¿Dónde terminan los datos que nos roban los hackers?

¿Dónde terminan los datos que nos roban los hackers?
  • En cuanto a las amenazas internas, las primeras seis etapas de la cadena de ataque cibernético podrían ser opcionales ya que el usuario interno malicioso es privilegiado porque ya tiene cierto nivel de acceso en el entorno.

La séptima etapa es la coronación de la cadena de ataques cibernéticos, y dependiendo de sus motivos, el atacante suele estar ansioso por llegar a la etapa del robo de datos. En general las etapas previas ayudan al atacante a lograr su objetivo. Se sabe que los atacantes hacen grandes esfuerzos para ocultar sus rastros y llegar a esta etapa. En algunos casos han llegado a ocultarse en la red durante meses o años antes de obtener grandes cantidades de datos. Sin duda los hackers son cada vez más astutos y más sofisticados.

El robo de datos puede servir para fines de chantaje, espionaje y beneficio económico, entre otros. Los datos robados pueden ser información financiera (por ejemplo, números de tarjeta de crédito, datos de acceso a cuentas bancarias), información personal que también puede emplearse para obtener ganancias (número del seguro social, fecha de nacimiento, etc.), datos de inicio de sesión, claves y contraseñas privadas, registros médicos, propiedad intelectual (código fuente, secretos comerciales, etc.) y la lista continúa. Cada violación de la seguridad de los datos es diferente, ya que varían los motivos de los atacantes. En general, salvo que el hacker haya fracasado en su objetivo o el objetivo sea simplemente la destrucción, podría afirmarse que las violaciones de la seguridad de datos implican cierta forma de robo de datos.

Una pregunta interesante es ¿dónde terminan todos estos datos robados? Pueden permanecer en poder del hacker para siempre, como probablemente sea el caso de los atacantes de sitios oficiales gubernamentales y otros atacantes sofisticados. Sin embargo, grandes cantidades de datos terminan en la comunidad clandestina para su venta, o a veces incluso en el dominio público como demostración abierta del ataque.

El siguiente ejemplo muestra un caso reciente en que se volcó al dominio público información de identificación personal que incluye nombres, direcciones, números de teléfono, fechas de nacimiento y números de tarjetas de crédito junto con sus códigos de seguridad y sus fechas de vencimiento.

image016

¿Recuerdan el ataque cibernético a Sony Pictures Entertainment el año pasado? Los atacantes hicieron públicos cientos de gigabytes de información confidencial, lo que causó una pérdida financiera significativa y graves daños a la reputación de la compañía. Además, robaron claves privadas. Estas contraseñas son sumamente sensibles y se las usa en conexiones SSL/TLS, SSH y otras conexiones cifradas empleadas para proteger la comunicación. Existen diferentes tipos de claves privadas entre las que se incluyen contraseñas PuTTY .ppk y archivos PKCS #12.

image017

Fragmento de la lista de archivos robados en el ataque a Sony Pictures Entertainment de noviembre de 2014, donde se muestran los archivos de claves privadas .ppk.

Si esto no resulta suficientemente aterrador, hay más: los datos de inicio de sesión siempre son valiosos para los intrusos tanto para lograr acceso adicional como para obtener ganancias. En Linux, los archivos básicos que almacenan esa información son los archivos “passwd” y “shadow”. Su equivalente en Windows es el SAM DB. Estos tres archivos almacenan los nombres de usuario y las contraseñas cifradas en un hash en formatos diferentes pero específicos que permiten que un sistema de seguridad de datos los identifique como tales mediante una expresión regular.

unnamed

Ejemplo de un archivo de base de datos de un administrador de cuentas de seguridad (SAM) en un sistema Windows que almacena las contraseñas de los usuarios en formato hash, ya sea como LM o NTLM.

Una vez que los hackers obtienen las contraseñas en formato hash pueden descifrarlas usando un ataque de fuerza bruta o listas de palabras. Muchas herramientas para descifrado de contraseñas se consiguen de manera gratuita en línea, que se suman a herramientas como “John the Ripper” y “RainbowCrack”, que genera tablas Rainbow.

image019

El ejemplo anterior indica los resultados que arroja un archivo SAM ejecutado a través de “John the Ripper”. Las contraseñas sencillas como “ROOT” y “1234” se descifraron en segundos. La clave del administrador sólo se descifró en forma parcial porque se detuvo la ejecución manualmente de manera muy rápida.

Los hackers acceden y roban muchos otros archivos sensibles que no están contemplados en forma directa por normas y leyes como la HIPPA o la PCI. Los archivos de configuración y la información de procesos también pueden ser de gran valor para los atacantes. Por lo tanto, cumplir con las normas no significa que no habrá violaciones de la seguridad de los datos. Más bien podría decirse que cumplir es sólo una parte del proceso de mitigación de riesgos.

El robo de datos es la fase final de muchos ataques cibernéticos. La etapa del hurto de datos finaliza la cadena del ataque cibernético. Con defensas de seguridad insuficientes los ciberdelincuentes pueden robar propiedad intelectual, información de identificación personal y otra información valiosa para obtener ganancias financieras y para usarla en otros ataques. Sin embargo, incluso en esta etapa existen defensas para proteger los datos confidenciales. Websense TRITON AP-DATA ofrece soluciones para la prevención de pérdida de datos (DLP) y prevención de robo de datos (DTP). Una estrategia de mitigación de riesgos adecuada, comenzando por la identificación de los activos que desean protegerse más la aceptación del riesgo residual, es clave a la hora de elevar los estándares para protegerse de los atacantes. La recompensa final sin duda resulta atractiva para los atacantes, y los esfuerzos por aumentar los estándares de seguridad seguramente ayudarán a reducir el riesgo.

Más información, acá.

Share via