Fase 4 de Mitre ATT&CK: Persistencia

Como directores, gerentes de IT y CTO, uno de nuestros mayores desafíos en la seguridad informática es lograr que las amenazas no solo sean detectadas, sino también eliminadas de forma definitiva. En un panorama de amenazas en constante evolución, enfrentamos tipos de ataques cada vez más sofisticados, incluyendo el temido 'advanced persistent threat' (APT) o amenaza persistente avanzada.

Para enfrentar esta realidad, necesitamos entender y aplicar el modelo de Mitre ATT&CK, un marco de trabajo que detalla las tácticas y técnicas que los atacantes pueden utilizar para persistir en el sistema comprometido. En particular, la Fase 4 de este modelo, denominada Persistencia, es de especial interés. En este artículo, vamos a desglosarla, para que podamos desarrollar una defensa efectiva.

Tabla de Contenido

• ¿Qué es la Persistencia en el contexto de la ciberseguridad?

• Tácticas de Persistencia.

• ¿Cómo proteger tu empresa?

• Ejemplos reales de la fase 4 del Mitre ATT&CK.

¿Qué es la Persistencia en el Contexto de la Ciberseguridad?

En el lenguaje de la seguridad informática, la persistencia se refiere a la capacidad de un atacante de mantener el acceso a un sistema una vez que ha conseguido infiltrarse. Por lo general, esto se logra instalando software malicioso (malware) que puede reiniciar después de cada cierre del sistema o incluso sobrevivir a un reinicio completo del sistema.

Los métodos de persistencia son muy variados. Pueden ir desde manipulación de configuraciones, creación de cuentas de inicio de sesión que los atacantes puedan usar, hasta la instalación de puertas traseras (backdoors) que permiten al atacante acceder a tu dispositivo en cualquier momento. Estos ataques de puerta trasera pueden ser especialmente difíciles de detectar, ya que a menudo se disfrazan de procesos legítimos y utilizan la entrada secreta para mantener el acceso no autorizado.

Una parte clave de la defensa contra este tipo de amenaza es la correcta configuración de seguridad. Las configuraciones incorrectas pueden permitir a un atacante persistir en el sistema, al tiempo que ocultan sus actividades. Por lo tanto, es esencial garantizar que todas las configuraciones sean seguras y revisadas regularmente.

Tácticas de Persistencia

Algunas de las tácticas más comunes que los atacantes pueden usar para persistir son:

1. Backdoors y accesos no autorizados: Los atacantes pueden instalar backdoors para permitir el acceso continuo al dispositivo comprometido. Esto puede involucrar la creación de cuentas de usuario falsas o la modificación de cuentas existentes para otorgar derechos de acceso no autorizados.
2. Manipulación de configuraciones: Los atacantes pueden cambiar las configuraciones en su sistema operativo o en sus aplicaciones para permitir su persistencia. Esto puede incluir cambios en las configuraciones de seguridad, como la desactivación de las actualizaciones automáticas o la alteración de las configuraciones de control de acceso.
3. Malware persistente: El software malicioso, como los troyanos y rootkits, se puede diseñar para mantenerse en su sistema incluso después de un reinicio. A menudo, estos programas se disfrazan de software legítimo para evitar ser detectados por las soluciones antivirus.
4. Ingeniería Social: A través del correo electrónico o de otras formas de comunicación, los atacantes pueden engañar a los usuarios para que realicen acciones que permitan su persistencia, como hacer clic en enlaces maliciosos o descargar archivos infectados.

Te podría interesar leer: Protegiendo tu Empresa de los Ataques de Phishing por Emails

¿Cómo Proteger tu Empresa?

La clave para protegerse contra las amenazas persistentes es adoptar un enfoque de defensa en profundidad. Esto significa tener múltiples capas de seguridad, cada una de las cuales puede detectar y responder a un tipo de ataque en particular. Algunas de las estrategias que puedes usar incluyen:

1. Implementar soluciones de seguridad informática robustas, como firewalls, sistemas de detección de intrusiones y antivirus actualizados.
2. Mantener actualizados los sistemas operativos y aplicaciones con los últimos parches de seguridad.
3. Capacitar a los empleados en seguridad cibernética y concientización sobre ingeniería social y ataques de phishing.

Además, al implementar una combinación de medidas de seguridad, incluyendo soluciones como Kaspersky y las prácticas mencionadas anteriormente, puedes fortalecer la protección contra la persistencia y mejorar la postura general de seguridad de tu empresa.

Te podría interesar leer: Concientización: Esencial en la Ciberseguridad de tu Empresa

Ejemplos de la fase 4 del Mitre ATT&CK

En 2016, Yahoo sufrió ataques cibernéticos masivos,  que afectó a más de mil millones de cuentas de usuarios. Los atacantes utilizaron técnicas de la fase 4 del Mitre ATT&CK, como la creación de cuentas falsas de administrador y el uso de cookies de sesión robadas, para mantener acceso persistente a las cuentas comprometidas.

En 2018, Marriott International fue víctima de un ataque cibernético en el que los atacantes obtuvieron acceso persistente a través de cuentas de administrador. Utilizaron técnicas de la fase 4 del Mitre ATT&CK para cifrar y robar datos personales de aproximadamente 500 millones de clientes.

En conclusion, en la batalla por la seguridad informática, la persistencia es una de las tácticas más difíciles de enfrentar. Sin embargo, al entender cómo los atacantes buscan mantener el acceso a los sistemas comprometidos, y al implementar las tácticas de defensa adecuadas, puedes proteger tu empresa de este tipo de amenaza.