Los incidentes relacionados con la ciberseguridad se han convertido en un problema cada vez más recurrente que afecta no sólo a las empresas, sino también a organizaciones y agencias de gobierno. La extorsión promedio fue de 247 mil dólares y la extorsión máxima fue de 240 millones de dólares, ocho veces mayor a la presentada en 2021. De acuerdo con el Foro Económico Mundial, las fallas en ciberseguridad y la desigualdad digital se encuentran entre las 10 amenazas más críticas que enfrentará la humanidad en los próximos dos años.
De hecho, se estima que para el año 2030 habrá un intento de ataque malicioso cada dos minutos. Pero ¿qué tienen en común los ciberataques? Bueno, la mayoría de los incidentes transcurren en una serie de pasos divididos en tres niveles que se exponen en la llamada Cadena de ataque (o Kill chain, cuyos términos se derivan de modelos militares). Acompáñanos a conocerlos.
El objetivo inicial de los delincuentes es conseguir una forma de acceso al sistema, para ello muchas veces recurren a información disponible en páginas web o redes sociales para conocer el organigrama de la organización objetivo e identificar a quién dirigir el ataque. Este intento de acceso inicial se puede vislumbrar a través de un phishing, se puede manifestar en una llamada telefónica o correo electrónico, pero hay un engaño de por medio, que aprovecha el llamado ‘eslabón débil’, que es el usuario, para que haga algo o para que ingrese en algún sitio que se hace pasar por otro, todo para lograr el primer acceso. Si el usuario no se dé cuenta de que la seguridad fue comprometida, el segundo paso es conocido como “Establish foothold” (establecer punto de apoyo), que consiste en mantenerse en ese sistema y desde ahí descubrir a qué otros dispositivos, credenciales o redes se puede ingresar, que es la siguiente fase conocida como Network Discovery (descubrir la red).
Si con el pasar de las horas o días, ni el usuario o el equipo de sistemas detectan la amenaza, el ataque pasa al segundo nivel de la cadena con la finalidad de reconocer los recursos que son verdaderamente importantes (Key asset discovery). Pueden ser los datos de los clientes, la propiedad intelectual del código de software o la propia red. Posteriormente se procede al robo de datos (Data exfiltration) y a la propagación dentro de la misma red (Network propagation).
En el tercer y último nivel, el atacante se prepara para hacer el despliegue del software malicioso o ransomware (un tipo de malware), que una vez instalado puede mantenerse inactivo en el sistema hasta que el atacante decida ejecutarlo para proceder al acoso de la víctima y/o extorsión.
Todos estos pasos se realizan en un promedio de nueve días antes de mandar el primer mensaje de ataque; durante este periodo los ciberdelincuentes analizan meticulosamente la infraestructura digital y activos verdaderamente importantes. En algunos casos, en los que no se pide el pago de un rescate, la información extraída de la organización termina a la venta en el mercado ilegal; también llega a haber situaciones en los que se presenta una doble extorsión, donde los delincuentes hacen una exfiltración de datos y además inhabilitan el acceso al sistema.