Defensa activa

El término defensa activa, aplicado a la ciberseguridad, describe la acción de protegerse de ciberataques mediante técnicas ofensivas. Haciendo uso de dichas técnicas se consigue evitar, ralentizar e incluso detectar a un posible atacante para que no consiga comprometer la seguridad de la organización. La defensa activa se basa en el engaño, mediante señuelos que confunden y permiten detectar a los atacantes lo antes posible. Estos cebos consisten normalmente en la simulación de un servicio real, pero su objetivo es hacer perder el tiempo a quien lo desconoce, mientras a un nivel más profundo se monitorizan sus intenciones.

La defensa activa es muy importante porque puede permitir a una organización detectar una posible amenaza rápidamente y generar inteligencia (información útil) sobre esta para protegerse ante futuros ataques similares. Esta información resulta muy útil, ya que permite anticiparse y aplicar estrategias defensivas contra ataques conocidos e incluso contra ataques de día cero, que se aprovechan de vulnerabilidades que no se conocían hasta el momento.

Los cebos que se utilizan para engañar al atacante se conocen como honeypot (literalmente, “tarro de miel”) o honeytoken, datos o información que resultan atractivos a los ciberdelincuentes pero que en realidad son inútiles para sus propósitos. Algunas de las técnicas más utilizadas para distraer la atención de los atacantes son:

  • Direcciones de correo electrónico falsas: el phishing es uno de los vectores de entrada más aprovechados por los atacantes; este ataque consiste en el envío de un correo malicioso con un enlace o un archivo que comprometen la seguridad de la víctima. Los expertos en defensa activa de las empresas crean direcciones de correo electrónico falsas, ubicándolas en su servidor de correo o en un servidor web público. Esto se hace para atraer mensajes de phishing o spam de los atacantes y detectar una posible campaña de phishing hacia la empresa. Si algún mensaje llega a una de las direcciones de correo electrónico falsas puede ser un indicio de un acceso no autorizado a la lista de direcciones de correo, al servidor de correo o al servidor web de la organización. Estos mensajes proporcionan información útil sobre los métodos de phishing que se utilizan contra cada organización.
  • Inserción de datos falsos en bases de datos: se expone información falsa en las bases de datos de la organización. El objetivo es que los atacantes roben o revelen esta información. Una vez que se publique, el ataque proporcionará información útil a la organización sobre cómo los atacantes accedieron a los sistemas corporativos y explotaron las debilidades de sus redes.
  • Implementación de archivos ejecutables falsos (.exe) que aparentemente sean legítimos, y que por debajo obtengan información del atacante que los ejecute, o incluso cause daños a su sistema.
  • Incrustar beacons web: Los beacons o balizas web suelen ser objetos prácticamente indetectables, por ejemplo, una imagen de un píxel de tamaño que contienen un enlace a internet. En cuanto un atacante acciona un beacon, la organización que lo creó recibe una notificación con detalles del sistema informático del atacante y su ubicación en internet. Al igual que los falsos archivos ejecutables, este método se basa en conocer los vectores de entrada del atacante para obtener información útil.
  • Uso de cookies del navegador: las organizaciones pueden configurar cookies del navegador que actúan como honeytokens para conocer la ubicación real del atacante.
  • Configuración de canarytokens: Los canarytokens, igual que los archivos ejecutables, tienen incrustado un rastreador que sirve para exponer al atacante o individuo que ejecute el archivo. Ya sea un pdf o un archivo word, al ejecutarlo se envía información procedente del equipo víctima al servidor de la organización.
  • Claves de AWS falsas: la plataforma en la nube de Amazon Web Services (AWS) utiliza claves digitales para desbloquear su infraestructura de administración de acceso. Las organizaciones pueden colocar estas claves en varias ubicaciones, como escritorios, repositorios de GitHub y archivos de texto. Estas claves son muy valiosas para los atacantes, que podrían usarlas para controlar la infraestructura de una organización u obtener acceso a las redes corporativas. Dichas claves tienen mecanismos de registro integrados, por lo que una vez que el atacante las prueba para obtener acceso ilícito al sistema, la organización puede usarlas como honeytokens para analizar, monitorear y registrar las acciones del delincuente.

También te interesa: defensa en profundidad