Atrás 15 empresas de Gipuzkoa han participado en un proyecto de ZIUR para detectar y analizar ciberataques

23 / 02 / 2023
ZIURek, kontrainteligentzia kanpaina bultzatu du, Deception edo engainu teknologietan oinarriturik. Horretarako, Counter Craft enpresa donostiarraren Deception teknologia erabili da proiektuan.

15 empresas de Gipuzkoa han participado en un proyecto de ZIUR para detectar y analizar ciberataques

A lo largo de dos años, 15 empresas industriales del territorio han participado en un proyecto para estudiar la evolución de los ciberataques que diariamente amenazan su seguridad. Para ello, desde ZIUR, Centro de Ciberseguridad Industrial de Gipuzkoa, se ha impulsado una campaña de contrainteligencia, basada en tecnologías de ‘Deception’ o engaño, con la intención de estudiar los movimientos de los atacantes. El objetivo del proyecto es reforzar las capacidades actuales de ciberseguridad en las empresas para reforzar la detección temprana de ataques y activar los mecanismos de respuesta.

Para el desarrollo de esta incitativa se utilizó la tecnología desarrollada por la firma guipuzcoana Counter Craft para detectar ataques y recopilar información sobre amenazas. Para ello, se creó en Internet una infraestructura tecnológica que simulaba de manera realista ser parte de la plataforma tecnológica de cada cliente y se diseñaron e implementaron distintos señuelos con la intención de conducir a los atacantes interesados en dicha compañía a la infraestructura de ‘Deception’. Dicha plataforma de engaño, pese a estar vinculada a cada cliente virtualmente, se encontraba en realidad un entorno completamente aislado y seguro.

En el proyecto han participado de forma anónima 15 empresas del territorio que son referentes destacados en sus respectivos sectores: industria, distribución, máquina herramienta, automoción, investigación, educación, etc.

Resultados

Los resultados del estudio indican que la infraestructura de ‘Deception’ fue atacada de manera intensa, llegando incluso a identificarse ataques de impacto crítico que, de haberse materializado en tecnología vulnerable, habrían comprometido su confidencialidad, integridad y disponibilidad. A pesar de ello, la infraestructura no fue vulnerada en ningún momento.

Los entornos donde se han focalizado más los ataques han sido tanto en IT como OT, y los servicios más atacados han sido el Blog WordPress y el FTP.

El tipo de actividad detectada indica que las empresas están expuestas, principalmente, a ataques automáticos cuyo objetivo no ha sido ninguna organización en concreto. Los atacantes tratan de hallar configuraciones débiles y vulnerabilidades para perpetrar un ataque contra tecnología vulnerable.

Sin embargo, este hecho no descarta que actores maliciosos más sofisticados estén interesados en las empresas que participaron en el ejercicio ya que un ataque automático en sí mismo puede servir como una forma de reconocimiento para un atacante manual más sofisticado.

Otra práctica común entre actores maliciosos que han obtenido acceso a un sistema o red empresarial es la venta de accesos, práctica que consiste en vender acceso a este sistema o red comprometido a otros actores maliciosos en la ‘darknet’ o ‘red oscura’ con intención de obtener beneficios económicos.

En opinión del director general de ZIUR, Koldo Peciña, “el empleo de herramientas avanzadas junto a la información recopilada de tácticas, técnicas y procedimientos indica que los ciberdelincuentes actúan de forma profesional e invierten mucho tiempo y recursos en diseñar y lanzar los ataques”.

Frente a ello, añade, “es imprescindible definir y operar los procesos de ciberseguridad para prevenir, detectar y responder a los ataques cibernéticos, lo que reduce el riesgo de pérdida de datos, interrupción del negocio y daño a la reputación de una empresa”.

Recomendaciones

El proyecto permite extraer algunas recomendaciones basándose en los hechos más relevantes detectados.

  • Reducir la superficie de ataque exponiendo a Internet solo los servicios necesarios. De este modo, se reduce el número de posibles puntos de entrada para un atacante y permite aplicar medidas de seguridad más estrictas a los servicios críticos.
  • Deshabilitar funciones innecesarias que puedan suponer un riesgo desde el punto de vista de la ciberseguridad como xmlrpc.php en WordPress.
  • Parchear y actualizar los servicios expuestos para corregir las vulnerabilidades conocidas y garantizar que se están utilizando las últimas medidas de seguridad disponibles.
  • Investigar y conocer los ‘leaks’ (fuga de datos) y contraseñas filtradas que pueden ser utilizadas por atacantes para acceder a sistemas y cuentas de la empresa.
  • Aplicar una política de contraseñas que establezca pautas para la creación y uso de contraseñas seguras, difíciles de adivinar o descubrir mediante ataques de fuerza bruta como los sufridos por xmlrpc.php y FTP, que empleaban contraseñas sencillas en la mayoría de los casos. Estas pautas incluyen la longitud de las contraseñas, el uso de caracteres especiales, mayúsculas y minúsculas, y la necesidad de cambiarlas regularmente, además de medidas para evitar el uso de contraseñas comunes o fácilmente adivinadas, como la prohibición de utilizar información personal o palabras comunes.
  • Prestar especial atención a errores de configuración en WordPress. Se tarta de un software seguro, pero algunos errores de configuración comunes pueden permitir que los atacantes exploten las páginas web basadas en WordPress. Por todo ello, se recomienda aplicar procesos de bastionado para reducir vulnerabilidades e instalar, en la medida de lo posible, sistemas de detección adicionales como, por ejemplo, WAF (Web Application Firewall) filtrando el tráfico malicioso antes de que pueda llegar a la aplicación.