Se puede afirmar que la cadena de infección de un código maligno es multifuncional y esto se sustenta en que en el mundo de la ciberseguridad, los códigos maliciosos son una amenaza constante y evolutiva. Uno de los esquemas más peligrosos es el del programa malicioso por cuya multifuncionalidad, está diseñado para adaptarse a diferentes vectores para incidir sobre los sistemas y explotar múltiples vulnerabilidades. Por ello es esencial explicar cómo se genera la cadena de infección en este tipo de amenazas.
El análisis de los pasos típicos que sigue un el código maligno para comprometer un sistema, como aspecto esencial, considerando tanto ataques dirigidos (hacking), como infecciones automáticas por descuidos humanos o técnicos.
El vector de infección inicial, que es el primer eslabón de la cadena, es el método de entrada del programa maligno en el sistema.
El proceso puede ocurrir de varias formas:
El phishing y engaño al usuario que está sustentado en la recepción de un correo fraudulento con un enlace o archivo adjunto malicioso, mensajes en redes sociales o SMS (smishing) que dirigen a sitios infectados o a través de documentos de Office con macros maliciosas.
La explotación de vulnerabilidades se produce a través de ataques a servicios expuestos en internet como son los servidores web y el uso de exploits en software sin parches como es el caso de las vulnerabilidades del tipo Día Cero.
Otro aspecto que incide en el punto inicial de las infecciones lo son las descargas no autorizadas conocidas como Drive-by Downloads, aunque también son incluidas las visitas a sitios web comprometidos que ejecutan scripts maliciosos automáticamente y la publicidad “comprometida” que está infectada con malware, lo que se conoce por el término en inglés malvertising.
El proceso de ejecución del código malicioso se produce una vez que el este tipo de programa ingresa al sistema y necesita ejecutarse, lo que puede ocurrir de diferentes maneras.
La ejecución automática a partir de la activación de un “autorun”, la explotación de funciones como autoplay en dispositivos USB o discos externos y el uso de scripts en archivos BAT, PowerShell o VBS, estos últimos tan usados en los correos electrónicos para provocar infecciones maliciosas.
En la ejecución, la ingeniería social es un aspecto esencial al conminar al usuario a ejecutar manualmente un archivo creyendo que es legítimo que presenta un nombre como «documento importante.pdf.exe».
En la ejecución también es importante la inyección del códigode infección en procesos legítimos como son el explorer.exe o el svchost.exe, tan comúnmente usados en las dinámicas de trabajo de los usuarios y con la única finalidad de evadir detección.
El tercer momento es el establecimiento de persistencia. Este momento es para asegurar la supervivencia del programa malicioso a través de la implementación de técnicas a este fin.
Para cumplir este cometido son importantes la modificación del registro en el sistema operativo Windows con la creación de entradas en HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
También se establecen tareas programadas con la ejecución periódica mediante el programador de tareas que asegura secuencias de infección y propagación, que prologan su presencia a través de lo que se ha dado en llamar “servicios maliciosos” a través de la instalación de un servicio enmascarado como componente del sistema.
El cuarto momento es la comunicación mediante el mecanismo de Comando y Control que asegura la multifuncionalidad cuando se contacta, por ejemplo, a un servidor remoto con la finalidad de realizar descargas adicionales de tipo payloads de ransomware, spyware u otra modalidad parecida. También este mecanismo permite la recepción de instrucciones en tiempo real para el robo de datos o la realización de movimientos laterales y asegurar actualizar el código para evadir soluciones de seguridad.
La llamada propagación o movimiento lateral busca la expansión del código maligno en entornos corporativos a través de la explotación de la debilidad en las credenciales a través de ataques de fuerza bruta a través del Protocolo de Acceso a Desktop Remoto (RPD) o el Server Message Block (SMB). Este último, permite la autenticación de usuario, compartir archivos de impresora es esencial el uso de las versiones 2 y 3 con mayor velocidad, rendimiento y resistencia en el cifrado.
En la propagación también influyen el uso de herramientas para robar contraseñas en memoria o la infección de unidades compartidas en red. Es por ello que se menciona como una buena práctica para las “carpetas compartidas” el uso de contraseñas para su uso.
La ejecución, tomando en consideración, el objetivo final y el tipo de programa maligno que se utiliza puede ser muy diversos. Están los keyloggers y los stealers que buscan robar información, incluidas las contraseñas. En el caso de los ransomware el objetivo es cifrar información buscando el pago de rescates por el código para decifrar la misma Otros casos buscan convertir el quipo del usuario en un robot o zombie para realizar diversas funciones, en especial ataques, pero también está en la mira el cryptojacking cuya esencia es utilizar ordenadores contaminados en la minería de criptomonedas.
No es ocioso recordar que existen factores que facilitan la infección donde un papel muy importante lo tienenlas carencias de actualizaciones de seguridad en los sistemas operativos, navegadores, antivirus y otros. También está el hecho de los usuarios ignoran señales de alerta de los dispositivos entre los que destacan los comportamientos desconocidos o no habituales y la lentitud en el rendimiento. Otra cuestión que afecta es la carencia segmentación en las redes, pero se considera que el factor que mas incide son las limitaciones de capacitación en ciberseguridad que propician por solo poner un ejemplo el phishing.
Para romper, desde la posición del usuario de las TIC, la cadena de infección o mitigar el riesgo de ella, es esencial entonces atender dos aspectos esenciales que no por ser reiterados en la información deben pasarse por alto: la actualización constante de sistemas operativos y de aplicación junto a la educación de usuarios para reconocer este tipo de amenazas.
Es por ello que se afirma que la ciberseguridad no es solo tecnología, sino también conciencia y buenas prácticas para proteger los sistemas ante los programas malignos que pugnan para completar su cadena de infección.