Vivimos en un tiempo en que las filtraciones de datos son muy frecuentes, más que antes. Es una batalla cibernética tanto en el ámbito de la protección como en el del ataque. Y en este último es donde radica la mayor parte del problema.
Puede que parezca un cliché del escenario de la seguridad, pero para protegerse y reducir las posibilidades de caer en que sus datos sensibles se vean expuestos, es necesario ponerse en la cabeza del atacante. Es necesario que logremos entender que el atacante no es únicamente esa persona externa y alejada que quiere tener acceso a datos confidenciales de la empresa, sino también el funcionario de la empresa, más conocido como insider.
En lo que se refiere a las filtraciones de datos, pueden darse de forma intencional o no. En el caso de los insiders, algunas veces ellos mismos no saben que están gestando una filtración de datos, posiblemente porque no saben cómo actuar en determinadas situaciones. En el mundo externo, llámese internet, la mayoría de las filtraciones generalmente ocurren de forma intencional, con objetivos claros y definidos.
¿Y si pudieran provocar una filtración y aun así no ser detectados?
Los atacantes en general pueden utilizar técnicas que les permitan pasar desapercibidos ante los sistemas de seguridad, y de esta manera evitar mostrar su presencia en la red y más aun el paquete que “se están llevando”. Técnicamente, en ese caso, podemos decir que tenemos un data exfiltration en curso.
¿Pero realmente sabemos lo que está sucediendo? ¿Tenemos la seguridad de que nuestros sistemas tienen un mínimo de seguridad y de que no se está dando una filtración de datos en ellos (o peor, que ya ocurrió)? El data exfiltration es un conjunto de técnicas utilizadas para despistar el robo de datos, que puede burlar muchos sistemas de ciberseguridad.
También sabemos que el mayor riesgo para la seguridad de la información en las empresas son las personas, e incluso los funcionarios. Sin embargo, hoy nos vamos a enfocar en los recursos tecnológicos que utilizan los atacantes.
Como ya mencionamos en la publicación DNS Over HTTPS (DoH) y los problemas de seguridad y privacidad, el DoH encripta las consultas DNS de manera tal que el contenido de esas consultas no sea visto por terceros. La idea aquí es que el atacante utilice el DoH para realizar filtraciones de datos a servidores externos a la organización por medio de consultas DNS, sin que las herramientas de seguridad se enteren de lo que está ocurriendo.
Existen herramientas como el DNSExfiltrator que utilizan los DoH públicos para encaminar las consultas a los servidores de destino, y estos efectivamente recibirán los archivos y datos filtrados.
Similar al DoH, el TCP Data Exfiltration se conecta en el puerto de destino de un servidor malicioso para enviar los archivos filtrados de una organización. Herramientas como el DET (Data Exfiltration Toolkit) realizan esto de forma encriptada. Al analizar el tráfico por medio de Wireshark podemos ver el tráfico, sin lograr ver el contenido real.
Una curiosidad es que el DET surgió como una PoC para identificar las debilidades de soluciones de DLP (Data Loss Prevention).
Tails es un sistema operativo Linux que hace foco en la seguridad y la privacidad. Proporciona privacidad porque utiliza toda una gama de herramientas que ocultan la identidad de quien lo utiliza. Esto incluye a un atacante que lo instale en un pendrive y lo inserte en el USB de la computadora de la empresa.
A partir del momento en que logre ejecutar el proceso de boot por medio del pen drive, el atacante tendrá a su disposición un sistema operativo que oculta su identidad y le permite instalar otras herramientas, como las que describimos antes.
No explicaremos todos los recovecos de la ingeniería social, pero debe saber que explora la debilidad humana en diversos puntos. Un atacante puede:
Proteger a su empresa contra filtraciones de datos requiere no solamente el uso de tecnologías que ayuden a monitorear archivos e informaciones confidenciales, sino también es necesaria la implementación de procesos simples que eviten el uso descontrolado de dispositivos no autorizados en computadoras de la organización, así como campañas de concientización.
El monitoreo constante es esencial, ya que permite que tenga una visualización de cómo es utilizada y compartida la información referente a su organización, lo que le permite actuar de forma proactiva en cualquier situación.
En ese caso, es necesario que pueda monitorear los datos e informaciones que se encuentran dentro de su perímetro interno (e-mails enviados, informaciones a las que se accede y que se ponen a disposición) de la empresa y también fuera de ella, al realizar búsquedas en la deep y dark web de:
Para realizar el monitores de sus bases de datos (como por ejemplo, de credenciales) el uso de honeytokens es una buena medida. Los honeytokens son datos “carnada” que crea usted mismo, y solo conocen usted y su equipo y proveedores de seguridad.
Al utilizarlos y descubrir una filtración de datos (o de algún fragmento) que contenga el honeytoken, podrá enterarse más rápidamente de otros datos, como la fuente y la fecha del ataque, ya que solo usted sabe detalles de esa carnada.
Como hemos visto, las filtraciones de datos y la protección están formados por diversos factores; son piezas de un engranaje que constituyen un todo. Identificar las piezas y orquestar la protección y el monitoreo de las informaciones de la organización es tarea de los responsables de la seguridad de la información. ¡Planifique, siempre, planifique!