A medida que avanza el tiempo, la ciberseguridad poco a poco va ganando terreno dentro de la amplia gama de conocimientos presente en los diferentes usuarios que interactúan con la tecnología.
Para llevar a cabo una buena gestión en ciberseguridad, uno de los temas principales consiste en la evaluación de riesgos y, dentro de ella, identificar, analizar y comprender a los potenciales ciberatacantes.
Actualmente no hay consenso respecto a cuantas fases componen un ciberataque. Algunos modelos plantean 5 y otros van hasta 14, como el modelo actualmente propuesto por Mitre Att&ck (llamadas “tácticas”). A los fines del presente artículo, se propone explicar el desarrollado por la prestigiosa corporación estadounidense Lockheed Martin, denominado “Cyber Kill Chain” (Cadena de Muerte Cibernética):
- Reconocimiento: incluye la selección del objetivo, investigación y recopilación de información.
- Preparación/armamento: es la fase donde se idea el ataque. Es decir, donde se decide qué tipo de malware se usará y cómo. Por ejemplo, el envío de un e-mail con un link a un sitio web malicioso que realice una descarga oculta de un ransomware.
- Distribución/entrega: es donde se produce el ataque. En el caso de ejemplo, el usuario efectivamente hace click en el link y termina descargando el ransomware.
- Explotación: como su nombre lo indica, el código se desencadena, explotando una vulnerabilidad del sistema y comprometiendo el equipo infectado.
- Instalación: puede producirse en forma automática (es decir, programada dentro del código del malware) o manual (una vez que el ciberatacante haya logrado el acceso). A veces no es necesaria la instalación (tal es el caso del robo de credenciales).
- Comando y control: en este punto el ciberatacante domina completamente la situación. Siguiendo con el ejemplo, ejecuta la acción maliciosa para bloquear el disco duro del sistema.
- Acción sobre los objetivos: el ciberatacante tiene a disposición una amplia gama de alternativas, como expandir el ransomware a otros equipos, emitir una orden hacia las impresoras para que la víctima pueda leer sus mensajes amenazantes, divulgar o vender la información robada, etc.
¿Por qué es importante conocer las fases de un ciberataque?
La utilidad radica en entender el proceso para tomar acciones defensivas. Por ejemplo, en la primera de ellas (reconocimiento) la capacitación del personal es un aspecto crítico a considerar, o incluso el control de la información en poder de terceros (un simple archivo puede contener metadatos que mencionen la ruta interna de una carpeta, los datos de un empleado con accesos a información confidencial, etc.).
El objetivo es lograr un compromiso con la ciberseguridad que permita enfrentar a amenazas cada vez mas preparadas, sofisticadas e innovadoras.
Después de todo, ya hace más de 25 siglos Sun Tzu escribía en su libro El Arte De La Guerra “si conoces al enemigo y te conoces a ti mismo, no temas el resultado de cien batallas”.