En el artículo anterior de esta serie, hablamos de las nuevas normativas de ciberseguridad en la Unión Europea. En el artículo de hoy hablaremos de la importancia de la Defensa Activa en el cambio de paradigma de la ciberseguridad en Ciberataque – Geografía e Identidad 15 – Defensa Activa».
La serie completa consta de 15 artículos:
Publicados – Artículo 1, Artículo 2, Artículo 3, Artículo 4, Artículo 5, Artículo 6, Artículo 7, Artículo 8, Artículo 9, Artículo 10, Artículo 11, Artículo 12, Artículo 13, Artículo 14, Artículo 15.
¿Qué es la defensa activa?
No es hackear al hacker
No se trata de una solución sólo técnica
La defensa activa es el uso de tácticas ofensivas para sorprender o ralentizar a un hacker y hacer que los ciberataques sean más difíciles de llevar a cabo. Un enfoque de ciberdefensa activa ayuda a las organizaciones a evitar que los atacantes penetren en sus redes empresariales. Esto también aumenta la probabilidad de que los hackers cometan un error y expongan su presencia o vector de ataque.
La defensa activa implica una tecnología de encubrimiento que detecta a los atacantes lo antes posible en el ciclo de ataque. Las técnicas cibernéticas activas incluyen cebos digitales y elementos de señalización que ofuscan la superficie de ataque y engañan a los atacantes. Este despiste hace perder tiempo y capacidad de procesamiento a los atacantes, al tiempo que proporciona datos vitales de ciberinteligencia activa.
La defensa activa apoya las acciones ofensivas y a veces puede implicar devolver el golpe a un atacante. Sin embargo, debe estar reservada a las fuerzas del gobierno que tienen la autoridad y los recursos para tomar las medidas adecuadas.
¿Por qué es importante la defensa activa?
La defensa activa ayuda a las organizaciones a detectar posibles amenazas a la seguridad lo antes posible. Con la defensa activa, las organizaciones pueden identificar posibles intrusiones antes de que los atacantes roben datos, propiedad intelectual u otros recursos esenciales.
La defensa activa proporciona técnicas cruciales que ralentizan a los atacantes y dificultan que los hackers se infiltren o perjudiquen las aplicaciones, las redes y los sistemas. También ofrece datos vitales de inteligencia sobre amenazas que permiten a las organizaciones comprender los ataques y prevenir eventos futuros similares. Pueden aplicar esta información a las estrategias de defensa y reforzar su respuesta a los incidentes para evitar que la amenaza resurja.
Detectar y responder a las amenazas con facilidad
La defensa activa puede ser muy eficaz para detectar y responder a las amenazas. Las organizaciones pueden utilizar honeypots, una táctica que ayuda a las empresas a atraer rápidamente a los atacantes, para prevenir los ataques contra sus sistemas.
Un buen ejemplo de ello es el Proyecto Spacecrab, que descubrió una probabilidad del 83% de que las credenciales honeytoken en GitHub fueran utilizadas por los atacantes. También descubrió que el tiempo medio que tarda un hacker en explotar esta forma de token cuando se publica es de 20 minutos.
La importancia de reunir información y prevenir futuras recurrencias
Las organizaciones pueden recopilar información sobre los atacantes mediante el uso de honeypots, a veces también conocidos como trampas de miel o honeytokens. Los honeypots son recursos falsos o ficticios que pueden colocarse en una red o sistema para atraer la atención de los atacantes. Pueden ser una aplicación, un conjunto de datos o un sistema completo, que se colocan en una red para distraer a los ciberdelincuentes.
Además, los honeypots contienen información digital que permite a las organizaciones controlar el robo y la manipulación de datos.
Los tipos de honeypots que las organizaciones pueden utilizar son los siguientes:
1. Creación de direcciones de correo electrónico falsas:
El correo electrónico es un vector de ataque popular para los ciberdelincuentes, que utilizan el medio para lanzar ataques de phishing que contienen archivos adjuntos maliciosos y enlaces a sitios web falsos. Las empresas pueden aprovecharse de ello creando direcciones de correo electrónico falsas, que utilicen nombres inventados, y que estén a la vista de su servidor de correo o de su servidor web público.
Las direcciones de correo electrónico falsas no deben utilizarse, pero pueden desplegarse para atraer mensajes de phishing o spam de los atacantes. Cualquier mensaje que llegue a una dirección de correo electrónico falsa sólo puede haberse originado a través de un acceso no autorizado a la lista de direcciones de correo electrónico, el servidor de correo o el servidor web de la organización. Estos mensajes proporcionan a las organizaciones una información vital sobre la forma en que los atacantes se dirigen a ellas y los métodos de ataque de phishing que utilizan.
2. Arrojar datos falsos de la base de datos:
Otra técnica popular consiste en insertar datos falsos, como registros o contenidos falsos, en las bases de datos existentes. El objetivo es atraer a los atacantes para que roben los datos falsos o animar a los trabajadores internos malintencionados a que los entreguen. Esta técnica proporciona a las organizaciones información útil sobre cómo los atacantes accedieron a los sistemas corporativos y explotaron las debilidades de sus redes.
3. Despliegue de archivos ejecutables falsos:
Los archivos .exe falsos se presentan como aplicaciones o programas de software que activan un interruptor cuando el atacante los ejecuta.
La organización recibe información sobre el atacante, como su dirección de protocolo de Internet (IP) y los detalles del sistema, lo que se conoce como «hack back». Este método también puede causar daños en el sistema del atacante y violar las normas de ciberseguridad y privacidad por lo que no se recomienda.
4. Incorporación de balizas web:
Las balizas web contienen un enlace de Internet a un objeto incrustado en un archivo lo suficientemente pequeño como para no ser detectado.
Cuando un atacante abre un documento que incluye una baliza, la organización que creó la baliza recibe detalles del sistema informático y su ubicación en Internet. Al igual que el método de los archivos ejecutables falsos, este método depende de que los atacantes no desplieguen un cortafuegos contra el tráfico saliente o los puertos externos.
5. Uso de cookies del navegador:
Las organizaciones pueden configurar cookies del navegador que actúen como honeytokens para evitar el problema de que los atacantes bloqueen sus puertos con un cortafuegos.
Este enfoque es particularmente exitoso cuando se confía en el error humano y si los atacantes no borran la caché de su navegador para ocultar su ubicación y actividad en línea.
6. Establecer trampas del canario:
Las trampas del canario centran en los delatores que ceden o venden datos que no deberían. Este método de «honeytoken» utiliza un rastreador o marcador vinculado a la pieza de datos que el denunciante comparte. Por ejemplo, el ‘Screen Actors Guild’ utilizó esta técnica para exponer a los miembros que filtran las películas presentadas para los premios Oscar.
7. Colocación de claves de AWS:
La plataforma en la nube de Amazon Web Services (AWS) utiliza claves digitales para desbloquear su infraestructura de gestión de acceso. Las organizaciones pueden colocar estas claves en varias ubicaciones, como escritorios, repositorios de GitHub y archivos de texto. Son muy valiosas para los ciberdelincuentes, que podrían utilizar las claves para controlar la infraestructura de una organización u obtener acceso a las redes corporativas. Sin embargo, para descubrir hasta dónde les llevará una clave de AWS en la infraestructura de una organización, un atacante tiene que probarla. Estas claves tienen mecanismos de registro incorporados, lo que significa que las organizaciones pueden utilizarlas como honeytokens para analizar, supervisar y registrar las acciones de los atacantes.
Mejorar las medidas de seguridad
La defensa activa es una herramienta crucial para mejorar las medidas de seguridad de las organizaciones. Las tácticas anteriores permiten a los equipos de seguridad recopilar información sobre las técnicas que utilizan los ciberdelincuentes, cómo explotan las vulnerabilidades y el tipo de información que buscan. Esta información es crucial para comprender mejor los motivos de los atacantes y garantizar que las medidas de seguridad de las organizaciones estén protegidas contra las últimas ciberamenazas.
La defensa activa es una herramienta crucial para mejorar las medidas de seguridad de las organizaciones.
En el artículo de hoy, hablamos de Ciberataque – Geografía e Identidad 15 – Defensa Activa.
Con este artículo lléganos el final de la serie Ciberataque – Geografía e Identidad.
!Pero esto no termina aquí! El día 15 de mayo del 2023 publicaremos los resultados de nuestro programa de defensa activa en la forma de una infografía del ciberataque.
La serie completa de “Ciberataque – Geografía e Identidad”:
#1 – «Ciberataque – Geografía e Identidad 1 – Cambio de paradigma«
#2 – «Ciberataque – Geografía e Identidad 2 – Cuando hackear es un asunto de estado«
#3 – «Ciberataque – Geografía e Identidad 3 – Primero protege tu hardware«
#4 – «Ciberataque – Geografía e Identidad 4 – Las 57 principales amenazas«
#5 – «Ciberataque – Geografía e Identidad 5 – El aspecto humano de la ciberseguridad«
#6 – «Ciberataque – Geografía e Identidad 6 – La diferencia entre hackers, ciberdelincuentes y ladrones de identidad«
#7 – «Ciberataque – Geografía e Identidad 7 – Las motivaciones de los ciberdelincuentes«
#8 – «Ciberataque – Geografía e Identidad 8 – Vectores del ransomware y cómo evitar convertirse en víctima«
#9 – «Ciberataque – Geografía e Identidad 9 – Reconoce y evita el phishing«
#10 – «Ciberataque – Geografía e Identidad 10 – IA, un salto de gigante en ciberseguridad«
#11 – «Ciberataque – Geografía e Identidad 11 – ¿Hacking Back?«
#12 – «Ciberataque – Geografía e Identidad 12 – Atrapando a los hackers en el acto«
#13 – «Ciberataque – Geografía e Identidad 13 – La ciberseguridad en el núcleo empresarial«
#14 – «Ciberataque – Geografía e Identidad 14 – Nuevas normativas de ciberseguridad en la Unión Europea«
#15 – «Ciberataque – Geografía e Identidad 15 – Defensa Activa«
Página Infografía del ciberataque.