Han pasado casi 30 años desde que se estrenó la película "Hackers" y muchos de nosotros, cuando pensamos en un ciberatacante, todavía nos imaginamos a un tipo con capucha, colgado en su sótano mientras piratea un teclado para ganar notoriedad. Sin embargo, mucho ha cambiado en las últimas tres décadas y el retrato de un atacante de Active Directory ha evolucionado enormemente. Sí, es probable que algunos ciberatacantes sigan vistiendo sudaderas con capucha y llevando a cabo ataques desde su sótano, pero hoy en día es más probable que lo hagan desde algún lugar lejano del planeta. En la Conferencia sobre Protección de Identidad Híbrida, Allen Brokken compartió estadísticas aleccionadoras sobre ciberataques, así como los distintos perfiles e intenciones de los hackers modernos. Estas son las cinco categorías diferentes de atacantes de Active Directory que Brokken compartió durante su presentación, "Detectar y responder a las brechas de Active Directory".
5 tipos de ciberatacantes
El hacktivista: El hacktivista del siglo XXI es muy similar a lo que viste en "Hackers", sólo que la tecnología es mucho más avanzada y el pirateo es muy real. Los hacktivistas suelen estar motivados por una causa mayor o una agenda política, y creen que su objetivo merece el ataque. Esta categoría de atacantes de Active Directory puede ser muy sofisticada en su enfoque y a menudo trabajan juntos, como un conjunto de partes con intereses comunes en lugar de una verdadera organización. WikiLeaks y Anonymous son dos conocidas organizaciones de hacktivismo que han filtrado información sensible para promover una causa.
Estados-nación: China, Rusia y Corea del Norte son países que disponen de capacidades de ciberataque y que, en última instancia, buscan el control de algún aspecto del ámbito geopolítico. Ya se trate del robo de propiedad intelectual militar o del espionaje corporativo, los atacantes de los Estados nación cuentan con importantes recursos y capacidad organizativa para acometer ataques de gran envergadura. Hace sólo unos meses, Rusia llevó a cabo un ataque contra Active Directory que interrumpió la ceremonia de apertura de los Juegos Olímpicos de Invierno. El malware wiper fue capaz de escanear Active Directory para determinar qué sistemas atacar y hacer caer el sitio web de los Juegos de Invierno durante 12 horas.
Organizaciones terroristas modernas: Informes recientes revelan que el ciberterrorismo es una preocupación creciente y será la principal amenaza para la infoseguridad en los próximos años. El ISIS y otras organizaciones terroristas están aprovechando las capacidades de ciberataque para ayudar a financiar sus batallas e impulsar su causa, que consideran justificada por un fin superior. En algunos casos, las organizaciones de estados-nación y de ciberterrorismo se asocian para llevar a cabo ataques contra naciones más grandes y sofisticadas. Estos ciberatacantes pueden funcionar de forma similar a otros actores, pero sus motivaciones son por la causa más que por cualquier beneficio monetario directo.
Ciberdelincuencia organizada: La ciberdelincuencia organizada es algo muy real y es el equivalente actual de la mafia. La Dark Web proporciona todos los servicios y armas cibernéticas que las bandas de ciberdelincuentes organizados necesitan para llevar a cabo sus ataques; incluso existe el delito como servicio, en el que a las bandas de ciberdelincuentes se les ofrece dinero a cambio de llevar a cabo ataques. Por lo general, estos atacantes lo hacen por dinero e invertirán en un ataque complejo a lo largo del tiempo si ven en él un valor potencial. Hoy en día se ven bandas de ciberdelincuentes con estructuras organizativas sofisticadas, como cualquier otra empresa. En muchos lugares del mundo, atacar electrónicamente a otros es en realidad un trabajo legítimo a tiempo completo.
Competidores poco éticos: En Estados Unidos existen leyes estrictas y una ética general que impiden a las empresas atacarse directamente unas a otras por vía electrónica para obtener ventajas competitivas. Sin embargo, esta norma ética no es necesariamente compartida en todo el mundo. En muchos países, cualquier forma de obtener ventaja se considera un buen negocio. Cuando una organización tiene esta actitud, está dispuesta a crear capacidad de ataque para ganar. Hay casos de empresas que atacan los sistemas de fijación de precios de la competencia y subcotizan automáticamente al objetivo de forma intencionada para obligarle a abandonar el negocio. Más recientemente, los atacantes aprovecharon el malware MBR-ONI para cifrar los servidores Active Directory de varias empresas japonesas y paralizar los negocios.
Los atacantes de Active Directory de hoy en día tienen todo tipo de formas, tamaños y estructuras organizativas, pero la verdadera moraleja de la historia es que estos atacantes están evolucionando y creciendo en amenazas y niveles de sofisticación. Para proteger el entorno de su empresa, debe asegurarse de que su plan de recuperación ante desastres le permite recuperarse rápidamente de cualquier tipo de ataque de malware.
Para ver la presentación completa de Allen Brokken sobre los ataques a Active Directory, y otras presentaciones de la Conferencia de Protección de Identidad Híbrida 2017, haga clic aquí.