Articulo de referencia

Explotación (seguridad informática)

Un exploit es un método o fragmento de código que aprovecha las vulnerabilidades en software , aplicaciones , redes , sistemas operativos o hardware , generalmente con fines mal...

Un exploit es un método o fragmento de código que aprovecha las vulnerabilidades en software , aplicaciones , redes , sistemas operativos o hardware , generalmente con fines maliciosos. El término "exploit" deriva del verbo inglés "to exploit", que significa "utilizar algo para beneficio propio". Los exploits están diseñados para identificar fallos, eludir medidas de seguridad, obtener acceso no autorizado a sistemas, tomar el control de sistemas, instalar malware o robar datos confidenciales . Si bien un exploit en sí mismo puede no ser malware , sirve como vehículo para distribuir software malicioso al vulnerar los controles de seguridad . [ 1 ] [ 2 ] [ 3 ] [ 4 ]

Las estimaciones del costo económico de los ciberataques que se basan en exploits varían ampliamente según la metodología y el alcance; un informe de McAfee / CSIS de 2020 estimó el costo global del cibercrimen en más de 1 billón de dólares estadounidenses anuales. En respuesta a esta amenaza, las organizaciones utilizan cada vez más la inteligencia sobre ciberamenazas para identificar vulnerabilidades y prevenir ataques antes de que ocurran. [ 5 ]

Descripción

Los exploits se dirigen a las vulnerabilidades, que son esencialmente fallos o debilidades en las defensas de un sistema. Los objetivos comunes de los exploits incluyen sistemas operativos , navegadores web y diversas aplicaciones , donde las vulnerabilidades ocultas pueden comprometer la integridad y la seguridad de los sistemas informáticos . Los exploits pueden causar comportamientos no deseados o imprevistos en los sistemas, lo que podría provocar graves brechas de seguridad . [ 6 ] [ 7 ]

Muchos exploits están diseñados para proporcionar acceso de superusuario a un sistema informático. Los atacantes pueden usar varios exploits de forma consecutiva para obtener primero acceso de bajo nivel y luego escalar privilegios repetidamente hasta alcanzar el nivel administrativo más alto, a menudo denominado "root". Esta técnica de encadenar varios exploits para realizar un único ataque se conoce como cadena de exploits.

Las vulnerabilidades que permanecen desconocidas para todos excepto para quienes las descubrieron y desarrollaron se denominan exploits de día cero o "0day". Una vez que un exploit se revela a los autores del software afectado, la vulnerabilidad asociada suele corregirse mediante un parche , lo que inutiliza el exploit. Por esta razón, algunos hackers maliciosos , así como hackers militares o de agencias de inteligencia, no publican sus exploits, sino que los mantienen en privado. Un esquema que ofrece exploits de día cero se conoce como exploit como servicio . [ 8 ]

Clasificación

Existen varios métodos para clasificar las vulnerabilidades. Algunos ejemplos son el componente objetivo y el tipo de vulnerabilidad. El método más común se basa en cómo la vulnerabilidad se comunica con el software vulnerable. Otra clasificación se basa en la acción contra el sistema vulnerable, como el acceso no autorizado a datos, la ejecución de código arbitrario y la denegación de servicio.

Mediante método de comunicación

Estos incluyen: [ 9 ]

  • Ataques remotos : funcionan a través de una red y explotan la vulnerabilidad de seguridad sin necesidad de acceso previo al sistema vulnerable.
  • Exploits locales : requieren acceso previo o acceso físico al sistema vulnerable y, por lo general, aumentan los privilegios de la persona que ejecuta el exploit más allá de los otorgados por el administrador del sistema.

Por componente objetivo

Por ejemplo: [ 9 ]

  • Ataques del lado del servidor : Se dirigen a vulnerabilidades en aplicaciones de servidor, como servidores web o servidores de bases de datos, a menudo mediante el envío de solicitudes diseñadas maliciosamente para explotar fallos de seguridad.
  • Exploits del lado del cliente : Se dirigen a vulnerabilidades en aplicaciones cliente, como navegadores web ( exploits de navegador ) o reproductores multimedia. Estos exploits suelen requerir la interacción del usuario, como visitar un sitio web malicioso o abrir un archivo comprometido. Los exploits contra aplicaciones cliente también pueden requerir cierta interacción con el usuario y, por lo tanto, pueden utilizarse en combinación con técnicas de ingeniería social .

Por tipo de vulnerabilidad

La clasificación de exploits basada en [ 10 ] [ 11 ] el tipo de vulnerabilidad que explotan y el resultado de ejecutar el exploit (por ejemplo, elevación de privilegios ( EoP ), denegación de servicio ( DoS ), suplantación de identidad ) es una práctica común en ciberseguridad. Este enfoque ayuda a identificar y abordar sistemáticamente las amenazas de seguridad. Por ejemplo, el modelo de amenazas STRIDE categoriza las amenazas en seis tipos, que incluyen suplantación de identidad, manipulación, repudio, divulgación de información, denegación de servicio y elevación de privilegios. [ 12 ] De manera similar, la Base de Datos Nacional de Vulnerabilidades (NVD) categoriza las vulnerabilidades por tipos como omisión de autenticación por suplantación de identidad y omisión de autorización. [ 13 ]

Las vulnerabilidades explotadas incluyen:

  • Vulnerabilidades de ejecución de código : permiten a los atacantes ejecutar código arbitrario en el sistema objetivo, lo que podría provocar el compromiso total del sistema.
  • Los ataques de denegación de servicio ( DoS ) tienen como objetivo interrumpir el funcionamiento normal de un sistema o servicio, dejándolo inaccesible para los usuarios legítimos.
  • Explotizaciones de escalada de privilegios : permiten a los atacantes obtener privilegios superiores en un sistema a los otorgados inicialmente, lo que podría dar lugar a acciones no autorizadas.
  • Explotizaciones de divulgación de información : Conducen al acceso no autorizado a información confidencial debido a vulnerabilidades en el sistema.

Técnicas

Los atacantes emplean diversas técnicas para explotar vulnerabilidades y lograr sus objetivos. Algunos métodos comunes incluyen: [ 9 ]

  • Desbordamiento de búfer : Los atacantes envían más datos a un búfer de los que este puede manejar, lo que provoca que se desborde y sobrescriba la memoria adyacente, permitiendo potencialmente la ejecución de código arbitrario.
  • Inyección SQL : Se inserta código SQL malicioso en los campos de entrada de las aplicaciones web, lo que permite a los atacantes acceder a las bases de datos o manipularlas.
  • Secuencias de comandos entre sitios ( XSS ): los atacantes inyectan scripts maliciosos en páginas web vistas por otros usuarios, lo que puede provocar el secuestro de sesiones o el robo de datos.
  • Falsificación de solicitud entre sitios ( CSRF ): los atacantes engañan a los usuarios para que realicen acciones que no pretendían, como cambiar la configuración de la cuenta, explotando la sesión autenticada del usuario.

Cero clics

Un ataque de cero clics es una vulnerabilidad que no requiere interacción del usuario para funcionar; es decir, no requiere pulsaciones de teclas ni clics del ratón. [ 14 ] Estas vulnerabilidades suelen ser las más buscadas (especialmente en el mercado clandestino de exploits) porque la víctima normalmente no tiene forma de saber que ha sido comprometida en el momento de la explotación.

FORCEDENTRY , descubierto en 2021, es un ejemplo de un ataque de cero clics. [ 15 ] [ 16 ]

En 2022, según informes, NSO Group vendía exploits de cero clics a gobiernos para acceder ilegalmente a los teléfonos de particulares. [ 17 ]

Para dispositivos móviles, la Agencia de Seguridad Nacional (NSA) señala que la actualización oportuna del software y las aplicaciones, evitar las conexiones a redes públicas y apagar y encender el dispositivo al menos una vez por semana pueden mitigar la amenaza de ataques de cero clics. [ 18 ] [ 19 ] [ 20 ] Los expertos afirman que las prácticas de protección para endpoints tradicionales también son aplicables a los dispositivos móviles. Muchos exploits existen solo en la memoria , no en los archivos. Teóricamente, reiniciar el dispositivo puede borrar las cargas útiles del malware de la memoria, obligando a los atacantes a volver al inicio de la cadena de exploits. [ 21 ] [ 22 ]

Pivote

El pivoteo es una técnica de seguimiento: después de que un exploit ha comprometido un sistema, se puede obtener acceso a otros dispositivos en la red, por lo que el proceso se repite; es decir, se pueden buscar vulnerabilidades adicionales e intentar explotarlas a su vez. El pivoteo es empleado tanto por hackers como por pentesters para expandir su acceso dentro de una red objetivo. Al comprometer un sistema, los atacantes pueden usarlo como plataforma para atacar otros sistemas que normalmente están protegidos del acceso externo directo por firewalls . Las redes internas a menudo contienen una gama más amplia de máquinas accesibles en comparación con las expuestas a internet. Por ejemplo, un atacante podría comprometer un servidor web en una red corporativa y luego usarlo para atacar otros sistemas dentro de la misma red. Este enfoque a menudo se denomina ataque multicapa. El pivoteo también se conoce como salto de isla .

El pivoteo se puede distinguir además en pivoteo por proxy y pivoteo por VPN :

  • El pivoteo de proxy es la práctica de canalizar el tráfico a través de un objetivo comprometido utilizando una carga útil de proxy en la máquina y lanzar ataques desde la computadora. [ 23 ] Este tipo de pivoteo está restringido a ciertos puertos TCP y UDP compatibles con el proxy.
  • La técnica de pivoteo de VPN permite al atacante crear una capa cifrada para acceder a la máquina comprometida y enrutar cualquier tráfico de red a través de esa máquina objetivo; por ejemplo, para ejecutar un escaneo de vulnerabilidades en la red interna a través de la máquina comprometida, lo que en la práctica le da al atacante acceso completo a la red como si estuviera detrás del firewall.

Normalmente, las aplicaciones proxy o VPN que permiten el pivoteo se ejecutan en el ordenador objetivo como carga útil de un exploit.

El ataque de pivote generalmente se realiza infiltrándose en una parte de la infraestructura de red (por ejemplo, una impresora o un termostato vulnerables) y utilizando un escáner para encontrar otros dispositivos conectados y atacarlos. Al atacar un componente vulnerable de la red, un atacante podría infectar la mayor parte o la totalidad de la red y obtener el control total.

Véase también

Referencias

  1. Latto, Nica (29/09/2020). "Exploits: What You Need to Know" . Exploits: What You Need to Know . Archivado del original el 15/05/2024 . Recuperado el 12/08/2024 . Un exploit es cualquier ataque que aprovecha las vulnerabilidades en aplicaciones, redes, sistemas operativos o hardware. Los exploits suelen adoptar la forma de software o código que pretende tomar el control de ordenadores o robar datos de red.
  2. "¿Qué es un exploit?" . Cisco . 6 de octubre de 2023. Archivado del original el 31 de mayo de 2024. Consultado el 12 de agosto de 2024. Un exploit es un programa o fragmento de código diseñado para encontrar y aprovechar una falla o vulnerabilidad de seguridad en una aplicación o sistema informático, generalmente con fines maliciosos, como la instalación de malware. Un exploit no es malware en sí mismo, sino un método utilizado por los ciberdelincuentes para distribuir malware.
  3. González, Joaquín Jay III; Kemp, Roger L. (25 de enero de 2019). Ciberseguridad: Escritos actuales sobre amenazas y protección . Jefferson, Carolina del Norte, Estados Unidos: McFarland & Company. pág. 241. ISBN  978-1-4766-3541-5Técnica para vulnerar la seguridad de una red o sistema de información, en contravención de la política de seguridad .
  4. "Prácticas de codificación segura de OWASP" . Fundación OWASP . Archivado del original el 6 de enero de 2024. Consultado el 12 de agosto de 2024. Aprovechar una vulnerabilidad. Normalmente, se trata de una acción intencional diseñada para comprometer los controles de seguridad del software mediante el aprovechamiento de una vulnerabilidad .
  5. Universidad de Indiana, Bloomington; Samtani, Sagar; Chai, Yidong; Universidad Tecnológica de Hefei; Chen, Hsinchun; Universidad de Arizona (24 de mayo de 2022). "Vinculando exploits de la web oscura con vulnerabilidades conocidas para inteligencia proactiva sobre amenazas cibernéticas: un modelo semántico estructurado profundo basado en la atención" . MIS Quarterly . 46 (2): 911–946 . doi : 10.25300/MISQ/2022/15392 .
  6. "Definición de exploit" . Malwarebytes . 15/04/2024. Archivado del original el 16/05/2024 . Consultado el 12/08/2024 . Un exploit informático es un tipo de malware que aprovecha errores o vulnerabilidades, que los ciberdelincuentes utilizan para obtener acceso ilícito a un sistema. Estas vulnerabilidades están ocultas en el código del sistema operativo y sus aplicaciones, esperando a ser descubiertas y explotadas por los ciberdelincuentes. El software comúnmente explotado incluye el propio sistema operativo, navegadores, Microsoft Office y aplicaciones de terceros.
  7. "Obtener capacidades: Exploits, subtécnica T1588.005" . MITRE ATT&CK® . 15 de octubre de 2020. Archivado del original el 24 de mayo de 2024. Consultado el 12 de agosto de 2024. Los adversarios pueden comprar, robar o descargar exploits que pueden usarse durante el ataque. Un exploit aprovecha un error o vulnerabilidad para provocar un comportamiento no deseado o inesperado en el hardware o software de una computadora.
  8. Leyden, J. (16 de noviembre de 2021). "Exploit-as-a-service: los ciberdelincuentes exploran el potencial de alquilar vulnerabilidades de día cero" . The Daily Swig: noticias y opiniones sobre ciberseguridad . PortSwigger Ltd. Recuperado el 18 de diciembre de 2023 .
  9. 1 2 3 "¿Qué es una vulnerabilidad?" . UIT Online . 18-06-2024 . Consultado el 15-03-2025 .
  10. " Base de datos de exploits de Offensive Security" . www.exploit-db.com
  11. "Base de datos de exploits" . Rapid7 .
  12. "¿Qué es el modelo de amenazas STRIDE?" . www.purestorage.com . Consultado el 15 de marzo de 2025 .
  13. "Base de datos nacional de vulnerabilidades - Vulnerabilidades" . nvd.nist.gov . Consultado el 15 de marzo de 2025 .
  14. "Los ataques sigilosos de cero clics son una amenaza oculta" . Wired . ISSN 1059-1028 . Consultado el 14 de septiembre de 2021 . 
  15. "Los trucos sigilosos para iPhone que Apple aún no puede detener" . Wired . ISSN 1059-1028 . Consultado el 14 de septiembre de 2021 . 
  16. Whittaker, Zack (24 de agosto de 2021). "Un nuevo ataque de cero clics de NSO evade las protecciones de seguridad del iPhone de Apple, dice Citizen Lab" . TechCrunch . Archivado del original el 24 de agosto de 2021. Recuperado el 25 de mayo de 2025 .
  17. Ryan Gallagher (18 de febrero de 2022). "Cuidado con los hackeos 'de cero clics' que explotan fallos de seguridad en los sistemas operativos de los teléfonos" . Insurance Journal .
  18. "Por qué deberías apagar tu teléfono una vez a la semana, según la NSA" . ZDNET . Consultado el 1 de marzo de 2025 .
  19. "Guía de seguridad para el teletrabajo y los dispositivos móviles" . www.nsa.gov . Consultado el 1 de marzo de 2025 .
  20. Winder, Davey. "La NSA advierte a los usuarios de iPhone y Android que lo apaguen y lo vuelvan a encender" . Forbes . Consultado el 1 de marzo de 2025 .
  21. "Por qué reiniciar tu teléfono diariamente es tu mejor defensa contra los ataques de cero clics" . ZDNET . Consultado el 1 de marzo de 2025 .
  22. Taylor, Craig (10 de enero de 2020). "Cadena de exploits - Biblioteca cibernética CyberHoot" . CyberHoot . Archivado del original el 18 de marzo de 2026. Recuperado el 1 de marzo de 2025 .
  23. "Conceptos básicos de Metasploit – Parte 3: Pivoteo e interfaces" . Digital Bond .
  • Logotipo de Wikimedia CommonsContenido multimedia relacionado con vulnerabilidades de seguridad informática en Wikimedia Commons.