Precisamente este protagonismo, también en el ámbito de las Administraciones Públicas, hace de las telcos un objetivo brillante para los ciberdelincuentes en todo el mundo.
No en vano, el último informe Overwatch de CrowdStrike muestra cómo los ataques a la industria de las telecomunicaciones se han duplicado en el último año. De hecho, el 40% de todos los ataques dirigidos detectados por el equipo de profesionales de Overwatch tenía como objetivo una empresa de telecomunicaciones.
Detrás de la mayoría de estos ataques se encontraba un gobierno
Y aunque pueda parecer sorprendente, detrás de la mayoría de estos ataques se encontraba, en gran número de ocasiones, un gobierno. Esto es así porque conseguir acceder a los sistemas protegidos de una telco permitiría al gobierno extranjero vigilar a la inteligencia del país atacado e incluso realizar misiones de contrainteligencia. La mayoría de los ataques contra compañías de telecomunicaciones proceden de grupos relacionados de manera directa o indirecta con el gobierno chino. Sin embargo, en los últimos meses se está observando una creciente actividad de otros grupos más cercanos al gobierno iraní.
Por eso surge una pregunta, ¿está la industria de las telecomunicaciones suficientemente preparada para responder ante ciberamenazas de este estilo? Las operaciones que llevan a cabo los delincuentes contra los proveedores de telecomunicaciones muestran cómo la protección de datos sensibles e infraestructuras críticas es cada vez más importante. Pero también es instrumental observar la evolución en el cambiante escenario de amenazas que vivimos con el objetivo de adaptar constantemente los métodos que se utilizan contra los procedimientos de los cibercriminales.
El estado de la seguridad en las telecomunicaciones móviles
Leer más
Técnicas específicas contra las telcos
Las técnicas, procedimientos y herramientas que utilizan los cibercriminales para acceder a los sistemas críticos de las empresas de telecomunicaciones son usualmente el “spear phishing”, el aprovechamiento de vulnerabilidades, el compromiso de la cadena de suministro y el uso ilícito de credenciales legítimas.
En cuanto se da el primer paso, los delincuentes utilizan herramientas nativas como Windows Management Instrumentation o incluso intérpretes de comandos y scripts como Powershell para llevar a cabo sus fechorías. Para evitar la detección y poder seguir adelante en su misión, los criminales observan cualquier nuevo host que les ofrezca la oportunidad de recoger credenciales y que les permitan seguir en su viaje lateral por la red corporativa sin que el sistema se dé cuenta.
Normalmente, los cibercriminales utilizan Mimikatz para acceder a las credenciales en entornos Microsoft y leer la memoria LSASS (a partir de comsvcs.dell o utilizando ProcDump) o modifican el registro Wdigest para almacenar las contraseñas en texto plano. Cuando la telco utiliza entornos Linux, los atacantes suelen observar archivos sensibles como .bash_history, passwd o shadow, así como otros archivos de configuración y scripts de administrador, para descubrir las credenciales que tienen que usar. Overwatch ha encontrado también a algunos ciberdelincuentes que utilizan otras técnicas menos conocidas, como daemons SSH para acceder al sistema con credenciales válidos a través de una puerta trasera.
La presión del primer acceso ya no es un hándicap para los ciberdelincuentes
Aunque pueda parecer demasiado simple, a veces los criminales acceden también a los sistemas a través de páginas web públicas. Para ello, modifican el código para que la información de acceso se almacene en algún lugar que ellos controlan y puedan utilizarla más adelante.
Con todo esto, lo que quiero resaltar es que la presión del primer acceso ya no es un hándicap para los ciberdelincuentes.
Las llamadas web shells también permiten manejar múltiples redes atacadas a través de una única interfaz. Esto representa un verdadero peligro, ya que supone que un único grupo de atacantes puede lanzar simultáneamente muchos ataques sin perder mucho tiempo en su actividad. Las web shells, además, son muy sencillas de usar y son compatibles con diferentes entornos de servidor o plataforma. Es decir, los criminales pueden decidir cuándo, cómo y dónde se realizan llamadas o se envían mensajes para atacar en el momento que más les convenga.
Algunos atacantes, por otro lado, se dedican a filtrar datos a gran escala con la excusa de despistar sobre sus verdaderas intenciones. Es probable que solo estén interesados en cierta información muy específica y de ciertas personas o compañías, pero el daño que causan es inmenso. Precisamente por eso es muy importante identificar y detener a los atacantes cuanto antes. Pero los criminales saben que, gracias a sus técnicas para pasar desapercibidos como elementos legítimos, las empresas tardan más de lo esperando en encontrarles y tienen tiempo de sobra para llegar a sus objetivos.
Y no hay máquina que sea capaz de detener esto. Por eso es cada vez más importante contar con equipos profesionales y altamente capacitados que sepan cómo dar caza a cualquier amenaza. Rodearse de muy buenos compañeros de viaje es fundamental en este mundo cada vez más digital.
Autor: Juan Luis Garijo, director general de CrowdStrike en España y Portugal
Si (
No(
