by Antonio Zepeda 6 years ago
3636
More like this
Por ejemplo existen APTs cuyo objetivo no es el de robar información sino el de causar daño al destinatario: uno de ellos, el virus Stuxnet, está considerado como la primera “ciberarma” del mundo, y fue capaz de detener los reactores nucleares de Irán en el año 2010, causando pérdidas de suministro eléctrico que afectaron a todo el país.
Una sola capa: solo un grupo u organización posee y controla todos los roles y responsabilidades durante el ataque. Estos roles y responsabilidades no están distribuidos en grupos externos a la organización atacante.
Automatización: los hackers hacen uso de software y sistemas automatizados para aumentar el poder de penetración contra un solo objetivo, a diferencia de otros tipos de ataques que utilizan sistemas automatizados para atacar múltiples objetivos.
Tiempo y dinero: los perpetradores de una APT no suelen preocuparse por el costo del ataque, incluso pueden no preocuparse de los ingresos a partir del mismo, ya que a menudo están financiados por estados nacionales o por el crimen organizado.
Control y enfoque: una APT está enfocada en tomar control de elementos cruciales de la infraestructura, como redes de distribución eléctrica o sistemas de comunicaciones; también busca comprometer la propiedad intelectual de otros o información de seguridad nacional, mientras que los datos personales no suelen ser de interés para un atacante de este estilo.
Persistencia: si un objetivo se resiste a ser penetrado, el hacker no abandonará la misión, lo que hará es cambiar la estrategia y desarrollará un nuevo tipo de ataque. Incluso podría decidirse por pasar de un vector de ataque externo a uno interno.
Personal: el atacante selecciona objetivos con base en intereses políticos, comerciales o de seguridad y tiene una definición clara de la información que busca obtener de la víctima.
Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos, a menudo orquestados por humanos, dirigidos a penetrar la seguridad informática de una entidad específica. Una APT, generalmente, fija sus objetivos en organizaciones o naciones por motivos de negocios o políticos. Los procesos de APT requieren un alto grado de cobertura durante un largo período de tiempo. El proceso avanzado involucra sofisticadas técnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas. El término ‘persistente’ sugiere que existe un control y monitorización externos para la extracción de datos de un objetivo específico de forma continua. El término ‘amenaza’ indica la participación humana para orquestar el ataque.
Por ejemplo, suele llamarse a un usuario haciéndose pasar por administrador del sistema y requerirle la password con alguna excusa convincente. O bien, podría enviarse un mail (falsificando la dirección origen a nombre del administrador) pidiendo al usuario que modifique su password a una palabra que el atacante suministra.
Los atacantes se hacen pasar por otra persona y convencen a la víctima para entregar información sensible de la organización o sus contraseñas.
Los objetivos de la ingeniería social son fraude, intrusión de una red.
Se hace para obtener acceso a sistemas o información útil.
La ingeniería Social está definida como un ataque basado en engañar a un usuario o administrador de un sitio en el internet, para poder ver la información que ellos quieren.
Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente (generalmente es así), puede engañar fácilmente a un usuario (que desconoce las mínimas medidas de seguridad) en beneficio propio. Esta técnica es una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y passwords.
Los Virus del sector de arranque inicial residen en la primera parte del disco duro o flexible, conocida como sector de arranque inicial, y sustituyen los programas que almacenan información sobre el contenido del disco o los programas que arrancan el ordenador. Estos virus suelen difundirse mediante el intercambio físico de Discos flexibles.
Un virus debe ser ejecutado para que funcione: es decir, el ordenador debe cargar el virus desde la memoria del ordenador y seguir sus instrucciones.
Los virus están diseñados para reproducirse y evitar su detección.
Un virus informático es un programa de ordenador que se reproduce a sí mismo e interfiere con el hardware de una computadora o con su sistema operativo (el software básico que controla la computadora).
El virus informático es un programa, generalmente destructivo, que se introduce en la computadora (al leer un disco o acceder a una red informática) y puede provocar pérdida de la información (programas y datos) almacenados en el disco duro.
El gusano: Sobig Worm Gusano de envío masivo de correo cuya propagación se realiza a todas las direcciones electrónicas encontradas dentro de los ficheros de extensiones: .txt, .eml, .html, .htm, .dbx, y .wab. El correo en el que se propaga el gusano parece como si fuese enviado por”big@boss.com”. También realiza copias de sí mismo en máquinas remotas a través de recursos compartidos en red.
Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.
A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo.
A diferencia de los virus, los gusanos no infectan archivos.
El objetivo de este malware suele ser colapsar los ordenadores y las redes informáticas, impidiendo así el trabajo a los usuarios.
Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.
Los Gusanos Informáticos son programas que realizan copias de sí mismos, alojándolas en diferentes ubicaciones del ordenador. El objetivo de este malware suele ser colapsar los ordenadores y las redes informáticas, impidiendo así el trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan archivos.
Troyano Keylogger: en este caso, el troyano se encarga de monitorear y registrar todo lo que se tipea con el teclado. Está netamente orientado al robo de información confidencial. Algunos de ellos tienen la capacidad de realizar capturas de pantallas.
Los troyanos están compuestos por dos archivos: un cliente que es el que envía las órdenes y un servidor que recibe las órdenes del cliente, las ejecuta y devuelve resultados.
Las acciones que el atacante puede realizar dependen de los privilegios del usuario que está siendo atacado y de las características del troyano.
Están diseñados para que un atacante acceda a un sistema en forma remota y realizar diferentes acciones "sin pedir permiso".
Se denomina caballo de Troya, o troyano, a un malware que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado. Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos, crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado.
Se asume que un script kiddie no tiene la capacidad de escribir sus propios programas de hacking, y su objetivo generalmente es impresionar a sus amigos. Algunos típicos programas que suelen utilizar son aplicaciones como WinNuke, Back Orifice, NetBus, Sub7, Metasploit, etc.
Este tipo de intruso es el más habitual y para la gran mayoría de empresas y usuarios es el único que conocerán.
Su motivación suele limitarse al simple hecho de penetrar en un sistema ajeno
Buscan sistemas vulnerables en los que el administrador no haya solucionado el problema todavía.
Aprovechan las vulnerabilidades publicadas con “exploit”
El nombre hace referencia a la forma habitual en que estos intrusos comprometen los sistemas que atacan, mediante el uso de herramientas desarrolladas por otros y que aprovechan indiscriminadamente contra todos los sistemas que encuentran. El referirse a ellos como 'kiddies' ('chavalines') hace una doble referencia a la edad que tienen habitualmente y a la condición mental que les lleva a realizar sus actos. La amenaza que representan es muy similar a la de los virus informáticos, con la salvedad de que podrían intentar aprovechar agujeros de seguridad mucho más recientes.
Un ejemplo de herramienta de hackeo es el registrador de pulsaciones. Un programa que realiza un seguimiento y registra las pulsaciones del teclado individuales, además de enviar esta información nuevamente al hacker.
No suele ser muy consciente del alcance de sus acciones, pudiendo provocar mayores daños que los pretendidos y a la vez dejando suficientes pistas para su identificación.
Analiza en mayor o menor medida las líneas de defensa a las que se va a enfrentar.
Pretenden mejorar y poner a prueba sus conocimientos
Invierten un importante número de horas a la semana a su afición.
Son auténticos expertos en varios lenguajes de programación, arquitectura de ordenadores, servicios y protocolos.
Los hackers son intrusos que se dedican a estas tareas como pasatiempo y como reto técnico: entran en los sistemas informáticos para demostrar y poner a prueba su inteligencia y conocimientos de los entresijos de Internet, pero no pretenden provocar daños en estos sistemas.
Google, esto ocurrió para el año 2010, donde Google publicó que se había detectado un ataque informático muy complejo y sofisticado desde el país de China. Este logró robar información de su propiedad intelectual. El ataque era dirigido a entrar a las cuentas de Gmail de activistas de derechos civiles chinos. También un gran grupo de empresas financieras, tecnológicas, de medios y químicas, eran el objetivo. Este ha sido uno de los más grandes planes de espionaje cibernético de los últimos años.
Esta actividad tuvo su auge en la primera y segunda guerra mundial en la cual lo métodos utilizados fueron la infiltración y la penetración.
Es la actividad secreta encaminada a obtener información sobre un país, especialmente lo referente a su capacidad defensiva y ofensiva.
Se denomina espionaje a la práctica y al conjunto de técnicas asociadas a la obtención encubierta de datos o información confidencial. Las técnicas comunes del espionaje han sido históricamente la infiltración y la penetración, en ambas es posible el uso del soborno y el chantaje.
El atacante aparece como un empleado de otra empresa, ofreciendo un servicio para la empresa víctima y necesitando una información para poder hacerlo.
En el escenario no es necesario coger un rol de “insider”.
El atacante quiere mantener más distancia a la empresa porque tiene miedo de que su ataque se descubra.
No era capaz de conseguir suficiente información para aparecer creíble como un “insider”.
Un outsider se considera un obrero, un trabajador externo, un asociado de la empresa etc. Para conseguir suficiente conocimiento sobre una identidad dentro de la empresa para coger y explotarla en seguida.
Uno de los casos más conocidos sobre empleados descontentos es el sucedido en la planta de tratamiento de aguas de Maroochy, en Australia. En este caso, el empleado descontento utilizó un ordenador portátil provisto con un software de control adecuado y un módem de radio. La forma de acceder al sistema consistía en conectar el ordenador al sistema de estación de bombeo tratando de no ser detectado. El resultado de estas intrusiones fueron litros y litros de aguas residuales vertidas en ríos y parques, además de la pérdida de imagen de la empresa encargada de gestionar el alcantarillado. El empleado fue condenado a 2 años de cárcel por el acceso ilegal al sistema de control de alcantarillado del Condado, práctica que realizaba por el descontento que tenía tras ser despedido de la empresa para la que trabajaba.
Desconocimiento. Puede darse el caso de que un empleado deje públicos unos servicios que no deberían serlo o realice acciones sin conocer a fondo sus efectos.
Distracción: Una amenaza interna puede originarse como distracción para realizar otras acciones maliciosas y evitar que el objetivo principal de la operación sea desvelado.
Venganza: En este caso, el descontento suele ser la mayor motivación. Un despido en el que las 2 partes no están de acuerdo o problemas con los compañeros de trabajo, pueden motivar a que un exempleado realice acciones perjudiciales para la empresa de la que ha sido despedido.
Espionaje industrial: Puede darse el caso de que las acciones realizadas estén motivadas por otra empresa de la competencia para obtener información privilegiada de sus procesos.
Dinero: El atacante está motivado por la posibilidad de obtener una suma de dinero por las acciones que va a realizar.
Un “insider” es una persona que posee gran conocimiento de una empresa porque trabaja o trabajó en ella, y que por su situación actual en relación a la empresa, busca cierta venganza. Esta persona es capaz de realizar acciones como el cambio de credenciales importantes, un uso inadecuado de dispositivos, etc.
