Tendemos a pensar que os ciberdelincuentes pasan gran parte do seu tempo buscando novas vulnerabilidades e, polo tanto, descoñecidas para os desenvolvedores. Iso ás veces é certo, especialmente nos casos de vulnerabilidades de día cero. Trátase de vulnerabilidades descoñecidas e para as que, polo tanto, non existen solucións. Son moi “rendibles” unha vez descubertos, pero custosos de identificar.
Como resultado, gran parte do tempo de actividade dos ciberdelincuentes úsase aproveitando erros coñecidos e aínda sen reparar. Parece irónico, non? Sobre o papel, é moi sinxelo protexerse destes ataques: basta con actualizar os programas instalados no teu dispositivo coas súas últimas versións de seguridade coñecidas.
O usuario adoita ser o punto máis débil de toda a cadea de ciberseguridade, así que si: a tarefa de parchear o software queda ás veces orfo. Ninguén se encarga diso cando chega o momento, ou as actualizacións están programadas para unha data concreta que non é inmediata. As razóns para iso: falta de tempo, persoal ou recursos. A realidade é que, en moitas empresas, os fallos críticos de seguridade non se solucionan a tempo. É entón cando os ciberdelincuentes sacan o máximo proveito dos seus ataques “obvios”.
Cando atacan os ciberdelincuentes? Como fan iso?
Para lanzar este tipo de ataques, os ciberdelincuentes buscan non só como levalos a cabo, senón cando serán máis efectivos. Segundo a análise de Barracuda, un provedor de servizos de seguridade, os bots automatizados dos criminais adoitan lanzar os seus ataques entre semana.
Deste xeito, o tráfico xerado ao atacar os sistemas queda mellor camuflado entre o tráfico normal dunha xornada laboral. As prácticas maliciosas son máis difíciles de detectar neses días que nun fin de semana moito menos ocupado.
O informe enumera algunhas técnicas coñecidas que usan os criminais para realizar ataques. De feito, analizaron como se correspondían os ataques cos tipos máis habituais. Por exemplo, os intentos e ataques de recoñecemento ou fuzzing realízanse contra as vulnerabilidades das aplicacións (WordPress é o máis popular aquí).
Fuzzing (ou fuzz testing) é unha técnica que consiste na realización de probas semiautomáticas ou automáticas nas que se inxectan datos aleatorios, non válidos e inesperados na entrada de datos dun determinado software. É unha técnica utilizada para comprobar a seguridade da entrada en canto á validación de datos, pero tamén pode revelar facilmente vulnerabilidades que poden ser explotadas polos criminais.
Por outra banda, a inxección de comandos é o tipo de ataque máis común, especialmente contra Windows (ou contra un sistema operativo, en xeral). Nestes ataques, os criminais executan comandos arbitrarios coa esperanza de comprometer unha aplicación vulnerable. Outro dos métodos máis comúns e utilizados é o ataque de inxección SQL. Este ataque inxecta declaracións SQL maliciosas a través dun formulario web ou outra interface de cliente que as admita.
Como protexerse destes ataques
O primeiro paso é manter todo o seu software actualizado cos últimos parches de seguridade. Ademais disto, é necesario protexer a organización contra todas as posibles brechas de seguridade, polo que se recomenda utilizar como servizo un cortalumes de aplicacións web ou un produto WAF (Firewall de aplicacións web).
O ideal, en realidade, sería unha solución WAF-as-a-Service ou WAAP (Web Application API Protection) que inclúa polo menos mitigación de bots, protección DDoS, seguridade da API e protección contra o roubo de credenciais. E todo isto, tendo en conta que debe estar ben configurado (unha das principais vulnerabilidades empresariais).