¡Piensa como un hacker!

Hace ya una década, el columnista Roger A. Grimes comentó que los asesores profesionales le preguntaban a menudo qué rasgo ayudaría más a destacar a un profesional de seguridad informática. Para lo cual su respuesta era siempre la misma: pensar como un hacker. Sin embargo, inmediatamente aclaró que no se refería a hackers maliciosos (de sombrero negro) sino a personas capaces de idear formas de penetrar en cualquier sistema informático sin incurrir en actividades ilegales (hackers de sombrero blanco). No obstante, podríamos suponer que solo las motivaciones y los objetivos finales pueden diferenciar a ambos grupos. De acuerdo con Grimes, mirando los sistemas a través de los ojos de un hacker, puedes identificar mejor las debilidades y crear las defensas; los mejores antihackers son los mismos hackers. (De hecho, este es el núcleo de Fluid Attacks, el empleo de hackers éticos en favor de la ciberseguridad de las empresas clientes).

En relación a dichas observaciones, esta vez, tomé como referencia principal para este artículo del blog la investigación realizada por Esteves, Ramalho y de Haro, publicada en 2017 en la MIT Sloan Management Review. Básicamente, los investigadores encuestaron a 23 hackers experimentados y, a partir de los datos recogidos, crearon un marco de trabajo para ayudar a las organizaciones a responder a las amenazas de ciberataques. Veamos qué podríamos extraer de su artículo y de otras fuentes.

Entre las primeras características de los hackers (tanto de sombrero negro como de sombrero blanco) mencionadas por los autores referenciados, tenemos su alta capacidad intelectual, sus conocimientos de apoyo en informática y su tendencia a disfrutar de correr riesgos. En lo que respecta específicamente a los hackers maliciosos, estos a menudo se sienten atraídos por la idea de ganar miles o millones de dólares con sus ciberataques. Estos ataques pueden dirigirse fácilmente a personas u organizaciones considerablemente alejadas de sus lugares de acción. Hoy en día, a diferencia del pasado, estos delincuentes trabajan en grupos, lo que sin duda los hace más fuertes. Cada individuo puede contribuir al equipo con sus conocimientos y especialidades particulares.

Tratar de pensar como el atacante es actuar de forma preventiva. Es querer anticiparse a lo que el delincuente puede hacer con tus sistemas y activos de información para reducir los riesgos. Para este fin, es bastante útil conocer las mentalidades o conjuntos de actitudes que se atribuyen a los hackers. (Pero, de nuevo, estas tendencias básicas, lejos de las malas intenciones, también pueden atribuirse a los hackers éticos, quienes mejor pueden entender a los actores amenazantes). Precisamente, Esteves y sus colegas nos ofrecen dos mentalidades asociadas a los hackers en un ataque: exploratoria y explotadora. Cuando un ataque está empezando, los hackers suelen utilizar una mentalidad de exploración que combina el pensamiento deliberado y el intuitivo y se basa en la experimentación intensiva. Una vez conseguido el acceso a un sistema, los hackers recurren a una mentalidad de explotación para alcanzar sus objetivos (p. ej., el robo de información).

Vinculados a estos dos conjuntos de actitudes anteriores, los investigadores se remiten a cuatro pasos que los hackers suelen seguir en sus ataques. Dos pasos de exploración: (1) identificación de vulnerabilidades y (2) escaneo y pruebas. Dos pasos de explotación: (3) obtener acceso y (4) mantener el acceso.

En el primer paso (identificación de vulnerabilidades), los hackers suelen demostrar paciencia y determinación, además de astucia y curiosidad. Una vez elegida, digamos, una empresa como objetivo, examinan minuciosamente los sistemas en búsqueda de vulnerabilidades. Recopilan tantos datos como les es posible (técnica de footprinting). Tal como nuestro jefe de equipo ofensivo Andres Roldan mencionó una vez en una presentación, los hackers (incluidos los éticos) obtienen, por ejemplo, detalles técnicos del objetivo, limitaciones técnicas y enumeración de posibles controles y datos.

Al detectar muchas de las fallas de seguridad disponibles para explotación, el error humano a menudo también aparece en la mira de los hackers. El acceso a los sistemas puede facilitarse mediante una comunicación engañosa con personas internas de la empresa, quienes pueden entregar credenciales a los atacantes sin saberlo. A partir de esto, características como las habilidades sociales y persuasivas también destacan en algunos hackers.

En el segundo paso (escaneo y pruebas), los hackers se empeñan en progresar. Su avance con accesos no autorizados puede verse facilitado por las vulnerabilidades que detectan con herramientas de escaneo en las aplicaciones de los sistemas. Estas fallas, aunque sean pequeñas, pueden contribuir a que se abra una brecha incluso mayor.

En el tercer paso (obtener acceso), los hackers entran en el sistema tras haber definido las posibles rutas de vulnerabilidad a seguir o explotar. Como dijo Roldán en su presentación, los hackers pueden utilizar exploits públicos o crear los propios. Pueden abusar de las fallas de autorización, descifrar credenciales y obtener acceso de tipo administrativo. A partir de ahí, extraen toda la información posible, abusan de privilegios y acceden a otros dominios con movimiento lateral.

Después, según los autores, en el último paso (mantener el acceso), los hackers intentan conservar la posesión del sistema y el acceso para futuros ataques mientras pasan desapercibidos. En esta fase, es habitual que los hackers borren rastros y evidencias para evitar ser detectados.

Todo esto es solo un resumen. Comprender a grandes rasgos cómo piensa y actúa un hacker, descubrir sus patrones de comportamiento, por ejemplo, estudiando ataques que ya se han producido o viéndoles atacar (a hackers éticos, por supuesto), puede ayudar a educar a tu empresa increíblemente en materia de ciberseguridad. Esto puede ayudar especialmente a tus ingenieros y desarrolladores a generar planes, prepararse para posibles eventos futuros y reducir riesgos.

A partir del trabajo de Esteves y sus colegas, puedes seguir varias recomendaciones. En primer lugar, intenta conseguir personas especializadas, con suerte ya cualificadas como hackers, para que se unan a tu plantilla o trabajen como externos que, además de evaluar tus sistemas, ayuden a entrenar a otros de tus empleados desde un punto de vista ofensivo. Por ejemplo, algunas organizaciones han invitado a hackers a infiltrarse en su software y descubrir vulnerabilidades a cambio de recompensas y reconocimiento (bug bounties). Además, desde hace tiempo, algunos hackers de sombrero negro han empezado a cambiar de bando. Han sido buscados y contratados para trabajar de forma ética, incluso en las empresas a las que llegaron a dirigir ataques.

Busca formas de hacer footprinting en tu empresa con regularidad, y revisa tus sistemas y sus puntos débiles con lupa. Procura educar a tus empleados sobre las políticas de tratamiento de datos y las técnicas que los hackers malintencionados podrían utilizar para engañarlos. Realiza pruebas de penetración en tus aplicaciones con la ayuda de tus expertos y de empresas como Fluid Attacks para averiguar hasta dónde podrían llegar los ciberdelincuentes en tus sistemas y por qué. Vigila todas las rutas posibles para cerrarlas o bloquearlas cuanto antes. Por último, permanece atento a cualquier evento sospechoso y asegúrate de que tus sistemas de control y monitoreo estén actualizados.

Si quieres empezar a sumergirte en las ideas y formas de pensar de los hackers o ampliar tu espectro en este sentido, te invito a que eches un vistazo a nuestros artículos (1.0, 2.0, 3.0, 4.0, 5.0) basados en el libro Tribe of Hackers Red Team de Carey y Jin (2019).