18 Ago Firma israelí hackea a los hackers (piratas), y tiene consejos sobre cómo vencerlos

¿Qué buscan los ciber atacantes y qué hacen cuando lo encuentran? Un informe de la empresa de seguridad cibernética Imperva tiene algunas respuestas

Foto ilustrativa de una laptop Mac. (Sophie Gordon/Flash90)

Los hackers son muy parecidos al resto de nosotros, según un nuevo estudio de la empresa israelí de seguridad cibernética Imperva.

Al igual que algunos honestos usuarios de computadoras responden rápidamente a los mensajes de suplantación de identidad (phishing: correo electrónico fraudulentos diseñados para robar información personal), los hackers también responden a los documentos y archivos con títulos que indican la promesa de información importante, como detalles de la tarjeta de crédito o números de la seguridad social. Al igual que muchos usuarios que no toman en serio su ciberseguridad, los hackers no prestan mucha atención a tratar de esconder sus pistas, permitiendo la detección.

Y al igual que la mayoría de los usuarios que están demasiado ocupados y abrumados con las tareas diarias como para lidiar con las distinciones sutiles de la ciberseguridad, también lo están los hackers, abrumados con oportunidades de hackear cuentas que no tienen el tiempo o los recursos para aprovechar.

Esas son las conclusiones del informe de Imperva, «Beyond Takeover Stories from a Hacked Account» (Más allá de tomar el control – Historias de una cuenta hackeada), en el que los investigadores de la firma trataron de meterse en la mente de los hackers haciendo algo de «phishing» por sí mismos. Así como los piratas informáticos entran en las cuentas de sus víctimas colgando mensajes de correo electrónico con frases de asuntos tentadores como «Aventura Secreta de Trump y Hillary -ver las fotos aquí», el equipo de Imperva, con la ayuda de los estudiantes del Technion-Israel Institute of Technology implementaron cuentas conocidas como «honeypot» o “atrayentes”.

Estas cuentas de usuario falsas incluían contenido rico, como cuentas para Gmail, Dropbox y otros servicios en línea. Nombres de usuario, contraseñas y otros detalles fueron lanzados en la web oscura (dark web) con la esperanza de que los hackers cayeran en la trampa. Durante meses, los investigadores de Imperva rastrearon las actividades de aquellos a quienes engancharon para determinar cómo funciona la mente de un hacker. Después de obtener unas 200 visitas de hackers en las cuentas falsas, el equipo comenzó su análisis.

Pero al igual que entre las víctimas que no protegen sus cuentas usando por ejemplo, contra- señas fáciles de adivinar como «123456» o «contraseña» – muchos hackers no se molestan en proteger sus propias identidades.

Los hackers podrían tomar medidas para evitar la detección mediante la restauración, a su estado anterior, de una cuenta que ya desvalijaron: eliminando las alertas de inicio de las bandejas de entrada, eliminando los mensajes enviados que los usuarios no enviaron, marcando los mensajes leídos como no leídos y editando los archivos de registro de actividad, decía el informe.

«Nos sorprendió encontrar que sólo el 17% hizo algún intento de cubrir sus huellas. Y los que lo hicieron, pocas veces usaron prácticas para cubrir sus huellas » dijo el equipo de Imperva.

No es sorprendente, dijo el equipo de investigación, «los atacantes en primer lugar están bus- cando información sensible, como contraseñas y números de tarjetas de crédito».

Las cuentas comprometidas incluían archivos que indicaban que podían contener datos comerciales o bancarios importantes, y los hackers fueron por esas primero. Pero, desafiando las expectativas de los investigadores, los hackers no se acercaron metódicamente a la exploración de cuentas comprometidas. El calendario de su trabajo y el hecho de que se saltaron algunos archivos con títulos atractivos, pero examinaron otras, «indica que los atacantes acceden a los contenidos en línea manualmente y no los descargan ni examinan con herramientas automatizadas», como era de esperar, dijo el informe.

Quizás el hallazgo más importante del estudio está relacionado con esa falta de automatización. «Los atacantes no son rápidos en actuar», dijo el equipo. «Más del 50% de las cuentas se accedieron 24 horas o más después de la toma de control de credenciales. El resultado es una pequeña ventana en la que si se sospecha del ataque, un cambio rápido en la contraseña da como resultado un 56% de probabilidad de impedir el robo de la cuenta.

Esto significa que si las víctimas de piratería actúan con suficiente rapidez y cambian su contra- seña después de sospechar que su cuenta ha sido comprometida, pueden frustrar a los atacantes.

Si la contraseña que adquirieron en la web oscura no funciona, las probabilidades de que los hackers seguirán a otra cuenta son altas, según el informe.

«Menos de la mitad de las credenciales filtradas fueron explotadas por atacantes», dijo el equipo. «Una explicación para esto podría ser que los atacantes tienen acceso a tantos datos que no tienen suficiente tiempo para explorar todo». Si ese es el caso, los hackers serían propensos a tomar el camino de menor resistencia atacando sólo a las víctimas que pueden atacar fácilmente y pasar al siguiente objetivo si encuentran resistencia.

«Al estudiar ciber ataques, hemos aprendido muchas cosas, incluyendo que la mayoría de los atacantes no se molestan en cubrir sus huellas, lo que significa que dejan evidencia», dijo Itsik Mantin, jefe de investigación de datos de Imperva.

«Además, si podemos detectar rápidamente un ataque, entonces sabemos que la rápida remediación, incluyendo un simple cambio de contraseña, reduce significativamente las probabilidades de un ataque exitoso. Esta lección demuestra el valor de incorporar soluciones de inteligencia de amenazas y detección de brechas que descubren rápidamente y ayudan a mitigar este riesgo».

Fuentes: The Times of Israel
Traducido: Consulado General H. de Israel en Guayaquil