La mayoría de las personas son conscientes de que existe un aparente mar infinito de hackers cuyo principal objetivo en la vida es robar datos importantes de las redes corporativas. Si bien hay tomos escritos sobre las variadas formas mediante las cuales los atacantes se infiltran en sistemas y redes, se desconocen los métodos específicos que utilizan para extraer los datos que quieren robar.
No es sorprendente, es bastante lógico. Primero, el atacante debe obtener acceso a una red a través de un correo electrónico de phishing que contenga un documento de Word o PDF corrupto, ese es el punto de apoyo para ingresar en un sistema de la red. A partir de aquí, el atacante buscará otras vulnerabilidades para saltar de sistema en sistema en la búsqueda de datos valiosos: hojas de cálculo, documentos, información financiera o cualquier otra cosa que el atacante considere valiosa.
Una vez que se identifican los datos, se debe comenzar con el proceso de exportación. Se debe ejecutar en algún lado y, generalmente, el atacante elegirá un determinado sistema de escritorio en la red, en vez de un servidor, para usar como el sitio de ejecución. Según Ryan Kazanciyan y Sean Coyne de la empresa de seguridad de la información Mandiant, eso se debe a que la mayoría de los usuarios no prestan mucha atención a la cantidad de almacenamiento que se utiliza en sus máquinas pero, en teoría, los administradores de redes la conocen y deberían notar un aumento así en el almacenamiento de un servidor.
Algunos atacantes van acumulando los datos que desean robar en la máquina dañada destinada a la ejecución y luego los retiran de un solo golpe. Sin embargo, es más habitual que los atacantes vayan retirando los datos poco a poco, aunque existe un riesgo de detección más alto con este método. Y si bien algunos hackers roban datos específicos, otros roban lo que pueden , la marca delatora de una vasta operación que tiene mano de obra suficiente para revisar luego todos esos datos y encontrar entre ellos los que realmente tiene valor. .
La clave para combatir a los hackers no está en reparar la vulnerabilidad una vez que se descubre, sino en garantizar de forma proactiva que su red esté siempre protegida y en anticiparse a esos robos, dentro de lo posible.
“Es difícil medir el efecto de estos robos de datos ya que no sabe qué valor tendrán la mayoría de ellos, sostiene Coyne. “En muchos de los casos en los que trabajamos los atacantes estaban dentro del sistema desde hacía meses o años. Si todo el esfuerzo se pone en remediar la situación posterior a los hechos, ya es un poco tarde”.