En la primera parte de nuestra pequeña serie de blogs sobre los principios básicos del malware, hemos tratado la terminología de virus, gusanos, etc. Descubrimos que los tipos de ataques cibernéticos han cambiado a lo largo de los años. Si bien hace algunos años prevalecían los mensajes de correo no deseado relativamente simples y los virus que se distribuían ampliamente de acuerdo con el principio minimax (esfuerzo mínimo en el rango máximo), los ataques de hoy son mucho más sofisticados e individuales.

La razón es que los mecanismos de defensa se han adaptado; la detección de spam masivo y de oleadas de virus se ha mejorado significativamente. Pero antes de entrar en detalle cómo se puede analizar y defenderse contra el malware, vamos a arrojar un poco de luz sobre quién está detrás de todos estos ataques.

El estereotipo de un hacker se parece a esto: en un sótano oscuro se encuentra un hombre pálido y soltero, que come pizza, bebe una soda y viste una sudadera con capucha. Allí ingresa un código en una computadora,  ataca y alcanza sus objetivos. Por supuesto, como siempre, la realidad es mucho más compleja.

Mientras tanto, los fabricantes de ciberataques actúan como pequeñas empresas: están compuestos por equipos cuyos miembros se especializan en sub-tareas y distribuyen profesionalmente sus “productos”. Después de todo, esta industria se ha convertido en un campo de actividad altamente lucrativo, ya que se estima que los ingresos por delitos cibernéticos son más altos que los provenientes del tráfico de drogas a nivel mundial.

Más que sólo Nerds, los que están sentados en los sótanos

Sin embargo, hay muchos otros grupos de personas en el área de la cibercriminalidad. Para completar la lista temáticamente, por lo tanto, también se deben enumerar los actores del campo de la ciberguerra. Estos no persiguen objetivos monetarios, sino otros, a menudo ideológicos.

En la siguiente lista se encuentran diferentes grupos, en los cuales se pueden clasificar los cibercriminales:

Criminales profesionales

Este grupo se puede asignar a todos aquellos que persiguen un objetivo puramente económico con los ciberataques. Su objetivo es generar la mayor cantidad de dinero posible, de cualquier forma. Además de los troyanos bancarios y el spyware, también usan ataques de ransomware o malware tipo criptomining.

Además, debe mencionarse la venta de información y datos robados: las listas de correos electrónicos u otra información personal, botnets y otros contenidos, por los cuales se dejan solicitar grandes cantidades de dinero para prevenir su publicación.

Incluso la venta de malware en sí cae en esta categoría: los ataques se ofrecen como un servicio, de modo que incluso las personas técnicamente menos experimentadas o menos equipadas pueden realizar u ordenar ataques.

Entre este tipo de ataques puede encontrarse un nuevo ransomware, o un simple ataque DDoS contra compañías, organizaciones y agencias gubernamentales.

Actores estatales

Estos son actores pertenecientes a los gobiernos nacionales. Uno de sus principales objetivos es mejorar la situación de su propio país, ya sea mediante ataques piratas informáticos o mediante sabotaje, espionaje clásico o la infiltración de oponentes. Aunque estas actividades no son comunicadas abiertamente por países individuales, se considera un secreto a voces.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

Como resultado, los países se acusan mutuamente de estos ataques: actualmente, el FBI estadounidense y el Centro Nacional de Seguridad Cibernética (NCSC) acusan a Rusia de ser responsable de un ataque cibernético en el que piratas informáticos han infiltrado infraestructuras de red a gran escala. Por cierto, las dos autoridades están utilizando el Cyber Kill Chain como una explicación.

Para combatir el crimen y el terrorismo, las autoridades están utilizando activamente ciertos programas para espiar a las personas objetivo y de esta manera obtener información relevante para las investigaciones: el Troyano Federal, que supuestamente ya está en uso, es uno de esos ejemplos. Oficialmente, los órganos estatales están sujetos al poder legislativo y judicial, pero en la realidad este control es muy incompleto.

Algunas instituciones estatales incluso acumulan su propio conocimiento sobre los agujeros de seguridad sin permitir que se cierren, de modo que puedan ser capaces de explotarlos por sí mismos. Sin embargo, el problema es que los llamados Zero-Day- Exploits pueden caen en manos equivocadas y ser utilizados, como sucedió en el ataque de ransomware WannaCry, en el que probablemente un exploit suelto de la NSA fue explotado por grupos de piratas informáticos de Corea del Norte.

Activistas, grupos políticos

Este grupo de ciberdelincuentes, también conocidos como “hacktivistas”, lleva a cabo ciberataques basados en sus fundamentos ideológicos. Además de las empresas privadas, las víctimas también pueden ser políticos u órganos estatales. El objetivo de sus acciones es tratar de hacer valer sus ideas políticas, sociales o de otro tipo. Además del pirateo clásico, usan ataques DDoS.

Entre los hacktivistas se incluyen los grupos Anonymous, WikiLeaks y LulzSec.

Empresas privadas

En el sector privado, también hay actividades de cibercrimen. Generalizado por el espionaje industrial, el objetivo de este grupo de atacantes es espiar a la competencia, obtener información y usarla para su propio beneficio.

Vandalismo

Estos atacantes no establecen objetivos estratégicos para sus ataques cibernéticos: están más preocupados por satisfacer su curiosidad, probar nuevas ideas y obtener reconocimiento por sus logros. El puro placer en la destrucción es lo que impulsa a este grupo de personas.

Investigadores de seguridad

También hay personas que buscan vulnerabilidades en las infraestructuras de TI para aumentar la seguridad de los sistemas de TI. Estos expertos pueden encontrarse en instituciones públicas como universidades y autoridades públicas, pero también en empresas privadas en los denominados laboratorios de seguridad. Sin embargo, a veces la dificultad radica en que los ciberdelincuentes pueden usar y explotar estos hallazgos publicados para sus propios fines.

El dinero es la razón principal

Interesante es la distribución aproximada de los motivos detrás de estos ataques: según una encuesta reciente del proveedor de telecomunicaciones Verizon, el 76 por ciento de todas las violaciones de seguridad del año pasado fueron de naturaleza financiera, seguidas por actividades de espionaje, “motivos divertidos” y aversiones personales. Otro número muy interesante del estudio de Verizon: el 28% de todas las violaciones de datos fueron hechas por personal interno.

La próxima parte de nuestra serie analizará cómo funciona el análisis de malware y cómo desarrollar estrategias de defensa basadas en estos hallazgos.

Más información: