La fruta al alcance de la mano: por qué algunos ciberataques logran su cometido

Cuando un ataque informático logra su cometido solemos hacer referencia al eslabón más débil: el usuario. Inicialmente, una gran cantidad de las amenazas busca explotar las vulnerabilidades en las personas a través de métodos conocidos desde hace años, que se relacionan con técnicas de Ingeniería Social y que continúan siendo efectivos.

La fruta madura cuelga en las ramas bajas y representa el objetivo fácil de lograr

Pero sin duda, estas técnicas se complementan con herramientas cada vez más sofisticadas que también explotan vulnerabilidades en el software, como 0-days, o recurren a malware cada vez más complejo.

En función del objetivo de los atacantes se definen los recursos que se utilizarán para buscar el éxito de una campaña maliciosa, que puede ser masiva, intentando afectar la mayor cantidad posible de usuarios, o bien un ataque dirigido con objetivos específicos; a la vez, puede estar destinada a una empresa o bien a usuarios finales.

Pero ¿cómo se establece todo esto? Analicemos el punto de partida.

El camino corto para obtener la fruta madura

El término “low-hanging fruit” hace referencia a objetivos que se pueden lograr con relativa facilidad, aplicando el mínimo esfuerzo para conseguirlo. Se aplica en distintos ámbitos y también ha comenzado a ser utilizado en el contexto de la ciberseguridad, pero ¿a qué se refiere y cómo se puede relacionar con los ataques informáticos?

El concepto puede aplicarse en los ataques que emplean técnicas relativamente sencillas de implementar y propagar, que permiten a los atacantes obtener acceso a sistemas e información de las potenciales víctimas, y generalmente se encuentran en campañas masivas que tienen como propósito afectar a un mayor número de usuarios.

el tiempo y los recursos que requiere un cibercriminal cada vez son menores

Por ello, a partir de una gran cantidad de usuarios afectados un atacante puede obtener algún beneficio (generalmente económico), pero que puede ser equiparable a la cantidad de recursos utilizados para la generación de una amenaza. De acuerdo con una encuesta realizada para conocer los factores para el éxito de los ataques, el tiempo y los recursos que requiere un cibercriminal cada vez son menores, debido al uso de herramientas automatizadas y al aumento en la cantidad de exploits o vulnerabilidades conocidas. A pesar de ello, suelen requerir pocos recursos.

En este sentido, la efectividad de este tipo de ataques puede deberse en gran medida a las malas prácticas de seguridad realizadas por los usuarios, la falta de herramientas y software básico de seguridad o el desconocimiento de información como las vías de propagación conocidas: archivos maliciosos adjuntos en correos electrónicos, enlaces maliciosos o explotación de vulnerabilidades conocidas que incluso cuentan con parches de seguridad disponibles.

La otra cara de la moneda: ataques dirigidos

En el otro extremo se encuentran los ataques dirigidos. Si bien todos los ataques están dirigidos a un perfil de usuario y la principal diferencia es la masividad, se suele hacer referencia a un ataque dirigido cuando se trata de un objetivo muy específico (como una empresa o un usuario de perfil alto).

Aunque este tipo de ataques también se apoyan de técnicas de Ingeniería Social y suelen emplear métodos conocidos como en el caso anterior, una característica importante es que se complementan y recurren a herramientas poco comunes, como vulnerabilidades de día cero o malware especialmente diseñado para el ataque. Por ende, son más costosos en tiempo, suelen ser más complejos técnicamente y requieren más recursos.

A pesar de la complejidad de los ataques, la protección está a nuestro alcance

En general, suelen realizarse con propósitos específicos que además de asociarse con ganancias económicas para sus perpetradores, pueden responder a otro tipo de intereses, e incluso pueden ser patrocinados por gobiernos.

Otra característica relevante es la persistencia. Generalmente el tiempo es el enemigo principal de un atacante y una vez que ha pasado un periodo considerable podría dejar de lado sus intentos por acceder a una red, un sistema u obtener información. Sin embargo, en los ataques dirigidos se cuenta con los recursos y el tiempo suficiente para lograr el propósito, por lo que se intenta cuantas veces sea necesario.

Podría pensarse de manera pesimista que si algún atacante busca afectar negativamente a un usuario y cuenta con los recursos suficientes, en algún momento podrá lograr su propósito. En este caso, la pericia del usuario juega a favor de su seguridad, aunada a las herramientas que debe implementar para protegerse.

A pesar de las diferencias, existen similitudes en la protección

Luego de revisar algunas características de los ataques informáticos, es importante destacar que a pesar de las marcadas diferencias, el conjunto de recomendaciones relacionadas con el uso de tecnología y software de seguridad, la aplicación de buenas prácticas y conocer los métodos empleados por los atacantes, contribuyen de manera considerable a evitar amenazas de esta naturaleza.

En la mayoría de los casos, el uso de herramientas de seguridad hace a un ataque técnica y económicamente inviable; en otros casos las prácticas de protección ejercidas por los usuarios permiten evadirlos. A pesar de la sofisticación y complejidad de los ataques y las amenazas, la protección está a nuestro alcance y tenemos una tarea diaria que consiste en alcanzar el estado ideal de seguridad.