{"id":24476,"date":"2020-08-10T14:53:16","date_gmt":"2020-08-10T20:53:16","guid":{"rendered":"https:\/\/goldenti.com\/site\/?p=24476"},"modified":"2020-08-10T14:53:18","modified_gmt":"2020-08-10T20:53:18","slug":"hackers-aprovechan-herramientas-legitimas-para-tener-ciberataques-exitosos","status":"publish","type":"post","link":"https:\/\/goldenti.com\/site\/hackers-aprovechan-herramientas-legitimas-para-tener-ciberataques-exitosos\/","title":{"rendered":"Hackers aprovechan herramientas leg\u00edtimas para tener ciberataques exitosos"},"content":{"rendered":"\n

Casi un tercio (30%) de los ciberataques investigados por el equipo de Kaspersky Global Emergency Response<\/em> en 2019, involucr\u00f3 herramientas leg\u00edtimas de control y administraci\u00f3n a distancia. De esta forma, los atacantes pudieron permanecer, sin ser detectados, durante un per\u00edodo de tiempo m\u00e1s largo, espiando o realizando robo de datos confidenciales, con un promedio de duraci\u00f3n de 122 d\u00edas, seg\u00fan el reciente Informe de an\u00e1lisis de respuesta a incidentes de Kaspersky.<\/p>\n\n\n\n

El software de monitoreo y administraci\u00f3n ayuda a los administradores de TI y de redes a realizar sus tareas cotidianas, como son resolver problemas y brindar a los empleados asistencia t\u00e9cnica. Sin embargo, los ciberdelincuentes tambi\u00e9n pueden aprovechar estas herramientas leg\u00edtimas durante los ciberataques. Una vez dentro de la infraestructura de una empresa, los cibercriminales utilizan este software para acceder y extraer informaci\u00f3n confidencial de manera sigilosa, evitando los controles de seguridad destinados a detectar malware.<\/p>\n\n\n\n

En total, el an\u00e1lisis de datos an\u00f3nimos de casos de respuesta a incidentes (IR, por sus siglas en ingl\u00e9s) mostr\u00f3 que 18 herramientas leg\u00edtimas fueron utilizadas indebidamente para fines maliciosos. Entre estas, la m\u00e1s utilizada fue PowerShell, que apareci\u00f3 en el 25% de los casos y puede ser utilizada para muchos prop\u00f3sitos, desde recopilar informaci\u00f3n hasta la ejecuci\u00f3n de malware. En segundo lugar aparece PsExec, una aplicaci\u00f3n de consola dise\u00f1ada para la ejecuci\u00f3n de procesos en endpoints <\/em>remotos, aprovechada en el 22% de los ataques. Le sigui\u00f3 SoftPerfect Network Scanner, cuya funci\u00f3n es recuperar informaci\u00f3n sobre entornos de redes, utilizada en el 14% de incidentes.<\/p>\n\n\n\n

La ejecuci\u00f3n de ataques por medio de herramientas legitimas dificulta la detecci\u00f3n de amenazas para las soluciones de seguridad, pues las acciones relacionadas pueden ser parte de una actividad cibercriminal planificada como de una tarea regular del administrador del sistema.<\/p><\/blockquote>\n\n\n\n

Por ejemplo, en el segmento de ataques que dur\u00f3 m\u00e1s de un mes, el tiempo promedio de los ciberincidentes fue de 122 d\u00edas. Como no fueron detectados, los ciberdelincuentes pudieron recopilar, de manera sigilosa, datos confidenciales de las v\u00edctimas.<\/p>\n\n\n\n

Sin embargo, los expertos de Kaspersky se\u00f1alan que a veces las acciones maliciosas con software leg\u00edtimo se descubren con bastante rapidez, como en los ataques de ransomware, donde los da\u00f1os son percibidos inmediatamente. En estos casos, el tiempo medio de duraci\u00f3n fue de un d\u00eda.<\/p>\n\n\n\n

Para detectar y reaccionar a estos ataques r\u00e1pidamente, las organizaciones deben, entre otras medidas, implementar una soluci\u00f3n de detecci\u00f3n y respuesta (EDR) en endpoints <\/em>con un servicio de gerenciamiento de detecci\u00f3n y respuesta (MDR- Managed Detection and Response<\/em>).<\/p>\n\n\n\n

Para minimizar las posibilidades de que un software de administraci\u00f3n a distancia se utilice para penetrar en una infraestructura, Kaspersky tambi\u00e9n recomienda las siguientes medidas:<\/p>\n\n\n\n