El problema de un software antivirus es que solo puede detectar lo que ya conoce. No puede detectar un ataque hacker nuevo y para el cual el proveedor no ha creado un parche para combatirlo. Muchas soluciones antimalware modernas, también incluyen cortafuegos, análisis heurístico, y funcionalidad IPS para atrapar el malware no reconocido previamente y detener el ataque hacker.
Pero la mejor seguridad es el conocimiento. Saber cuáles son los signos de un ataque hacker y lo que debes hacer para detectarlo, ya que el software antivirus por sí solo no es suficiente.
Te vamos a dar algunas ideas sobre cómo vigilar tu entorno y buscar signos de malware.
Estudia la amenaza del hacker
Para determinar si tus servidores han sido objeto de un ataque hacker, debes estudiar algunas técnicas de hackeo y aprender cuales son los vectores de ataque. Inscríbete en boletines de seguridad de Microsoft y estúdialos.
Puede que te sorprendas al descubrir que la mayoría de los ataques hackers se hacen a través del navegador y el software que se inicia dentro del navegador, como por ejemplo el Adobe Flash. Estos explotan principalmente problemas de desbordamiento de buffer en estos programas lo cual permite a un virus leer y escribir memoria que está fuera de los límites asignados a un programa cuando inicializa variables.
Un ataque hacker utiliza esa memoria para escribir instrucciones de lenguaje ensamblador que le dicen al programa que ejecute una instrucción específica, saliendo así de la lógica que está ejecutando. Luego este lanza métodos .dlls que sabe que tienen problemas de seguridad. A continuación obtiene acceso a la línea de comandos. Desde ahí, puede descargar más malware y comunicarse con su centro de mando y control para recibir instrucciones y enviar datos. En los ataques más sofisticado este malware también desactiva cualquier software antivirus que tengas en ejecución.
Con ataques hacker menos sofisticados, los usuarios suelen tener la culpa. Alguien les envía un archivo cuyo icono se parece a un archivo PDF, pero este archivo es realmente un ejecutable .exe. El usuario hace clic en él e instala el malware. La mejor defensa contra estos es entrenar a los usuarios para no hacerlo. Estos virus se distribuye mediante ataques de phising.
La mejor defensa contra un ataque hacker es asumir que has sido hackeado. Deberías reinstalar tu sistema operativo cada ciertos intervalos ya que el software antivirus no puede eliminar todos los problemas de la máquina. Esto es difícil de hacer para máquinas virtuales que ejecutan aplicaciones de misión crítica, pero sin duda puede limpiar los escritorios de los empleados que trabajan en la empresa, ya que este es uno de los principales vectores de ataque que los hackers utilizan para obtener acceso a la empresa.
Tipo de ataque hacker por importancia
Hay tres categorías de ataque hacker que deberían preocuparte. Los enumeramos a continuación en orden inverso al daño que pueden causar:
- Bajo riesgo. Son ataques no sofisticados como el adware, que no causa un daño financiero a tu negocio y no roba datos.
- Riesgo alto. Tu PC es agregado a una botnet formando así tu computadora parte de una red criminal
- Riesgo crítico. Se instala software para robar datos o dinero de tu empresa.
Ataque hacker de bajo riesgo
Los ataques de bajo riesgo no causan daño financiero tu negocio y no roban datos. La mejor manera de manejar estos ataques es entrenar a los empleados para buscar algunos de los siguientes signos:
- El software antivirus se ha deshabilitado.
- Aparecen falsos mensajes de antivirus en el escritorio.
- Aparecen nuevas barras de herramientas en el navegador.
- Se ha cambiado el motor de búsqueda del navegador.
- La gente empieza a recibir correos electrónicos de un empleado que no lo ha escrito.
- Hay programas que no conoces en la lista de programas de instalados que puedes encontrar a través del panel de control.
Ataque Hacker de Riesgo alto
Estos son algunos signos de ataques de riesgo alto:
- La computadora se ha agregado una botnet
- No se puede acceder a determinados sitios web porque se ha cambiado la contraseña
Averiguar si la computadora es parte de una botnet puede ser difícil para una persona promedio. La razón de porque a las botnets funcionan tan bien es porque mucha gente no sabe mucho acerca de computadoras, así que no saben casi nada acerca de seguridad informática. Eso es el porqué de que haya millones de computadoras en Internet que están en botnets.
Estas botnets se alquilan a empresas criminales y activistas políticos para ataques de denegación de servicio. También se utilizan para robar dinero y datos, y para ocultar la localización y dirección IP del centro de mando y control, utilizando la botnet para enviar datos a lo largo de una ruta difícil de seguir.
Ataque hacker de riesgo crítico
Un ataque hacker de riesgo crítico es cuando el hacker tiene como objetivo robar datos de tu empresa. Ha hackeado las computadoras y está enviando datos a su centro de mando y control usando botnets. Se comunican con el centro de mando y control para recibir instrucciones. Está leyendo datos de tu ordenador, registrando pulsaciones de teclas o explotando debilidades en dispositivos periféricos como una caja registradora, un lector de tarjetas de crédito, o descargando el contenido de una base de datos. Pueden iniciar sesión en cualquier equipo de tu red utilizando el escritorio remoto ya que tienen una cuenta de Active Directory con esos privilegios.
Para detectar esto, debes enviar logs a un servidor Linux a través de syslog. Linux tiene herramientas de análisis de texto más fáciles de usar que Windows. Sería mejor si tuvieras algún sistema de monitoreo de seguridad, pero si no, puedes escribir tus propios scripts con expresiones regulares para buscar los siguientes eventos:
- FTP está siendo ejecutado en un PC. Así es como el hacker envía los datos que ha robado.
- Alguien ha iniciado una sesión en una cuenta de servicio.
- Alguien ha obtenido privilegios elevados en Active Directory o ha creado una cuenta local en una máquina.
- Se han cambiado los ajustes de DNS. Esto dirige todo tu tráfico web a un servidor DNS hacker, que es que en realidad es un servidor proxy donde el tráfico se puede leer en texto claro.
- Alguien ha robado dinero de tu cuenta bancaria.
