus ataques, más aún cuando estos exploits (fragmentos de datos usados para vulnerar la seguridad de un sistema de información), son capaces de traspasar no solo la seguridad de los antivirus, sino también la del sistema operativo del navegador o el lector de archivos, por lo que al no contar con una herramienta tecnológica que combata específicamente las APT, el robo de información será inminente. Algunas recomendaciones Según Gartner, el presupuesto invertido en detección y reacción de ataques informáticos se incrementará de 10% a 75% en los próximos seis años. Mientras tanto, le entregamos una serie de recomendaciones para evitar ser la próxima víctima: • Implemente políticas de cambio de contraseña obligatorio de forma periódica, dificultando las acciones de un atacante. • Restrinja los accesos web de los usuarios de la empresa para controlar que no visiten sitios maliciosos. • Implemente un control de aplicaciones de listas blancas, el que le permitirá fijar políticas que regulen el uso de las aplicaciones. • Respáldese de un sistema de detección de anomalías (Sistemas de Prevención de Intrusos basado en Host o en la Red). • Realice servicios semestrales o trimestrales de Ethical Hacking, que incluyan pruebas de ciber-inteligencia y tunning periódicos de dispositivos de seguridad. • Implemente sistemas de correlación de eventos o SIEM, para facilitar la identificación de actividades anómalas. • Manténgase informado sobre el descubrimiento de nuevas vulnerabilidades, con el objeto de barajar medidas de mitigación en caso de que su compañía resulte afectada, siempre asesorándose por su proveedor de seguridad de la información.