{"id":15560,"date":"2019-10-17T11:09:48","date_gmt":"2019-10-17T17:09:48","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=15560"},"modified":"2019-10-17T11:09:48","modified_gmt":"2019-10-17T17:09:48","slug":"operation-puss-in-boots","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/operation-puss-in-boots\/15560\/","title":{"rendered":"La campa\u00f1a APT de El gato con botas"},"content":{"rendered":"

Alguna vez te has planteado qu\u00e9 le responder\u00edas a tu hijo si te preguntara “\u00bfQu\u00e9 es un ataque de APT con motivaciones pol\u00edticas?”. Y esto, en realidad, es que es muy sencillo; simplemente tienes que desempolvar el cuento de El gato con botas<\/em> de Charles Perrault y leerlo juntos con la vista puesta en los aspectos de ciberseguridad. Despu\u00e9s de todo, si ignoramos las libertades art\u00edsticas, como los ogros o el hecho de que el gato hable, el cuento representa un ejemplo estupendo de un ataque de APT complejo de m\u00faltiples vectores contra un gobierno (ficticio). A continuaci\u00f3n, vamos a desmantelar este cibercrimen juntos.<\/p>\n

\"\"<\/strong><\/p>\n

Al principio del cuento, un molinero muere y deja todo lo que tiene a sus hijos. En la parte de la herencia del peque\u00f1o aparece la informaci\u00f3n de contacto de una persona conocida bajo el seud\u00f3nimo de El gato con botas y que, evidentemente, es un cibercriminal por encargo; como recordar\u00e1s, en Shrek 2<\/em>, este elocuente gato no solo lleva sus caracter\u00edsticas botas, sino tambi\u00e9n un sombrero negro<\/em>. Tras un breve intercambio de opiniones con el cliente, el cibercriminal idea un plan artero para tomar el poder del pa\u00eds.<\/p>\n

El establecimiento de la cadena de suministro<\/strong><\/h2>\n
    \n
  1. El gato atrapa un conejo y lo presenta al rey como obsequio de su amo, el hijo del molinero, aunque lo hace pasar por el Marqu\u00e9s de Carab\u00e1s.<\/li>\n
  2. El gato caza dos perdices y se las entrega al rey como obsequio del marqu\u00e9s.<\/li>\n
  3. El gato sigue ofreciendo sus presas al rey durante varios meses, siempre supuestamente de parte del marqu\u00e9s.<\/li>\n<\/ol>\n

    Si al principio el Marqu\u00e9s de Carab\u00e1s no era nadie, al final de la fase preparatoria ya se le conoce en la corte como un proveedor de confianza de caza salvaje. El servicio de seguridad real cometi\u00f3 al menos dos errores evidentes. En primer lugar, el cuerpo de seguridad deber\u00eda haber sospechado cuando una entidad desconocida comenz\u00f3 a enviar su caza al castillo. Despu\u00e9s de todo, todo el mundo sabe que nadie da algo sin esperar nada a cambio. Y, en segundo lugar, cuando se llega a un acuerdo con un nuevo proveedor, lo primero es comprobar su reputaci\u00f3n.<\/p>\n

    Ingenier\u00eda social para abrir la puerta<\/strong><\/h2>\n
      \n
    1. Despu\u00e9s, el gato lleva a su “amo” al r\u00edo, donde lo convence para que se quite la ropa y se meta al agua. Entonces pasa el carruaje del rey y el gato pide ayuda, afirmando que alguien ha robado la ropa del marqu\u00e9s mientras este se ba\u00f1aba.<\/li>\n<\/ol>\n

      Aqu\u00ed el gato consigue dos cosas: por un lado, afirmar que el joven no es un desconocido, sino un proveedor de presas salvajes de confianza; y por otro que, despu\u00e9s de haber ofrecido su ayuda de forma desinteresada, ahora es \u00e9l quien la necesita. El supuesto marqu\u00e9s no puede identificarse (ni autentificarse) sin su ropa. El rey cae en este simple truco, dando por aut\u00e9ntica una identidad falsa. Estamos ante un ejemplo cl\u00e1sico de ingenier\u00eda social.<\/p>\n

      Un ataque watering hole<\/em> mediante el sitio web del ogro<\/strong><\/h2>\n
        \n
      1. El gato llega al castillo del ogro, donde se le recibe como un invitado de honor, y pide a su anfitri\u00f3n que le demuestre sus habilidades m\u00e1gicas. Halagado, el ogro se convierte en un le\u00f3n y, haci\u00e9ndose el asustado, el gato le dice que cualquiera podr\u00eda transformarse en una bestia, \u00bfpor qu\u00e9 no lo intentaba con un animal m\u00e1s peque\u00f1o? Entonces el ogro se convierte en un rat\u00f3n y las zarpas del gato acaban con su vida r\u00e1pidamente.<\/li>\n<\/ol>\n

        Para completar la estrategia, el marqu\u00e9s necesita un sitio web, \u00bfqu\u00e9 proveedor no tiene uno? Crear un sitio de cero podr\u00eda ser imprudente: no tendr\u00eda un historial y su fecha de creaci\u00f3n parecer\u00eda sospechosa. Por tanto, decide secuestrar un sitio ya existente. Aqu\u00ed Perrault esboza una vulnerabilidad que supone la p\u00e9rdida de los permisos de acceso. El gato inicia sesi\u00f3n como una prueba de penetraci\u00f3n y convence al administrador local para juguetear con el sistema de control de acceso. Primero el administrador eleva sus propios privilegios a nivel root<\/em> (le\u00f3n) y degrada aquellos de los invitados (rat\u00f3n). Entonces el gato elimina la cuenta con los permisos del “rat\u00f3n” y se convierte en el \u00fanico administrador del sitio web.<\/p>\n

          \n
        1. El rey visita el castillo y queda tan satisfecho con el recibimiento que decide que el marqu\u00e9s ser\u00eda un buen marido para la princesa y, por tanto, le invita a la corte y a convertirse en el futuro heredero del trono.<\/li>\n<\/ol>\n

          Esto es lo que sucede cuando la ingenier\u00eda social funciona como estaba pensado. La v\u00edctima visita el sitio web malicioso y llega a un acuerdo, concediendo acceso al cibercriminal a activos de valor (en este caso, el trono). Evidentemente, aunque no es de forma directa, aqu\u00ed se consigue ofreciendo la mano de su hija al falso marqu\u00e9s.<\/p>\n

          Ataque de cadena de suministro<\/strong><\/h2>\n

          El cuento de Perrault no menciona esta parte, pero si prestas atenci\u00f3n, ver\u00e1s que al final del cuento, el Marqu\u00e9s de Carab\u00e1s:<\/p>\n

            \n
          1. es el proveedor de confianza del rey, ya que le ha estado sirviendo caza salvaje durante varios meses, y<\/li>\n
          2. es el marido de la \u00fanica hija del rey.<\/li>\n<\/ol>\n

            Todo lo que le separa de un poder sin l\u00edmites es el hombre que hay sentado en el trono. En resumen, para convertirse el gobernador, solo tiene que inyectar un virus letal en el c\u00f3digo de la siguiente perdiz, sentarse y esperar.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

            Charles Perrault explica c\u00f3mo los cibercriminales por encargo utilizan la ingenier\u00eda social y los ataques de watering hole con fines pol\u00edticos.<\/p>\n","protected":false},"author":700,"featured_media":15562,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[638,122,3377,3795,606,445,3805],"class_list":{"0":"post-15560","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-amenazas","11":"tag-apt","12":"tag-cadena-de-suministro","13":"tag-cuentos-de-hadas","14":"tag-ingenieria-social","15":"tag-ninos","16":"tag-watering-hole"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/operation-puss-in-boots\/15560\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/operation-puss-in-boots\/16781\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/operation-puss-in-boots\/14170\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/operation-puss-in-boots\/18768\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/operation-puss-in-boots\/16815\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/operation-puss-in-boots\/19468\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/operation-puss-in-boots\/18129\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/operation-puss-in-boots\/23771\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/operation-puss-in-boots\/6553\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/operation-puss-in-boots\/28963\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/operation-puss-in-boots\/12415\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/operation-puss-in-boots\/12466\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/operation-puss-in-boots\/11331\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/operation-puss-in-boots\/20371\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/operation-puss-in-boots\/24354\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/operation-puss-in-boots\/24789\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/operation-puss-in-boots\/19234\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/operation-puss-in-boots\/23550\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/operation-puss-in-boots\/23400\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/amenazas\/","name":"amenazas"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/15560","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=15560"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/15560\/revisions"}],"predecessor-version":[{"id":15565,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/15560\/revisions\/15565"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/15562"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=15560"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=15560"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=15560"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}