Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Las 10 técnicas más utilizadas por los cibercriminales

La base de datos ATT&CK de MITRE se puso en marcha en 2013 con el objetivo de documentar las tácticas, técnicas y procedimientos (del inglés, tactics, techniques and procedures, TTP) utilizados habitualmente por los adversarios (cibercriminales), con el objetivo de poder conocer en profundidad cómo operan de cara a implementar las medidas oportunas para limitar la posibilidad de verse afectado por sus ataques.

MITRE ha clasificado por el momento estos TTP en 4 matrices, atendiendo a distintas temáticas, siendo estas: amenazas para empresas, para móviles, para sistemas de control industrial y PRE-ATT&CK, siendo esta últimamente distinta ya que recoge las fases previas a un ataque. Cada una de estas matrices contiene diferentes tácticas, técnicas y procedimientos asociados, y para entender las matrices es importante definir estos conceptos:

Las tácticas podemos entenderlas como el objetivo que pretenden alcanzar los cibercriminales, pudiendo ser estos los que se indican a continuación:

  • Acceso inicial: El adversario está tratando de entrar en su red.
  • Ejecución: El adversario está tratando de ejecutar un código malicioso.
  • Persistencia: El adversario está tratando de mantener su posición.
  • Escalada de privilegios: El adversario está tratando de obtener permisos de nivel superior.
  • Evasión de la defensa: El adversario está tratando de evitar ser detectado.
  • Acceso a credenciales: El adversario está tratando de robar nombres de cuentas y contraseñas.
  • Descubrimiento: El adversario está tratando de averiguar su entorno.
  • Movimiento lateral: El adversario está tratando de moverse a través de tu entorno.
  • Recolección: El adversario está tratando de recolectar datos de interés para su objetivo.
  • Comando y control: El adversario está tratando de comunicarse con los sistemas comprometidos para controlarlos.
  • Exfiltración: El adversario está tratando de robar datos.
  • Impacto: El adversario está tratando de manipular, interrumpir o destruir sus sistemas y datos.

Por su parte, las técnicas y subtécnicas representan el cómo se logra llevar a cabo lo que se pretende y finalmente, los procedimientos son la implementación específica usada para llevar a cabo las diferentes técnicas y sub-técnicas.

Estas matrices son muy útiles ya que cada vez que se analiza una amenaza que esté teniendo un impacto significativo los analistas pueden mapear el comportamiento de la amenaza con la matriz que corresponda y así poder recoger cómo opera y poder compartir esta información. Por el momento, hay registrados más de 100 grupos criminales y más de 350 programas maliciosos.

En el presente artículo, destacamos la matriz de empresa "Enterprise" que cuenta con 12 tácticas, 156 técnicas y 272 sub-técnicas. A continuación, y en base los análisis anteriormente mencionados, resumimos las 10 técnicas más utilizadas por los cibercriminales a la hora de realizar un ataque contra una empresa:

  1. SpearPhising adjunto. Consiste en el envío de emails, durante la fase inicial de un ataque, con un archivo adjunto malicioso para obtener información confidencial o comprometer el sistema. Según un reciente informe de la compañía Trend Micro, el 93% de las ciberamenazas que bloquearon sus productos en la primera mitad de 2020 se transmitieron por email.
  2. Archivos maliciosos. Tiene una relación directa con la técnica anterior, y busca que el usuario abra un archivo malicioso, en el dispositivo objetivo, siendo las extensiones más habituales .doc, .pdf, .xls, .rtf y .exe.
  3. Ficheros ofuscados. Esta técnica busca evadir los sistemas de protección como los antivirus, ya que consiste en cifrar los ficheros maliciosos para que el código no sea fácilmente analizable y por tanto no se pueda determinar si es malicioso hasta que se ejecute.
  4. Powershell. Esta herramienta de configuración y control de sistema es utilizada habitualmente por los administradores, y se basa en el uso intensivo de comandos y scripts. PowerShell está incluido por defecto en el sistema operativo Windows y el atacante puede usarla para realizar una serie de acciones, la búsqueda de información y la ejecución de código, así como descargar y ejecutar archivos desde Internet, en el disco y en la memoria. Cada vez es más habitual ver cómo los cibercriminales utilizan herramientas propias del sistema para intentar así pasar desapercibidos.
  5. Línea de comandos de Windows (Windows Command Shell). En la línea de la técnica anterior, la shell de comandos de Windows (también denominado cmd.exe) suele usarse por administradores de sistemas, desarrolladores o usuarios avanzados, y es también utilizada habitualmente en los ataques.
  6. Transferencia de herramientas de acceso. Esta técnica contempla que el atacante transfiere herramientas u otros archivos a través del canal de comando y control o mediante protocolos como FTP. 
  7. Entradas de arranque del registro / Carpeta de inicio. Se centra en mantener persistencia en el sistema agregando un programa a una carpeta de inicio o haciendo referencia a éste mediante una clave de ejecución del Registro. 
  8. Protocolos Web. Los cibercriminales se comunican con los sistemas afectados mediante el uso de protocolos de capa asociados al tráfico web para evitar ser detectados o filtrados al mezclarse con el tráfico web existente.
  9. Borrado de archivos. La técnica consiste en eliminar los ficheros que evidencian el ataque. El malware, las herramientas utilizadas u otros archivos no nativos creados en un sistema tras un ataque pueden dejar rastros que indiquen qué y cómo se hizo algo en la red, por lo que el borrado de estos archivos suele darse durante la misma intrusión o posteriormente con el objetivo de dejar el menor rastro posible. 
  10. Tareas programadas. El atacante hace uso del Programador de Tareas de Windows para colocar una tarea con código malicioso que se ejecute al iniciarse el sistema para mantener persistencia o que sea de tipo recurrente.

Para para cada una de las técnicas recogidas en ATT&CK se registran los mecanismos necesarios para poder detectar si está siendo utilizada y una serie de medidas de mitigación / solución. Así mismo, utilizando herramientas adicionales como DETT&CT es posible evaluar tanto el nivel de visibilidad que tenemos sobre nuestra infraestructura, así como la capacidad de detección que tenemos frente a amenazas concretas, hecho que resulta de gran utilidad.

Hay que tener presente que los ciberataques y las ciberamenazas están en constante evolución por lo que analizar su comportamiento utilizando para ello frameworks como Diamond Model, Cyberkill Chain o MITRE ATT&CK es altamente beneficioso para la comunidad y dificulta significativamente las operaciones de los cribercriminales ya que en el caso de que se implementen las medidas de protección asociadas a las técnicas utilizadas les obliga a implementar grandes cambios en su operativa para continuar siendo exitosos en sus actividades.

Estas 10 técnicas son sólo un pequeño ejemplo de lo que hay en el panorama actual, extraídas de la base de datos ATT&CK que recoge y analiza más de 150.

Analizar las tácticas, técnicas y procedimientos utilizados por los grupos cibercriminales permite implementar medidas que les obliguen a cambiar significativamente su operativa.