La puerta trasera de una vulnerabilidad
La puerta trasera de una vulnerabilidad, o incluso las puertas de acceso a un sistema pueden ser explotadas por malwares como Wannacry y NotPetya, dos de los malwares más mediáticos que se dieron a conocer en 2007 y que causaron un gran revuelo
La puerta trasera de una vulnerabilidad ¿Cómo se descubre?
Para descubrir las vulnerabilidades existen dos maneras:
- La primera nace a través de búsquedas por parte de ciberdelincuentes, ya organizaciones criminales, que intentan sacar el máximo beneficio hasta que la vulnerabilidad se haga pública y se desarrolle los parches oportunos.
- La segunda manera que hay para descubrir una vulnerabilidad y cada vez más frecuente es a través de publicaciones en grupos de hacktivistas como The Shadow Brokers, que publicó una serie de herramientas que usaba la NSA, entre los que se encontraba EthernalBlue, un exploit que fue aprovechado por WannaCry, el cual afectaba a todos los sistemas Windows.
Una vulnerabilidad es capaz de tirar abajo un sistema completo en cuestión de minutos
En el caso de NotPetya, su origen fue a raíz de una vulneración del servidor de actualizaciones del software MeDoc, que se usa masivamente en Ucrania. Una vez que se descargaba en el equipo, como si fuera una actualización, aprovechaba los exploits EthernalBlue (WannaCry) y EthernalRomance para, utilizar técnicas de pivoting y expandirse rápidamente por las redes internas de las organizaciones a las que atacaba.
Visto los dos ejemplos anteriores, cabe destacar que una vulnerabilidad es capaz de tirar abajo un sistema completo en cuestión de minutos, sin discriminación del tamaño de una empresa, ya sea grande o pequeña, es susceptible de ser atacada. Aunque existe una evidente diferencia entre los tipos de empresas, una tiene más posibilidades de contar con los recursos humanos y económicos para que se puedan dedicar a ejecutar medidas de seguridad que les protejan.
Para intentar frenar estas vulnerabilidades es imprescindible, realizar controles de intrusión en una organización, para minimizar riesgos. Por ejemplo, las grandes organizaciones incorporan lo que se denomina Equipos Rojo y Azul*.
- El Equipo Azul o Blue Team, se encarga de proteger los activos de la empresa
- Y el Equipo Rojos o Red Team, se ocupa de atacar los sistemas de la empresa intentando encontrar sus puntos débiles, sin dejar rastro de sus ataques.
Los equipos Red Team & Blue Team son una especialización dentro del ámbito de la ciberseguridad, dónde el objetivo es actuar como una amenaza real y verificar cómo la organización está preparada para cualquier intromisión real a la que se pueda someter. Así como demostrar cuál es el nivel de riesgo e impacto que tendría un ataque o amenaza dirigido contra una organización.
La diferencia entre ambos equipos radica en que el Equipo Rojo sólo debe encontrar una vulnerabilidad que le permita acceder al sistema; mientras que el Equipo Azul debe encargarse de cumplir la normativa, realizar auditorías constantes, gestionar identidades … Y todo ello con un presupuesto muy ajustado.
*Sabías que los términos Red Team y Blue Team provienen del entorno militar, en el que los malos (red) atacan a los buenos (blue), siendo todo simulacro observado por un equipo blanco.