¿Qué es el Cyber Kill Chain? Pasos que seguiría un cibercriminal para perpetrar un ataque cibernético
Las técnicas usadas por los cibercriminales han sido analizadas por expertos para tomar acción ante un ciberataque.
Gladis Juan de Dios
Periodista
gjuandedios@editoraperu.com.pe
Hace un poco más de diez años, la propagación de amenazas informáticas en la región de Latinoamérica se realizaba predominantemente a través del uso de herramientas como los Dorkbot, los Macro malware y los Visual Basic para aplicaciones.
Al día de hoy se sabe que los ciberdelincuentes se han venido especializando en el tipo de amenazas y en la forma en que las propagan, pues empresas de ciberseguridad han detectado el uso de nuevas herramientas, como los lenguajes de programación Python y Autoit, o el programador de tareas PowerShell.
Si bien estas elementos no son maliciosos, tienen características que le permiten a un usuario convencional tener control sobre lo que ocurre en el dispositivo, y es lo que aprovechan los cibercriminales para articular sus campañas maliciosas y perpetrar el ciberataque.
Para entender lo que está pasando en Latinoamérica a nivel de amenazas informáticas, el equipo de investigación de la compañía especializada en ciberseguridad Eset ha revisado y analizado diversas operaciones de cibercriminalidad ocurridos en la región en los últimos tres años.
Los hallazgos de esta investigación han sido organizados tomando como referencia el “Cyber Kill Chain” o “ciclo de vida de los ataques cibernéticos”, un marco de trabajo desarrollado por Lockheed Martin, basado en tácticas militares, muy conocido y utilizado en el mundo de la seguridad informática para ayudar a los equipos a comprender, detectar y prevenir actividades cibernéticas intrusivas.
Según el documento técnico en mención, el éxito de un ataque cibernético depende del éxito individual y consecutivo de seis pasos, los cuales se describen a continuación:
1. Reconnaissance o Reconocimiento: en todos los casos de estudio se encontró que el objetivo de los cibercriminales era afectar a usuarios de entidades del sector gubernamental. Para tal fin, tenían conocimiento suficiente de las características de estos usuarios, de acuerdo al país donde se encontraban, y la información que les podría ser de utilidad para lograr engañarlos.
2. Weaponization o Armamento: el tipo de herramientas que utilizaron para desarrollar las amenazas y robar información fueron malware tipo RAT (remote access trojan), servicios de alojamiento como Google Drive, OneDrive o Archive.org y plataformas como Discord .
3. Delivery o Entrega: la forma en la cual propagaban las amenazas fue el spear-phishing, una de las técnicas más utilizadas por los cibercriminales para engañar a los usuarios y obtener ese acceso inicial a los dispositivos.
En todos los casos, estas campañas estaban altamente localizadas, pues tomaban el nombre de entidades del gobierno a modo de suplantación. Por ejemplo, en Colombia, se suplantó la identidad de la Dirección de Impuestos y Aduanas Nacionales DIAN, el Administrador Federal de Impuestos Públicos AFIP; en Ecuador, la Fiscalía, y otras entidades.
4. Exploitation and Installation o Explotación e instalación: la infección de los dispositivos se realizaba a través de cadenas de programación bastante largas. Por ejemplo, el envío de un correo electrónico que contiene un archivo PDF y que éste a su vez tiene un enlace que redirige a Google desde donde se descarga un archivo, que al ser ejecutado por el usuario se realiza también la ejecución oculta del código malicioso en el dispositivo de la víctima (explotación de la vulnerabilidad).
5. Command & Control o Comando y control: la comunicación y el control de los dispositivos se daba a través del uso de servicios de DNS dinámicos, lo cual hacía muy difícil rastrear el origen de las amenazas y quiénes estaban detrás de estas.
6. Actions on objectives o Acción por objetivos: se concluyó que el objetivo final en todos los casos analizados era el robo de información personal y financiera.
Además de los casos analizados, cuyas similitudes de características permitieron esbozar este Cyber Kill Chain para entender el panorama de ciberdelincuencia en América Latina en los últimos años, el equipo de investigación de Eset encontró la ocurrencia de dos casos excepcionales que confirman la regla. Estos son:
En primer lugar, la Operación Jacana (Guyana 2023). La particularidad de esta campaña es que los atacantes utilizaron un código malicioso que no había sido documentado por ninguna otra empresa de seguridad anteriormente, y al que el equipo de Eset denominó DinodasRAT. Este malware también era del tipo RAT y estaba escrito en lenguaje C++.
En segundo lugar, los Bankers (Brasil 2021+), también conocidos como los troyanos bancarios, son códigos maliciosos que trataban de robar información financiera de los usuarios.
A pesar de que estas amenazas eran predominantes en Brasil, en los últimos años estos troyanos bancarios han sido detectados en otros países de la región como Chile, México, Ecuador y Perú, y usan lenguaje de programación y otras herramientas más avanzadas.
“Si bien empezamos a ver acciones cibercriminales con un nivel de complejidad mayor, no podemos saber a ciencia cierta si están apareciendo nuevos operadores maliciosos con sus propias herramientas, o son los mismos operadores tradicionales que se están actualizando”, sostiene Camilo Gutiérrez, Head of Awareness & Research en Eset Latinoamérica.
Sea cual sea el caso, el especialista en ciberseguridad expresa la necesidad cada vez mayor de las empresas en los países de Latinoamérica de conocer las amenazas potenciales -tanto las recientes como las más antiguas-, mejorar su estructura organizacional y su capacidad de respuesta, y fortalecer sus defensas en ciberseguridad.
Aprende sobre ciberseguridad
En estas plataformas digitales podrás encontrar cursos virtuales gratuitos para aprender sobre ciberseguridad:
