El sector de la ciberseguridad, es en gran cantidad complejo y con una constante evolución. En cuanto, a la información que circula en la red, tenemos que decir que puede variar desde muy precisa a compleja, en gran parte acaba resultando casi especulativa.Los cibercriminales, suelen tener un modus operandi para hackear los servidores y los equipos, pero la dificultad no está en esto sino en atribuir a alguien esta ejecución del hackeo.
Nuestra vida, se basa en un constante estrés del día a día; donde siempre tenemos algo que hacer, por lo que nos basamos en la automatización de las tareas y los procesos para ahorrar tiempo. Por supuesto, no todo lo podemos automatizar hay tareas que tienen una gran complejidad o que requieren mucho detalle.
Como ya hemos explicado muchas veces, cada atacante es único, y no podemos generalizar las evidencias, pero si queremos exponer una serie de objetivos comunes, podemos hacerlo siempre teniendo en cuenta que no es la regla general para todos los ataques, sino unos objetivos comunes de los cibercriminales.
INDICADORES DE COMPROMISO
Este es el punto de partida, y los podemos dividir en tres. Primero, la infraestructura; segundo, las herramientas; tercero y último, los humanos.
Lo más general, es echar abajo la infraestructura una vez descubierto y cambiarla por otra nueva, en cambio, tener que hacer un conjunto de herramientas nuevo, si te descubren hackeando es mucho más complicado. En el caso, de que el cibercriminal cambie las herramientas, es más fácil identificarlo porque no son capaces de cambiar sus hábitos y patrones que usan, por lo que normalmente optan por cambiar la infraestructura que es más difícil de descubrir.
En el caso, de que nos pase esto antes de creernos lo que nos dicen en los foros o en internet tenemos que comprobarlo, creer la información a ciegas es imprudente. En primer lugar, tenemos que comprobar si las muestras que tenemos en el ordenador son del malware o de las herramientas que el cibercriminal haya sustituido. En segundo lugar, verificar si los dominios que estaban activos en la época del ciberataque o hackeo están infectados. Verificar que los metadatos, almacenados en la red coinciden o si las herramientas tienen el mismo comportamiento que antes del ataque.
CIBERCRIMINALES
Los cibercriminales, son conscientes de los riesgos que supone hackear los equipos y la gran probabilidad de ser descubiertos y tener serios problemas por lo que suelen usar datos conocidos por todos, para confundir a los trabajadores y que no se note el ataque. Muchas veces, usan información vinculando el ataque con otra persona.
Pero no nos podemos dejar llevar por la depresión, no todo es negativo.La mayoría de las veces, tienen rapidez por cumplir con una serie de plazos y dejan rastro, o no puede tumbar totalmente la infraestructura o crear herramientas nuevas por lo que notamos que nos atacado.
AMENAZAS
Las amenazas que recibimos, son en gran parte una serie de pasos lógicos divididos en tácticas, técnicas y procedimientos, para definir un modus operandi. Si pasa, esto vemos que el cibercriminal tiene un alto nivel de ataque, con lo que estas amenazas lo que hacen es dar un complemento o mejora a los ataques.
Podemos, identificar el ataque usando el mapeo de amenazas, y así podemos ver el comportamiento típico del atacante o en qué etapa del ataque se encuentra. La parte buena, es que suelen usar unas amenazas genéricas con lo que mapearlas es fácil, pero también es verdad que al comprobarlo suelen dar un resultado positivo de no ataque que es mentira, descubriendo al cibercriminal.
SOLUCIONES
La solución más realista, es desarrollar una serie de puntos débiles en nuestro equipo para atraer a los cibercriminales, haciéndoles creer que la red es lo suficientemente interesante para ser atacada. Incluso, algunas plataformas te permiten seguir a ciertos actores que sabes que son atacantes y meter un virus en tu sistema para que cuando entre el cibercriminal, lo abra y se infecte, dando la vuelta a la tortilla.
En general, se trata de buscar un sistema que sea totalmente realista para que el cibercriminal caiga en la trampa, es imposible tener que centrarse en todas las amenazas que caben en el mundo, pero si seguimos este consejo sin duda será lo más inteligente
