Ataques Informáticos desde fuera del Sistema

Introducción

Cuando se habla sobre las personas que se dedican a atacar sistemas informáticos, se piensa enseguida que se trata de alguien desconocido que realiza el ataque y maneja todo desde un lugar remoto. Aunque a veces puede ser cierto, la mayoría de casos son cometidos por los mismos empleados desde dentro de la Institución u Organización. Una de las formas más eficaces que posee un atacante para romper los esquemas de seguridad, es desde el interior de la organización. Por ejemplo, el atacante podría distribuir un software entre los empleados de la organización que desea atacar y esperar a que sea ejecutado dentro del sistema de la organización para luego explotar los puntos de acceso. Del mismo modo, cualquier integrante puede convertirse en un empleado disgustado y decidir robar información y/o causar daños como una forma de venganza.

En cualquiera de los casos, muchas de las herramientas y medidas de seguridad que se implementen en el entorno informático no serán eficaces, ya que en su mayoría previenen el acceso externo, y sea mucho más difícil mantener bajo control cualquier tipo de ataque que tenga origen en el ámbito interno del sistema.

Caballo de Troya

Definición y Características:

Un caballo de Troya o “troyano” es un programa que puede ser considerado como benigno o maligno, pero en sí no es ni un virus ni una amenaza informática, simplemente es un programa que por su naturaleza ha sido usado para fines maliciosos. Todo depende del uso que se le vaya a dar, y sus métodos en función de su uso.

Un troyano se instala en una computadora, para así permitirle al usuario el control remoto del equipo. Es en este punto donde entra lo negativo de lo que es un troyano informático.

Si un troyano es instalado en una computadora sin consentimiento del usuario, esto puede ser considerado como un método de ataque hacia el mismo.

En tal sentido, dicho troyano puede ser benigno o maligno. Aunque algunos antivirus lo detecten siempre como virus, pero ya esto depende eventualmente de las características de cada troyano.

Características de un Troyano informático:

  • Está conformado por un cliente y un servidor: el cliente es el módulo que se instala en el equipo remoto, y el servidor es el módulo que se usa para hacer la gestión remota
  • Si el cliente del troyano está en modo oculto o invisible, el antivirus lo detecta como si se tratara de un virus potencial; de lo contrario, puede que ni siquiera lo detecte
  • A diferencia de los virus, que su meta es dañar el sistema, los troyanos pretenden ofrecer al usuario la posibilidad de ejercer control remoto sobre una computadora
  • Por lo general los troyanos son programas que se ocultan en imágenes o archivos multimedia (audio o vídeo) para su fácil instalación en el equipo de la víctima

Cuando comenzaron a aparecer, estaban formados por un componente colocado dentro de un programa de amplio uso, que contenía toda su funcionalidad asociada a la pérdida de la información almacenada en los discos duros.

Actualmente estos programas están formados por dos componentes: el Servidor y el Cliente. El primero es el que se instala de manera oculta en la PC afectada. Generalmente se copia en el disco y crea las condiciones para ser ejecutado cada vez que el sistema sea iniciado.

Ejemplo

  • Modificando registros del Sistema que se utilizan durante su inicio, como: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \RunOnce \RunServiceso \RunServicesOnce
  • Alterando archivos de inicio, tales como: Win.ini, System.ini, Wininit.ini, Winstart.bat, Autoexec.bat y Config.sys
  • Copiándose como EXPLORER.EXE en la carpeta \Menú Inicio\Programas\Inicio o en C:\

También, debido a que los troyanos tratan de pasar desapercibidos, suelen venir acompañados de un rootkit, que es un tipo de malware que tiene como propósito ocultar procesos que puedan hacer sospechar al usuario. Para ello, los rootkits se instalan en el ordenador con permisos de administrador, superusuario o root. Al tener control completo del sistema pueden ocultar ciertos procesos y archivos, evitar que los antivirus hagan bien su trabajo, saltarse sistemas de cifrado… Así evitan que detectes que ha habido un compromiso en tu sistema.

Los rootkits pueden instalarse a nivel de sistema operativo (lo más normal), pero pueden llegar a reemplazar partes del núcleo o incluso del arranque del ordenador: de esta forma pueden saltarse cualquier protección que tengas (el rootkit controla todo el ordenador desde el momento en el que arranca) y resultan muy difíciles de detectar y eliminar.

Hay muchísimas formas para que un troyano llegue al ordenador, algunas son:

  • Puede ser por una vulnerabilidad en un programa instalado (ejem, Flash, Java, Adobe Reader). Se descarga un archivo especialmente preparado para que, al abrirlo, se ejecute un código que instale el rootkit en cuestión (vulnerabilidades por desbordamiento de búfer, en su mayoría).
  • También puede ser por fallos en el hardware y los controladores. No es raro que alguien tome control de un ordenador enviando unos paquetes especiales a la antena WiFi, o a la radio Bluetooth. Además, si entran de esta forma conseguirían directamente privilegios de administrador para hacer lo que quieran con el sistema.
  • Otra posible puerta: manipulación directa de los archivos que te bajas. Un ataque MITM (Man In The Middle, hombre en el medio), poniendo un software entre tu ordenador y el resto de Internet, modificaría un archivo ejecutable que te bajes inyectando código para instalar un troyano. Así, tú crees que estás instalando, por poner un ejemplo, Chrome, y en realidad estás instalando Chrome con un regalito de parte de tu amigo el hacker.
  • Y para no ir tan lejos, alguien con acceso físico al ordenador puede coger ratón y teclado e instalar el malware sin vulnerabilidades ni complicaciones.

Falsificación de Identidad:

Definición y Características:

El phishing o robo de identidad en Internet se suele hacer a través de correos electrónicos (pidiendo que se haga clic en un enlace malicioso, o se descargue un archivo infectado o se envíen datos personales a un destinatario que no es quien dice ser) y de sitios web (que se hace pasar por un sitio legítimo, como un banco, copiando tanto su apariencia como su contenido, para que la víctima intente acceder a sus cuentas y así revele sus datos de acceso a los delincuentes). Recientemente se han dado casos de ciberestafas que han afectado a millones de personas: emails haciéndose pasar por Correos, la Policía, Movistar, Loterías, Microsoft.

Las víctimas de estos delitos no son siempre personas físicas, también pueden serlo las empresas: webs que se hacen pasar por una empresa para publicar información negativa que dañe su reputación y les haga perder clientes; webs y perfiles de redes sociales que se hacen pasar por una empresa para aprovecharse de su buen nombre y robarle sus clientes; robos de datos en empresas que luego son usados con fines ilícitos, etc. Es importante que tanto profesionales como empresas y marcas conozcan cuál es la información que aparece sobre ellos en Internet, mediante un Informe de Presencia Online, y así detectar posibles robos de identidad en Internet, infracciones de propiedad intelectual o abusos de marca.

Metodología:

El estafador, se vale de técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo general un correo electrónico, o algún sistema de mensajería instantánea, redes sociales SMS/MMS, a raíz de un malware o incluso utilizando también llamadas telefónicas. Obteniendo así datos personales, financieros o credenciales de acceso que, luego pueden ser vendidos o utilizados para sacar beneficio de ellos.

Los principales daños que esto puede ocasionar son el robo o estafa por medio de operaciones bancarias o tarjetas de crédito, venta de datos personales y suplantación de identidad.

Bomba Lógica

Definición y Características:

Una bomba lógica (en inglés denominado time bombs), es un software o modificación de programa que produce modificaciones, borrados de ficheros o alteraciones del sistema en un momento posterior a aquél en el que se introducen por su creador.

Los disparadores de una bomba lógica pueden ser varios, desde las fechas del sistemas, realizar una determinada operación o que se introduzca un determinado código que será el que determine su activación.

Son parecidas al Caballo de Troya, aunque lo que se pretende es dañar al sistema o datos, aunque se pueden utilizar para, por medio de amenazas, ordenar pagos, realizar transferencias de fondos, etc..

Características principales en un ataque con bomba lógica:

  • El tipo de actuación es retardada.
  • El creador es consciente en todo momento del posible daño que puede causar y del momento en que éste se puede producir.
  • Este ataque está determinado por una condición que determina el creador dentro del código.
  • El código no se replica.
  • Los creadores de este tipo de códigos malignos suelen ser personal interno de la empresa, que por discrepancias con la dirección o descontento suelen programarlas para realizar el daño.

Desde el punto de vista técnico, en un ataque con bomba lógica se puede producir una destrucción acelerada y disimulada del mayor número de ficheros posibles. También un ataque a la seguridad del sistema (salida de información confidencial mediante email, ftp, etc…y cambios de derechos de acceso ), haciendo posible uso para ataques tipo DDOS (Distributed Denial Of Service).

Este tipo de ataques se suelen producir por personas que tienen acceso o han tenido acceso al entorno informático de una compañía. Cuando se produce este tipo de ataques, en pocas ocasiones transciende, ya que la compañía intenta no dar publicidad al ataque.

Funcionamiento:

Las bombas lógicas, por lo general, son pequeños pedazos de código fuente que usualmente son incluidos dentro de otras aplicaciones que son enviadas a la víctima, de tal manera, que el usuario final no se da cuenta de que ha sido infectado, ya que al estar completamente inactivas pueden pasar desapercibidas por algunos sistemas de seguridad.

Una vez guardados en el ordenador de la víctima, estos pedazos de código esperan que se cumpla la hora de ejecución y, una vez llegado este tiempo, se ejecuta la tarea para la cual está destinada la bomba lógica dejando al usuario prácticamente indefenso ante el ataque lógico que tiene lugar en su PC. Por ejemplo, un programador puede ocultar una pieza de código que comience a borrar archivos cuando sea despedido de la compañía (en un disparador de base de datos (trigger) que se dispare al cambiar la condición de trabajador activo del programador).

Trampa

Un honeypot, o sistema trampa1 o señuelo, es una herramienta de la seguridad informática dispuesto en una red o sistema informático para ser el objetivo de un posible ataque informático, y así poder detectarlo y obtener información del mismo y del atacante.

La característica principal de este tipo de programas es que están diseñados no sólo para protegerse de un posible ataque, sino para servir de señuelo invisible al atacante, con objeto de detectar el ataque antes de que afecte a otros sistemas críticos. El honeypot, sin embargo, puede estar diseñado con múltiples objetivos, desde simplemente alertar de la existencia del ataque u obtener información sin interferir en el mismo, hasta tratar de ralentizar el ataque —sticky honeypots— y proteger así el resto del sistema.

De esta forma se tienen honeypots de baja interacción, usados fundamentalmente como medida de seguridad, y honeypots de alta interacción, capaces de reunir mucha más información y con fines como la investigación.

Si el sistema dispuesto para ser atacado forma toda una red de herramientas y computadoras dedicadas en exclusiva a esta tarea se le denomina honeynet.