Las fases de un ciberataque

Los ciberatacantes en general siguen procesos establecidos para realizar sus ataques, mismos que debemos conocer, para poder proteger mejor la organización. 

El proceso que normalmente siguen y que no es el único ni se encuentra escrito en piedra, se divide en algunas fases, que de igual forma cuando nos capacitamos y tomamos algún curso enfocado en Hacking ético, nos enseñan para que podamos comprender lo que sucede en la mayoría de los casos para que un ataque sea exitoso.

¿Cuáles son las fases de un ciberataque?

Los ciberatacantes suelen seguir un patrón de cinco fases para llevar a cabo sus ataques. Estas fases no son las únicas, pero son un buen punto de partida para entender cómo funcionan los ciberataques.

1. Reconocimiento o Footprinting

Normalmente, esta es la fase inicial ya que se busca obtener toda la información posible sobre el objetivo con el fin de conocerlo mejor y descubrir sus puntos débiles. 

En esta fase se busca comprender y obtener la mayor información sobre el esquema de seguridad, mapear las redes de la organización, identificar vulnerabilidades y buscar los activos más débiles. 

2. Exploración (Scanning)

Esta fase más activa, ya que se centra en encontrar puertos y servicios abiertos de los activos. También se trata de identificar las versiones de los aplicativos, sistema operativo y arquitectura para poder con toda esa información, comenzar con la búsqueda de vulnerabilidades asociadas a la información recabada complementando la fase anterior.

El objetivo principal en esta fase es detectar vulnerabilidades que pueden ser explotadas en los activos.

3. Acceso

En esta fase se intenta traspasar el perímetro que se tiene entre el objetivo y el atacante. Es cuando se busca explotar las vulnerabilidades (aprovechamiento) detectadas en las fases anteriores para poder lograr el acceso al sistema, red o target.

El objetivo principal es obtener el acceso al objetivo.

4. Escalamiento de privilegios (Persistencia)

Esta fase consiste en obtener los máximos privilegios de usuario en el dispositivo afectado, logrando tener un control máximo del target, una vez realizado esto, el atacante buscará desplegar técnicas de persistencia para no perder el acceso, así como movimientos laterales o pivoting en la red, y todo lo que se le ocurra.

El objetivo principal es lograr la persistencia y propagarse en la infraestructura.

5. Cubrir las huellas (Covering Tracks)

Una vez que se ha conseguido el acceso y la persistencia en el objetivo, el atacante intentará cubrir o eliminar sus huellas para evitar ser detectado y seguir manteniendo el acceso al target.

Intentará, por ejemplo, eliminar los registros o alertas del sistema.

El objetivo principal es eliminar los rastros del ataque.

Si entendemos estas 5 fases, podremos saber cómo actuar ante cada una de ellas. Cada atacante puede tener su propia metodología, pero les aseguro que si piensas en estos puntos principales, tendrás cubierto casi todo el esquema para su seguridad.