jueves, 26 de enero de 2012

Ataque frontal o ataque indirecto

En el mundo de la informática ofensiva (del inglés offensive computing) hay 2 vertientes principales a la hora de diseñar la estrategia de ataque contra un enemigo.

Un primer enfoque consiste en plantear un ataque frontal contra los sistemas informáticos del oponente, por ejemplo atacando sus principales servicios públicos de red (servidores web, servidores de correo, servidores dns, cortafuegos).

Pero estos servicios normalmente cuentan con medidas de seguridad avanzadas, ya que se encuentran expuestos al público y son objeto habitual de ataques, por lo que son difíciles de comprometer. Por eso un segundo enfoque plantea un ataque indirecto contra objetivos más desprotegidos, por ejemplo mediante la infección de equipos de usuario o mediante el uso de técnicas que no sean puramente informáticas (ingeniería social, trashing, hacking telefónico, intrusión física).

Ambos enfoques son perfectamente validos. Dependiendo de las características del oponente los resultados de uno o de otro pueden ser más efectivos. Incluso se pueden llegar a combinar ambos enfoques para obtener un mejor resultado.

La elección de la estrategia de ataque también depende del tipo de objetivo que queramos conseguir. Si el objetivo es simplemente desprestigiar al enemigo, un ataque directo contra sus servidores públicos será más efectivo a nivel de repercusión mediática.

Sin embargo si lo queremos es obtener acceso a información sensible almacenada en equipos internos, tal vez un ataque indirecto a ciertas personas que manejen esa información puede ser más efectivo. Ya que separar (a veces incluso de forma física) los equipos que manejan información accesible públicamente de los que manejan información interna es una medida de seguridad habitual.

A mi particularmente me gustan más las estrategias basadas en ataques directos. Ya que como dijo un maestro de ajedrez (cuyo nombre ahora mismo no recuerdo): "el mejor ataque es aquel que aun siendo previsto por el oponente no puede ser evitado".

Sin embargo hoy en día los ataques más populares en Internet son los indirectos, por ejemplo los famosos APT (Advanced persistent threat). Aunque esto no fue siempre así, hace unos años el hacking tradicional se centraba en atacar servidores importantes, ya que las medidas de seguridad todavía no estaban muy desarrolladas.

Y es que el mundo de la seguridad también es cíclico. Durante una serie de años se populariza un tipo de ataques, las empresas y organizaciones empiezan a invertir en medidas de seguridad para evitarlos y dejan descuidados otros elementos de la seguridad. Paulatinamente los hackers empiezan a fijarse en estos elementos más descuidados y volvemos a repetir el ciclo.

Ya en este pasado año 2011 se ha empezado a ver resurgir relativamente este tipo de ataques frontales contra grandes empresas. Es previsible que estos ataques vayan a mas, teniendo en cuenta además que con la crisis la inversión en seguridad se ha reducido notablemente en muchas de ellas.