Ataques de isla en isla: qué son y cómo protegerse

Saltar de isla en isla probablemente suena más como una actividad que llevaría a cabo en las Bahamas en lugar de una estrategia de ataque, pero en realidad los ciberdelincuentes lo usan con bastante frecuencia para atacar las redes sin piratearlas directamente. Entonces, ¿qué es un ataque de isla en isla y cómo puede protegerse contra él?

¿Qué es un ataque de isla en isla?

El término «salto de isla en isla» proviene de la Segunda Guerra Mundial. Las fuerzas estadounidenses querían llegar a Japón continental y tenían que moverse de isla en isla, usando cada una como plataforma de lanzamiento para la siguiente, con el continente como objetivo principal. Era conocido como salto de rana en ese momento.

En un ataque de isla en isla, los actores de amenazas persiguen a sus socios y otros socios externos, utilizando sus vulnerabilidades cibernéticas para acceder a su red más segura. Estos actores de amenazas son entidades o individuos que participan en acciones que socavan o tienen el potencial de afectar la ciberseguridad de su organización. Pueden hacer todo lo posible para eludir los cortafuegos de su objetivo, y un método eficiente es el salto de isla en isla.

Las empresas manufactureras, financieras y minoristas son principalmente los objetivos de esta forma de ciberataque. En casos como estos, los sistemas de seguridad del objetivo son herméticos y en gran medida inmunes a las invasiones directas, por lo que los piratas informáticos pasan por socios considerablemente menos seguros.

La organización de destino confía en estos socios y están conectados a su red. Los piratas informáticos explotan la relación de confianza y atacan los complejos mecanismos de defensa del objetivo real a través de sus vínculos débiles con otras organizaciones.

¿Cómo funciona el ataque Island Hopping?

Los ataques de isla en isla son efectivos porque no activan alertas en el sistema de seguridad del objetivo. Estas alertas generalmente se activan cuando se intenta ingresar a la red del host desde un dispositivo que no es de confianza o no está registrado. Las entradas de los socios rara vez se marcan; los actores de amenazas se aprovechan de este lapso.

Hay tres métodos estándar que los actores de amenazas adoptan en su misión de isla en isla.

1. Ataque basado en la red

Este método consiste en infiltrarse en la red de una organización y utilizarla para acceder a otra red asociada. En este ataque, los actores de la amenaza suelen ir tras el proveedor de servicios de seguridad gestionados (MSSP) de la organización.

Los MSSP son proveedores de servicios de TI que venden seguridad a pequeñas empresas y grandes organizaciones, protegiéndolas contra las amenazas de ciberseguridad. Utilizan software, o un equipo de personal, para responder a estas amenazas tan pronto como ocurren. Muchas empresas subcontratan su departamento de seguridad de TI a estos MSSP, lo que convierte a los proveedores en un objetivo para los piratas informáticos.

2. Ataques de abrevadero

Esta forma de ir de isla en isla implica infiltrarse en sitios frecuentados por los clientes, socios comerciales y empleados del objetivo principal. Los malos actores evalúan la seguridad de los sitios e ingresan enlaces maliciosos cuando encuentran debilidades.

Estos enlaces conducen a plataformas comprometidas que automáticamente inyectan malware en la computadora. Una vez que el malware inyectado está operativo, los actores de amenazas pueden usar la información recopilada para obtener acceso al objetivo principal.

3. Compromiso de correo electrónico comercial

Una estafa de phishing suele ser el primer paso en este método. Los ciberdelincuentes se hacen pasar por una entidad comercial de buena reputación. Yahoo, Facebook y los bancos comerciales populares se utilizan principalmente en estos ataques, ya que los piratas informáticos envían enlaces maliciosos en correos electrónicos no deseados.

Una vez que se muerde el anzuelo y se hace clic en el enlace, los piratas informáticos usan malware para comprometer la computadora del usuario. Este método se dirige a funcionarios de alto rango o ejecutivos de la organización.

El software Keylogger a veces se usa aquí para robar las cuentas de correo electrónico de estos ejecutivos. La información confidencial se desliza de las cuentas de correo electrónico y luego se usa para infiltrarse en la organización objetivo.

Precedentes de isla en isla: Target y SolarWinds

En 2013, una de las empresas minoristas más grandes de EE. UU., Target, se vio envuelta en una pesadilla de isla en isla. Y en 2020, SolarWinds, un proveedor de administración de TI, fue víctima de un ataque de isla en isla.

Target: La pesadilla de una temporada navideña

Los actores de amenazas comprometieron el sistema de punto de venta de Target y robaron la información financiera de alrededor de 40 millones de clientes. Esto dio como resultado que Target pagara el acuerdo de violación de datos más grande de la historia .

Se acordaron 18,5 millones de dólares para liquidar 47 estados y el Distrito de Columbia después de que piratas informáticos robaran la mayor parte de la información de las tarjetas de crédito y débito de los clientes del gigante minorista durante la temporada navideña de 2013. Esta violación de datos le costó a Target más de 300 millones de dólares. Pero esto no fue un ataque directo a los servidores de la empresa.

Comenzó con Fazio Mechanical Services, otra empresa que proporciona calefacción y refrigeración a Target. Experimentaron un ataque de malware dos meses antes de la brecha de seguridad de Target. Los actores de amenazas se llevaron las credenciales de correo electrónico y las usaron para acceder a los servidores de Target.

Vientos solares

Este ataque afectó a más de 18.000 empresas e incluso a departamentos del gobierno de EE. UU. Todos los afectados tenían una cosa en común: un proveedor de administración de TI llamado SolarWinds.

Al igual que con los ataques de isla en isla, SolarWinds no era el objetivo principal. Con la cantidad de departamentos del gobierno de los EE. UU. que se vieron afectados, hubo rumores de que los piratas informáticos estaban respaldados por el gobierno ruso , con la esperanza de desestabilizar el Congreso de los EE. UU.

SolarWinds confirmó por primera vez el ataque en diciembre de 2020, aunque pasó desapercibido durante varios meses. En marzo de 2021, los piratas informáticos robaron las credenciales de correo electrónico del Departamento de Seguridad Nacional, a pesar de que la mayoría de los departamentos gubernamentales habían advertido a sus empleados que cerraran Orion, el producto de SolarWinds afectado. Los ataques también afectaron a los Departamentos de Energía, Tesoro y Comercio, Mimecast y Microsoft.

Cómo protegerse de los ataques de isla en isla

Con la prevalencia del salto de isla en isla, debe tomar medidas para evitar que su red y sus servidores sean atacados por partes malintencionadas. Aquí hay algunas maneras en que puede hacer esto.

1. Utilice la autenticación de múltiples factores

La autenticación multifactor implica el uso de varios controles de verificación, como las huellas dactilares y las confirmaciones de identificación, para confirmar la identidad de cualquier persona que intente acceder a su red. Esta capa adicional de seguridad, aunque tediosa, siempre resulta útil. A los piratas informáticos con credenciales de inicio de sesión robadas les resultará casi imposible pasar una verificación de confirmación de huellas dactilares o una verificación de identificación facial.

2. Tenga un plan de respuesta a incidentes en espera

Los ataques de isla en isla toman muchas formas y, a veces, los protocolos de seguridad regulares pueden no ser suficientes para prevenir cualquier ocurrencia. Su software de seguridad debe actualizarse constantemente a medida que los ataques de isla en isla se vuelven más sofisticados. Además, es mejor tener un equipo de respuesta a incidentes en espera para encargarse de las amenazas imprevistas que pueden superar la seguridad y hacer frente a las amenazas más recientes.

3. Adopte los últimos estándares de ciberseguridad

Muchas organizaciones reconocen los riesgos de ir de isla en isla y han establecido estándares de seguridad cibernética para cualquier posible socio y asociado. Asesorar a los socios actuales para que actualicen sus sistemas de seguridad; aquellos sin controles avanzados deberían tener acceso restringido a su red.

No sea una víctima: restrinja el acceso o actualice su seguridad

Los ataques de isla en isla se han vuelto más frecuentes. Las organizaciones con protocolos de seguridad laxos corren el riesgo de ser víctimas de amenazas a menos que actualicen sus sistemas.

Sin embargo, se necesita más. Los socios externos sin sistemas de seguridad avanzados representan un riesgo y no deben tener acceso ilimitado. Si es imposible limitar el acceso, dichos socios deben actualizar sus sistemas.