AMENAZAS INTERNAS: UN PELIGRO SILENCIOSO QUE ACECHA A TU EMPRESA

 Real y Creciente.

La ciberseguridad es una prioridad para las organizaciones de todos los tamaños, a menudo se presta más atención a las amenazas externas, como los hackers y los malware. Sin embargo, los ataques internos representan una amenaza significativa y a menudo subestimada. Estos ataques pueden provenir de empleados descontentos, contratistas o incluso de personas con acceso legítimo a los sistemas de la empresa. Este artículo explora los riesgos asociados con los ataques internos y ofrece recomendaciones para mitigarlos. 

¿Qué son los Ataques Internos? 

Los ataques internos se refieren a cualquier acción maliciosa llevada a cabo por alguien que tiene acceso a los sistemas de la empresa. Esto puede incluir: 

• Robo de datos: Empleados que copian información confidencial para venderla o utilizarla en su beneficio. 
• Sabotaje: Acciones deliberadas para dañar sistemas, datos o la reputación de la empresa. 
• Acceso no autorizado: Uso indebido de credenciales para acceder a información sensible sin autorización. 

Relacionado a los ataques internos, existen diversos riesgos que comprometen la integridad de la empresa. Uno de los riesgos más graves de un ataque interno es la pérdida de datos sensibles. Esto puede incluir información personal de clientes, secretos comerciales o datos financieros. La exposición de esta información puede tener consecuencias legales y financieras devastadoras. Los ataques internos pueden dañar la reputación de una empresa de manera significativa. La confianza de los clientes y socios comerciales puede verse afectada si se descubre que la empresa no protege adecuadamente su información. 

Los costos asociados con un ataque interno pueden ser exorbitantes. Además de las pérdidas directas por robo de datos, las empresas pueden enfrentar gastos relacionados con la recuperación de datos, la implementación de nuevas medidas de seguridad y posibles multas regulatorias. 

Los ataques internos pueden crear un ambiente de desconfianza entre los empleados. La sospecha y la paranoia pueden afectar la moral del equipo, lo que a su vez puede disminuir la productividad y aumentar la rotación de personal. 

Para erradicar todas estas amenazas que ponen en riesgo tu empresa, se deben implementar estrategias para migrar los ataques, ya que es imposible eliminar por completo el riesgo de ataques internos, existen diversas medidas que las empresas pueden tomar para prevenirlos y mitigar su impacto: 

• Implementar controles de seguridad adecuados: Es fundamental contar con controles de seguridad sólidos, como firewalls, antivirus y software de detección de intrusos, para proteger la red y los sistemas de la empresa. 
• Gestionar los accesos de forma restrictiva: Los empleados deben tener acceso solo a los recursos que necesitan para realizar su trabajo. Se debe evitar otorgar privilegios de acceso excesivos. 
• Capacitar a los empleados en ciberseguridad: Es importante que los empleados estén capacitados sobre los riesgos de ciberseguridad y cómo protegerse de ellos. Deben saber cómo identificar y evitar ataques de phishing, malware y otras amenazas. 
• Crear una cultura de seguridad: La empresa debe fomentar una cultura de seguridad en la que los empleados se sientan cómodos denunciando cualquier actividad sospechosa. 
• Monitorear la actividad de la red: Es importante monitorear la actividad de la red para detectar cualquier comportamiento anómalo que pueda indicar una amenaza interna. 

Los ataques internos son una amenaza actual, real y creciente para las empresas. A medida que la tecnología avanza y las organizaciones se vuelven más dependientes de los sistemas digitales, es indispensable que las empresas reconozcan y aborden estos riesgos. Implementando políticas de seguridad efectivas, educando de forma precisa a los empleados y fomentando un ambiente laboral positivo, las organizaciones pueden protegerse mejor contra esta amenaza silenciosa y mantener la integridad de su información y reputación

Autor: Nathalia Nuñez Rademaker. 

Especialista en Comunicaciones.

¿Qué es la exfiltración de datos de DNS?

La exfiltración de datos de DNS es un método que utilizan los hackers para robar datos de un sistema de TI o de una red explotando el protocolo del sistema de nombres de dominio (DNS). En un ataque de exfiltración de datos, los hackers eliminan los datos confidenciales del interior de un entorno de TI protegido integrándolos en paquetes DNS. Dado que se suele permitir el tráfico DNS a través de los firewalls y los sistemas de seguridad, los datos maliciosos de los paquetes DNS tienen una alta probabilidad de salir de la organización sin disparar las alertas de seguridad. La exfiltración de datos de DNS suele ser uno de los resultados de los ataques de túneles de DNS.

¿Qué es el DNS? 

El sistema de nombres de dominio (DNS) es responsable de convertir nombres de dominio legibles para un ser humano, como website.com, en direcciones IP, como 2001:db8:3e8:2a3::b63, que pueden leer los ordenadores. Cuando un usuario introduce un nombre de dominio en un navegador web, los servidores recursivos o los agentes de resolución de DNS buscan la dirección IP correspondiente comunicándose con otros servidores de nombres, incluidos los servidores de nombres raíz, los servidores de dominio de nivel superior (TLD) y los servidores de nombres autoritativos. Como alternativa, los servidores DNS pueden proporcionar registros de dirección IP de respuestas DNS anteriores que se han almacenado en su memoria caché. Estas comunicaciones y solicitudes de DNS se suelen permitir a través de firewalls y no están sujetas a una supervisión estricta, lo que las convierte en el vector de ataque ideal para los ciberdelincuentes que buscan robar datos de una red de TI.

¿Cómo funciona la exfiltración de datos de DNS? 
 

En un ataque de exfiltración de datos de DNS, un hacker instala primero malware en una red o un sistema en peligro. Esto se puede lograr haciendo que un usuario dentro de la red haga clic en un enlace o visite un sitio web que contenga malware que seguidamente se descarga en su equipo. Los hackers también pueden vulnerar una red con credenciales robadas e instalar malware en el entorno para tomar el control del dispositivo infectado, convirtiéndolo en un servidor de mando y control. 

A continuación, los atacantes utilizan el protocolo DNS para integrar los datos dentro de paquetes en las consultas DNS (por ejemplo, encodedstringofdata.attacker.example.com) que se resuelven en un servidor de nombres de dominio que posee el atacante. Las consultas DNS que contienen datos robados pasan sin ser detectadas a través de firewalls y sistemas de seguridad al servidor de nombres autoritativo del atacante, donde se descodifican los datos exfiltrados y se completa la transferencia. 

¿Cómo se integran los datos robados en el tráfico de DNS? 
 

Los atacantes utilizan varias técnicas para exfiltrar datos a través de DNS. Los atacantes pueden ocultar información confidencial codificándola e incluyéndola en un nombre de subdominio o en datos de registro de recursos. También pueden encapsular los datos dentro de paquetes DNS dividiendo la información en fragmentos más pequeños y enviándolos a través de varias consultas y respuestas de DNS. Pueden integrar los datos alterando el ID de consulta o modificando los encabezados de los paquetes DNS que, posteriormente, serán reconocidos por el servidor del atacante, y este extraerá o descodificará los datos exfiltrados del tráfico DNS alterado. 

¿Qué es la exfiltración de datos de bajo rendimiento? 
 

La exfiltración de datos de bajo rendimiento se refiere a la exfiltración que se produce a una velocidad muy lenta para evitar la detección por parte de los productos de seguridad de la red. Otras formas de ataque a través de DNS, como los túneles de DNS, suelen ser los incidentes de alto rendimiento. Estos provocan un cambio significativo en los volúmenes de tráfico de DNS que puede alertar a los sistemas de seguridad de la presencia de un ataque. En la exfiltración de datos de bajo rendimiento, no se producen picos significativos en los volúmenes de tráfico, ya que un sistema o un terminal infectados solo pueden enviar una solicitud de DNS por hora. Esto hace que esta forma concreta de exfiltración a través DNS sea extremadamente difícil de detectar. 

¿Cómo se puede evitar la exfiltración de datos de DNS? 
 

Los equipos de TI pueden evitar la exfiltración de datos siguiendo varias prácticas recomendadas de ciberseguridad. 

• Adoptar una Solución de seguridad de DNS. Las soluciones de seguridad de DNS utilizan algoritmos de detección de exfiltración de datos para supervisar continuamente el tráfico y analizar los registros de tráfico de DNS en busca de patrones anómalos o indicadores de riesgo.
• Asegurarse de que los firewalls y los proxies están configurados correctamente. Los firewalls y los proxies deben configurarse para restringir el tráfico de DNS saliente e impedir conexiones no autorizadas a servidores DNS externos.
• Activación de limitación de frecuencia. Limitar la frecuencia de respuesta en los servidores DNS puede mitigar el impacto de las inundaciones DNS y los ataques por amplificación que los hackers suelen utilizar para distraer la atención de sus esfuerzos de exfiltración de datos.
• Implementación de firewalls de DNS. Las soluciones de firewall de DNS inspeccionan el tráfico de DNS en tiempo real y utilizan la inteligencia contra amenazas para bloquear las solicitudes maliciosas y la exfiltración de datos.
• Optimizar las cadencias de aplicación de parches. Mantener actualizados los servidores DNS y el software, y aplicar parches con regularidad, puede corregir las vulnerabilidades que los atacantes pueden explotar al intentar obtener acceso y exfiltrar datos.
• Implementar la formación en materia de seguridad. Dado que el error humano es uno de los factores que más contribuyen al éxito de los ciberataques, la formación en en materia de seguridad puede ayudar a los empleados a evitar aquellos tipos de acciones que permiten a los atacantes vulnerar las defensas y establecer campañas de exfiltración de datos de DNS.

Preguntas frecuentes 

¿Qué datos suelen ser objeto de la exfiltración de datos de DNS? 

 

Los ciberdelincuentes suelen dirigirse a datos confidenciales, como registros financieros, información de clientes y propiedad intelectual. 

 

 

¿Se puede evitar por completo la exfiltración de datos de DNS? 

 

Aunque es difícil prevenir todos los intentos, las medidas proactivas pueden reducir el riesgo de forma significativa. 

 

 

¿Las pequeñas empresas también pueden ser objeto de exfiltración de datos de DNS? 

 

Sí, las pequeñas empresas no son inmunes. Los ciberdelincuentes suelen dirigir sus ataques a entidades más pequeñas debido a sus medidas de seguridad relativamente más débiles. 

 

¿Cómo puedo elegir el firewall DNS adecuado para mi organización? 

 

Consulte con expertos en ciberseguridad o proveedores especializados en seguridad de DNS para encontrar la solución más adecuada. 

 

¿Hay casos de exfiltración de datos de DNS? 

 

Sí, en los últimos años se han producido varias vulneraciones importantes, lo que pone de relieve la gravedad de esta amenaza. 

 

Fuente: www.akamai.com