Los ciberatacantes operan escaneando las redes y aplicações de sus organizaciones objetivo ( su superficie de ataque digital ) para diseñar ataques de varios pasos utilizando múltiples técnicas y procedimientos que explotan vulnerabilidades descubiertas y de día cero. En este documento, analizamos varias clases de amenazas contra las que las empresas deben defenderse y destacamos el uso de los principios de confianza cero para aumentar las posibilidades de contener el daño de las actividades de los adversarios. Luego echamos un vistazo breve a las tácticas, técnicas y procedimientos de los atacantes, que están codificados en el marco MITRE ATT&CK. Finalmente, analizamos el marco MITRE D3FEND y lo relacionamos con los principios de confianza cero. 

En su glosario del Centro de Recursos de Seguridad Informática (CSRC, por sus siglas en inglés), el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) ofrece una definición abstracta para «superficie de ataque», como «el conjunto de puntos en el límite de un sistema, un elemento del sistema o un entorno en el que un atacante puede intentar entrar, causar un efecto o extraer datos de ese sistema, elemento del sistema o entorno».

Otra forma de pensar en la «superficie de ataque» es considerar todas las vulnerabilidades conocidas y desconocidas que acechan a los distintos componentes del entorno digital. Una lista no exhaustiva de estos componentes incluiría:

• Activos físicos y virtuales de red, computación y almacenamiento
  
• Hipervisores, máquinas virtuales, sistemas de orquestación de contenedores, mallas de servicios
  
• El software que se ejecuta en estos activos, como el firmware, los sistemas operativos, el software de gestión de bases de datos, el software de aplicación
  
• Repositorios de imágenes de contenedores, repositorios de imágenes de máquinas virtuales, repositorios de código
  
• API internas y externas, puntos de conexión de microservicios, portales de aplicaciones
  
• Servicios externos al entorno local, pero consumidos localmente, como los servicios de validación de identidades, los servidores de tiempo y el almacenamiento remoto de datos
  
• Almacenes de identidad, bases de datos de cuentas de usuarios, almacenes de datos empresariales

Para minimizar el riesgo para el negocio, las organizaciones deben defender sus propios activos digitales y propiedad intelectual , así como la privacidad de sus clientes y empleados, al tiempo que cumplen con todos los requisitos de cumplimiento normativo. Deben hacerlo garantizando al mismo tiempo que los flujos de trabajo comerciales y las experiencias digitales sigan estando disponibles y siendo confiables. La solución a este desafío es adherirse a los principios de confianza cero: utilizar el mínimo privilegio, verificar explícitamente, evaluar continuamente y asumir las infracciones.¹ Al hacerlo, las organizaciones pueden abordar distintas clases de amenazas, como se analiza en las siguientes secciones.

Los datos son la sangre de las empresas digitales modernas, por lo tanto, los atacantes tienen fuertes motivaciones financieras para ir tras los datos de una organización. Una vez robados, pueden venderlos en la dark web, o pueden ser usados por otras partes para causar más daño al propietario de los datos. Una organización también puede ser presa del ransomware, en el que los atacantes hacen que los datos de la organización no estén disponibles, ya sea cifrando los datos en el lugar o eliminándolos por completo de la infraestructura de la organización. Los atacantes pueden entonces exigir un pago —un «rescate»— a la víctima a cambio de restaurar los datos. Un tercer tipo de ataque a los datos, utilizado por actores que simplemente desean hacer daño, consiste en corromper sutilmente los datos, interrumpiendo así los procesos empresariales y las experiencias digitales que dependen de ellos.

La fuga de datos, o violación de la privacidad de los datos, se produce cuando un adversario accede a información confidencial sin el consentimiento del propietario. Además del impacto en la propiedad intelectual, estos ataques suelen causar daños a la marca y pérdida de confianza. La ley exige que las organizaciones que sufren una violación de la privacidad de los datos informen de cualquier pérdida de datos que contengan información personal identificable. Las técnicas de phishing, el aprovechamiento de las vulnerabilidades de las aplicaciones públicas y el uso de cadenas de suministro comprometidas son métodos populares para infiltrarse en el entorno digital donde se almacenan los datos.

Un ejemplo reciente notable es el ataque a la cadena de suministro de SolarWinds,² que los adversarios utilizaron para penetrar miles de corporaciones y organizaciones gubernamentales. Este acceso inicial proporcionó un trampolín para posteriores pasos de explotación de ataques al establecer una presencia persistente en la infraestructura digital, permitiendo así el movimiento lateral a través de múltiples aplicações y redes de víctimas. En última instancia, estas tácticas condujeron a los objetivos finales del atacante: comprometer las credenciales/contraseñas y exfiltrar los datos de la víctima. 

Otra forma de ataque contra los datos son los ataques de “ransomware”, en los que los piratas informáticos implementan malware para interrumpir o bloquear por completo procesos comerciales clave. Lo más común es que se encripten o eliminen datos comerciales cruciales, lo que interrumpe flujos de trabajo críticos. En algunos casos, los datos del almacén de datos de autenticación de identidad también se cifran o eliminan, lo que efectivamente bloquea por completo el acceso del sistema a los usuarios legítimos. Sólo después de recibir el “rescate” los atacantes restablecen el acceso al sistema o descifran los datos. En mayo de 2021, un ataque de ransomware paralizó Colonial Pipeline,³ que transporta gasolina y combustible para aviones al sureste de Estados Unidos.

Algunos adversarios utilizan un enfoque más sutil en sus ataques a los datos. En lugar de exfiltrar los datos o hacerlos inaccesibles, estos sofisticados atacantes realizan pequeños cambios dirigidos a los datos in situ de la organización, y el resultado se obtiene a través de los flujos de trabajo normales de la aplicación de cara al exterior. Los ejemplos incluyen el aumento de la fracción de asientos de avión que se venderán con descuento, la manipulación de una base de datos de suministro de inventario para que parezca que hay más o menos artículos a la venta, o la adición de un código de descuento especial en un sitio de comercio electrónico. Estos cambios «sigilosos», que a menudo son difíciles de detectar hasta que el daño está hecho, se aprovechan de los propios flujos de trabajo del negocio de la víctima para extraer valor para el atacante.

Los piratas informáticos lanzan ataques que consumen recursos de la red y de la infraestructura informática de tal forma que los procesos empresariales se paralizan o funcionan de forma ineficaz. Los objetivos de este tipo de ataques varían desde dañar la marca de la organización objetivo hasta extorsionar para conseguir un resultado empresarial específico, como hacer que la venta de entradas online no esté disponible. Además, los atacantes avanzados suelen utilizar este tipo de ataque como cortina de humo mientras llevan a cabo otros ataques simultáneos más sofisticados.

Los atacantes utilizan redes de bots para dirigir el tráfico hacia los recursos del objetivo y lanzar ataques de denegación de servicio distribuidos (DDoS). Los ataques DDoS volumétricos inundan la red del objetivo con tráfico, consumiendo todo el ancho de banda disponible. Los ataques DDoS de protocolo envían tráfico especializado para llenar las tablas de conexiones de los dispositivos de red con estado —como los cortafuegos—, de modo que las conexiones legítimas se eliminan. Los ataques DDoS de aplicación consumen recursos en los servidores con peticiones ilegítimas.

Los atacantes pueden obtener acceso no autorizado a los recursos informáticos para realizar cálculos en nombre del atacante, cuyos resultados se comunican a un servidor de mando y control. Esto se suele hacer para ejecutar código de minería de criptomonedas en segundo plano, sin que el propietario del ordenador lo sepa. La suplantación de identidad y las descargas «drive-by» son métodos típicos utilizados para desplegar el código de minería de criptomonedas en los ordenadores. Los hackers utilizan la táctica de movimiento lateral MITRE ATT&CK para aumentar su capacidad de CPU robada y la táctica de persistencia para mantener su capacidad de ejecutar cálculos no autorizados.

Los actores con intenciones maliciosas causan daño a las organizaciones al abusar de los flujos de trabajo o de las experiencias de usuario. Estas amenazas pueden conducir a la pérdida de ingresos, daños en la marca y mayores costes operativos para hacer frente al fraude.

Los hackers, motivados por el beneficio personal, utilizan procesos empresariales legítimos para perjudicar a las organizaciones. Por ejemplo, pueden utilizar la automatización para comprar un número considerable de entradas para un evento popular, imposibilitando que otros las compren, y luego venderlas a un precio más alto.

La información empresarial puede ser extraída del sitio web público de una organización o robada de los sistemas internos, y luego utilizada de forma perjudicial para la organización. Por ejemplo, un competidor puede extraer información sobre los precios y bajar los suyos para atraer a los clientes.

Los hackers pueden modificar el contenido de un sitio web de cara al público y desfigurarlo para avergonzar a una organización. También pueden alterar el contenido para ofrecer información incorrecta a los usuarios del sitio web.

Los estafadores encuentran formas de realizar transacciones financieras en nombre de otros usuarios para beneficiarse de ellas. Utilizan credenciales robadas para apoderarse de una cuenta o engañar a usuarios desprevenidos para que accedan a un sitio que parece uno que usan normalmente y entreguen las credenciales de su cuenta. Este tipo de fraude generalmente se realiza en sitios de comercio electrónico o portales de instituciones financieras. Durante la era del COVID, muchos estafadores cometieron fraudes de desempleo, donde presentaron reclamos fraudulentos de desempleo usando identidades robadas y dirigieron los beneficios hacia ellos mismos.⁴

Un adversario persistente que lanza una amenaza contra una organización es paciente, organizado y altamente hábil. Para causar daño, el atacante debe lograr varios objetivos tácticos, como reunir inteligencia, obtener acceso inicial, establecer una cabeza de playa, robar información, exfiltrar datos y más. El marco MITRE ATT&CK⁵ Enumera los objetivos tácticos, las técnicas para lograr los objetivos tácticos y los procedimientos para implementar esas técnicas. Los defensores pueden usar este marco para diseccionar cualquier ataque en su conjunto de tácticas, técnicas y procedimientos (TTP), que se pueden encontrar en el sitio del marco MITRE ATT&CK . Observamos que para cada táctica y sus técnicas asociadas, adherirse a los principios de confianza cero en todo el entorno digital reduce la probabilidad de éxito del atacante y aumenta la probabilidad de detección temprana de su actividad, como se representa en la Figura 1. 

El marco D3FEND ofrece una base de conocimiento de contramedidas y un gráfico de conocimiento que “contiene tipos y relaciones semánticamente rigurosos que definen tanto los conceptos clave en el dominio de las contramedidas de ciberseguridad como las relaciones necesarias para vincular esos conceptos entre sí”.⁷ Este marco ayuda a los profesionales de seguridad a considerar qué capacidades son necesarias para defenderse de las amenazas relevantes para su entorno digital.

Además, es posible pensar en el riesgo de seguridad en términos de preparación contra los diversos TTP enumerados en el marco MITRE ATT&CK haciendo un balance de la capacidad de ejecutar las contramedidas pertinentes enumeradas en el marco D3FEND. El tejido conectivo entre los dos marcos es la abstracción del «artefacto digital». Cuando los atacantes emplean un conjunto de TTP para llevar a cabo su ataque, su actividad produce artefactos digitales observables. El marco D3FEND ayuda a los profesionales a observar específicamente cómo buscar los artefactos digitales producidos por la actividad del adversario y ayuda a construir un plan defensivo procesable.

Las categorías de las contramedidas de MITRE D3FEND se corresponden perfectamente con las técnicas de seguridad basadas en los principios de confianza cero, como se ve en la figura 2.

Las aplicaciones y experiencias digitales de hoy en día están impulsadas por el deseo de las empresas de lograr una mayor participación por parte de una amplia variedad de clientes objetivo, incluyendo tanto humanos como dispositivos inteligentes, en el amplio contexto de los ecosistemas de empresas digitales interconectadas que atienden a plantillas de trabajo y bases de clientes cada vez más móviles. Al mismo tiempo, la necesidad de aumentar la agilidad y la eficiencia del negocio ha hecho que las arquitecturas de las aplicaciones aprovechen mucho más los componentes de código abierto y SaaS. En consecuencia, la aplicación principal depende de una infraestructura más profunda y menos controlada que nunca. Los requisitos empresariales modernos han impulsado el aumento de la complejidad de la arquitectura de las aplicaciones, lo que ha dado lugar a la exposición de una superficie de amenaza más amplia y dinámica, que está siendo explotada por adversarios sofisticados que están mejor financiados y más motivados que nunca.

El marco MITRE ATT&CK ofrece una nomenclatura organizada para tácticas, técnicas y procedimientos que los actores maliciosos utilizan para componer ataques complejos. El marco MITRE D3FEND especifica un gráfico de conocimiento de contramedidas que las organizaciones pueden usar para detectar artefactos digitales observables producidos por las TTP utilizadas en un ataque. Las contramedidas MITRE D3FEND se pueden asociar con varios principios de confianza cero, y la adhesión a estos principios hace que el mecanismo específico de implementación de la contramedida sea más efectivo. 

Descargar el informe