Ante la ofensiva cibernética que la inteligencia rusa ha desplegado contra sus adversarios en el mundo, los estados deben prepararse para no ser objeto de filtraciones que pongan en juego su estabilidad y seguridad estatal. Conozca algunos tips para mejorar la resiliencia ante ataques de la inteligencia cibernética aplicada.
Las ciberoperaciones están al alta, sobre todo ahora en momentos en los que los conflictos internacionales dispersos han aumentado. Las guerras están cambiando y ahora la inteligencia de los estados también está obrando desde el mundo virtual.
En la actualidad, una de las mayores amenazas, no solo para Estados Unidos, sino para sus países aliados, es el Servicio de Inteligencia Exterior ruso. Que se ha armado de grupos de hackers para realizar ciberataques estratégicos contra sus enemigos.
Por ello, atacó a Microsoft en noviembre del 2023 y también ha ejecutado otros ciberataques este 2024. Algunos como el realizado contra el gobierno australiano, otro contra el único proveedor de servicios digitales de Suecia y uno más con una campaña de espionaje contra las embajadas de Georgia, Polonia, Ucrania e Irán.
Sus tácticas de inteligencia cibernética también se han ejecutado en la guerra de Rusia contra Ucrania, en la que han usado las cámaras de los ucranianos para poder localizar y organizar sus ataques con misiles, por ejemplo.
Ante la amenaza cibernética evidente que representa Rusia, como lo señaló la Oficina del Director de Inteligencia Nacional de Estados Unidos, entidades de seguridad e inteligencia de dicho país han lanzado un paquete de recomendaciones.
La intención es que los diferentes estados, compañías de ciberseguridad, entidades financieras, etc., puedan hacerle frente a este tipo de ataques cibernéticos de alto perfil, ahora cada vez más frecuentes.
Aquí le cuento cuáles son esas recomendaciones básicas para fortalecer la resiliencia operativa contra la actividad cibernética que adelanta el Estado Ruso, según el Cibersecurity & Infraestructure Security Agency (CISA):
-
Implementar y hacer cumplir el uso de autenticación multifactor (MFA),
-
Proteger y monitorear instancias de protocolo de escritorio remoto (RDP) y otros servicios potencialmente riesgosos.
-
Proporcionar concienciación y capacitación sobre ciberseguridad al usuario final.
-
Priorizar la mitigación de vulnerabilidades explotadas conocidas.
-
Implementar los Objetivos de desempeño cibernético de la CISA, que son un conjunto básico de prácticas de ciberseguridad ampliamente aplicables con un valor conocido de reducción de riesgos.
Recomendaciones para defenderse de algunos ciberataques de los hackers rusos
Dentro de los tipos de ataques, técnicas y tácticas que están usando con mayor frecuencia los hackers rusos son las relacionadas con ransomware y malware. Pero como han ido evolucionando sus estrategias de inteligencia, también se han identificado estas otras:
-
Pulverización de contraseñas o password spray attack
-
Aprovechar la vulnerabilidad de día cero con un exploit
-
Vectores de intrusión a través de software de monitoreo
Frente a cada uno de estos tipos de ataque también le contaré cuáles son las recomendaciones realizadas por el CISA.
Acciones para enfrentar un ataque de password spray attack
En este caso, las recomendaciones las generó The Federal Bureau of Investigation (FBI) y el Department of Homeland Security (DHS). Dichas autoridades estadounidenses recomiendan seguir las mejores prácticas para configurar el acceso a entornos en la nube. Entre las acciones que deben tomar tanto empresas como instituciones están:
-
Es obligatorio usar una solución de autenticación multifactor aprobada para los usuarios locales y remotos.
-
Se debe prohibir el acceso remoto a funciones y recursos administrativos desde direcciones IP y sistemas que no sean propiedad de la organización.
-
Se deben realizar auditorías periódicas de la configuración del buzón, permisos de cuentas y reglas de reenvío de correo para detectar evidencia de cambios no autorizados. Para esto existen softwares de auditoría digital, que hacen que esta labor sea automática, además son necesarios los dashboard de ciberseguridad que muestran métricas clave para supervisar la seguridad en la web.
-
Una buena práctica es imponer el uso de contraseñas seguras y evitar el uso de contraseñas fáciles de adivinar o de uso común a través de herramientas y técnicas, sobre todo para cuentas administrativas.
-
Es clave también hacer una revisión periódica del programa de gestión de contraseñas de la organización.
-
El equipo de soporte de tecnología de la información (TI) de la organización debe contar con procedimientos operativos estándar bien documentados para el restablecimiento de bloqueos de contraseñas.
-
Capacitar regularmente sobre seguridad a todos los trabajadores de la empresa.
Consejos para prevenir la vulnerabilidad de día cero con un exploit
En este caso, recomiendan a los equipos de ciberseguridad asegurarse de que las soluciones de monitoreo de las terminales de los dispositivos estén configuradas, esto para identificar el movimiento lateral dentro de la red.
-
Se debe, además, supervisar la red para buscar o detectar evidencia de comandos PowerShell codificados y la ejecución de herramientas de escaneo de red, como NMAP.
-
Habilite los antivirus de monitoreo de endpoints basados en host. Revise que estén configurados para alertar si el monitoreo o los informes están deshabilitados, o si se pierde la comunicación con un agente de host durante más de un periodo de tiempo razonable.
-
Además es necesario el requerir el uso de la autenticación multifactor para acceder a los sistemas internos.
-
Si se agregan sistemas a la red, se deben confirmar de manera inmediata. Se deben incluir aquellos que se usan en trabajos de prueba o desarrollo. Esto permitirá seguir la línea base de seguridad de la organización e incorporarlos a las herramientas de monitoreo empresarial.
Pasos para hacerle frente a las intrusiones a través de software de monitoreo
Es un hecho que defenderse de un software que se considera confiable y que está comprometido es difícil. Ahora, según el FBI y el DHS algunas organizaciones lograron detectar e impedir de manera exitosa la explotación maliciosa del software de SolarWinds cuando este se dio.
¿Cómo lo hicieron? Usaron una variedad de técnicas:
-
Ejecutaron la auditoría de archivos de registro para identificar los intentos de acceso a los certificados privilegiados y la creación de proveedores de identidad falsos.
-
Implementaron software para identificar comportamientos sospechosos en los sistemas, incluida la ejecución de PowerShell codificado.
-
Usaron sistemas de protección de endpoints con la capacidad de monitorear indicadores de comportamiento de compromiso.
-
Utilizaron los recursos públicos disponibles para identificar el abuso de credenciales dentro de los entornos cloud.
-
Configuraron mecanismos de autenticación para confirmar ciertas actividades de los usuarios en los sistemas, incluido el registro de nuevos dispositivos.
Recuerde que cualquiera puede quedar inmerso en una ciberoperación o cyberwar, las compañías de seguridad, de infraestructura y del sector financiero, entre otras, son los objetivos preferidos. Aún más cuando trabajan con clientes como los gobiernos y estados.
Ante estos escenarios, es esencial que se cuenten con herramientas, equipo humano y técnicas y tácticas de threat hunting o de ciberseguridad que les permitan mantener sus escudos de defensa en alto, en todo tiempo.
Podcast recomendado:
Fuentes consultadas