INVESTIGACIÓN 47 lizadas por un malware ofensivo en el cursode la realizacióndeun ciberataque; pueden verse también como conexiones, servicios, funciones, herramientas, vulnerabilidades, plataformas, entidades, características de ciberseguridad que pueden introducirse o exportarse para lanzar ciberataques malware ofensivos persistentes; pueden verse también como puntos y canales a través de los cuales los ciberataques malware progresan-viajan, por ejemplo: navegador Web del cliente, campos de formularios, proxy de red, lectores de tarjetas, etc. Los vectores de ciberataque malware pueden ser internos (de dentro de una organización/entorno), externos (procedentes de fuera de una organización/entorno/ecosistema) o bien ubicados en la cadena de suministro, suministrador, mantenimiento. Existe un elevadísimo número de vectores de ciberataquemalware, son, por ejemplo: APIs (según Gartner estimó que en 2021 las APIs representaron el 90% de la superficie de ciberataque para las aplicaciones vinculadas a Web, así mismo, estima que el abuso de APIs será el vector de ciberataque más frecuente para el 2022). Las principales causas de fallos de ciberseguridadde las APIs son: Errores en el ciclo de vida de la API (errores humanos, APIs vulnerables por no aplicar DevSecOps, malas configuraciones,muchas versiones de una API, etc.). Exploits deliberados de la API para exfiltrar datos o trastornar. Desafortunada secuencia de sucesos que exponen la API a unaWeb abierta o permiten accesos no autorizados. Bufferoverflowoperando ennavegadoresWeb, bases de datos, servidores Web, APPs/ APIs, correo electrónico, etc. Acceso, interceptación y modificación de cookies HTTP, desplegados en navegadores Web, etc. Usar conexiones de red con socios, así como servicios, infraestructuras compartidas interna o externamente. Vinculación de un smartphone/tablet infectado a un vehículo conectado o autónomo o viceversa de un vehículo infectado a un smatphone/tablet limpio. Infección en la cadena de suministro o entorno demantenimiento comprometido. Acciones autorizadas de usuario con o sin privilegios (visitar unos segundos unaWeb infectada (drive-by-download) viendo su URL o a ciegas utilizando el escaneo de un código QR o haciendo clic en una URL corta (que esconde sitios Web maliciosos), descargar software gratuito infectado, ficheros adjuntos de correo electrónico, hacer clic en un link, botón, icono existente en cualquier sitio malicioso: correo electrónico, Red Social, pop-ups Webmaliciosos, incluso en anuncios loqueda lugar a la descarga de adware malicioso). Usar proxies de Internet infectados/comprometidos. Forzado de un integer overflow, por ejemplo, en bases de datos. Forzado de un array overflow en SOAP, por ejemplo, en servidoresWeb. Inducir unbuffer overflow para inhabilitar una validación de una entrada. Ciberatacar utilizando datos compartidos. Existencia de red externa vía cable o inalámbrica/OTA (vía satélite, WiFi, Bluetooth, LoRaWAN, ZigBee, etc.). Inyección HTTP. Redirección de navegador Web. Robo de credenciales. Saltarse la autenticación, por ejemplo, utilizando mascaras digitales, SIF (Synthetic Identity Fraud), etc. Una superficie de ciberataquemalware es bienunárea lógica (piladel navegador Web, componentes de infraestructuras, etc.) o bien un área física (kiosko de un hotel). El impacto de un ciberataque malware ofensivo es el valor del daño (financiero, de salud a las personas, al medio ambiente, a la sociedad, a la sostenibilidad, a la reputación, etc.), debido al ciberataque malware. Los ‘componentes droppers’ (o vectores de entrega inicial) se utilizan para entregar malware ofensivo a sistemas objetivo (por ejemplo, Necro es un dropper de tipo troyano para el sistema operativo Android). Un dropper posibilita empaquetar el resto del software en un correo electrónico/spam, página Web, actualización de software, fichero auto-ejecutable colocado en un pendrive USB, etc. Cuando se activa un droppper instala el malware en el sistema objetivo (IT/OT). La ingeniería social (conjunto de técnicas psicológicas y habilidades sociales) posibilita que el ser humano sea engañado para que realice una acción conducente a un ciber-ataque malware (phishing/ spearphising/smishing/whaling). Un ciberataque malware que utilice ingeniería social puede ser de dos tipos: hunting (cuya finalidad es extraer información a través de una interacción mínima con el objetivo/víctima) y farming (cuando el fin pasa por establecer una relación continuada en el tiempo para exprimir al máximo al usuario/víctima y extraer gran cantidad de información). Por su parte el malware defensivo se encarga de bloquear/neutralizar todo tipo de intentos de utilizar dichos vectores y cualquier conducta maliciosa. CARACTERIZACIÓN DE LAS CONDUCTAS DEL MALWARE OFENSIVO PARA SU NEUTRALIZACIÓN POR PARTE DEL MALWARE DEFENSIVO La caracterización y enumeración de acciones maliciosas del malware ofensivo (con vistas a las conductas de bloqueo, esterilización y neutralización por parte del malware defensivo) se puede estructurar y clasificar en numerosos modelos: (1) DESIST (Dispute, Elevation of privilege, Spoofing, Information disclosure, Service denial, Tampering): (D) La disputa representa el repudio. Negar que algo haya sucedido. (E) La elevacióndeprivilegios. Capacidad para poder operar conmayores permisos y privilegios (elmáximoes root). (S) El spoofing. Suplantar algo o alguien legítimo por otra cosamaliciosa, por ejemplo, SIF.
RkJQdWJsaXNoZXIy Njg1MjYx