de usuario por separado porque a veces ocurren y los hackers están preparados para sacar partido de ellos.
Acceso físico El saber popular dice que si un atacante tiene acceso físico a un activo, este simplemente lo robará todo (uf, tu teléfono móvil ha desaparecido) y lo destruirá o se saltará todas las protecciones para acceder a la información privada. Y esta percepción se ha demostrado bastante precisa hasta el momento, incluso contra las defensas que están explícitamente destinadas a proteger dicho activo ante cualquier ataque físico. Por ejemplo, muchos programas de cifrado de discos pueden ser vencidos por el atacante con un microscopio electrónico para obtener las claves secretas de protección identificando por separado los electrones que componen dichas claves. O la RAM puede congelarse con aire comprimido para traducir la clave secreta encriptada en texto sin cifrar debido a un fallo en la manera en que la memoria almacena físicamente la información.
Escalada de privilegios Cada hacker utiliza uno de los métodos de intrusión descritos en las secciones anteriores para explotar inicialmente un sistema objetivo. La única cuestión tras haber conseguido entrar es con qué tipo de acceso de seguridad se encontrará. Si están explotando un programa o un servicio informático que se ejecuta en el contexto de seguridad del mismo usuario, solo tendrán por el momento los mismos privilegios y permisos de acceso que el usuario conectado. O pueden conseguir el Santo Grial del sistema y obtener el acceso completo al sistema administrativo. Si el atacante solo cuenta con permisos de acceso normales y sin privilegios, entonces, por lo general ejecuta un segundo ataque de escalada de privilegios para intentar obtener un mayor acceso privilegiado. Los ataques de escalada de privilegios abarcan toda la gama, esencialmente duplicando los mismos enfoques que para la intrusión, pero empiezan por el punto de partida más alto de tener como mínimo algún acceso. Los ataques de escalada de privilegios son generalmente más fáciles de llevar a cabo que las explotaciones iniciales. Y como dichas explotaciones iniciales tienen el éxito siempre garantizado, la escalada de privilegios resulta mucho más fácil.
Garantía de un acceso futuro más fácil
Aunque es opcional, una vez un atacante ha obtenido el acceso inicial, la mayoría de los hackers trabajan implementando un método adicional que asegure que podrán acceder de forma más rápida y sencilla al mismo activo o software la próxima vez. Para muchos hackers, esto significa situar una puerta trasera (backdoor) conocida por la cual puedan conectarse directamente en ocasiones futuras. Otras veces, significa descifrar contraseñas o crear nuevas cuentas. El atacante siempre puede utilizar las mismas explotaciones que ya han funcionado con éxito la última vez para conseguir el acceso inicial, pero por lo general quiere otro método que funcione incluso si la víctima soluciona el problema que antes funcionaba.
Reconocimiento interno
Una vez que la mayoría de los hackers han accedido al sistema, empiezan a ejecutar múltiples comandos o programas para saber más sobre el objetivo y qué es lo que está conectado a él. Por lo general, esto significa buscar conexiones de redes en la memoria y en el disco duro, e identificar usuarios, recursos compartidos, servicios y programas. Todas esta información se utiliza para entender mejor el objetivo y sirve como punto de inicio para el siguiente ataque.
Movimiento
No es habitual que el atacante o el malware se contente con acceder solo a un objetivo. Casi todos los hackers y los programas maliciosos quieren difundir su área de influencia por más y más objetivos. Una vez han conseguido acceder al objetivo inicial, propagar esta influencia dentro de la misma red o entidad es muy sencillo. Los métodos de intrusión del hacker descritos en este capítulo resumen las distintas maneras de hacerlo, pero en comparación con los esfuerzos para el acceso inicial, el siguiente movimiento es más fácil. Si el atacante se mueve hacia otros objetivos similares con usos parecidos, se denomina movimiento lateral. Si el atacante pasa de dispositivos con un privilegio a privilegios más altos o más bajos, se denomina movimiento vertical.
La mayoría de los atacantes se mueven de bajos a altos niveles de privilegios utilizando técnicas de movimiento vertical (de nuevo, mediante los métodos de intrusión descritos en este capítulo). Por ejemplo, una metodología común de hacker es que primero el atacante comprometa una única estación de trabajo de un usuario. Utilizará este acceso inicial para buscar y descargar contraseñas de cuentas administrativas locales. Después, si estas credenciales administrativas están compartidas con otras máquinas (que a menudo lo están), entonces se mueve horizontalmente y repite el proceso hasta que captura accesos a cuentas muy privilegiados. A veces, esto se produce inmediatamente durante la primera intrusión, porque el usuario o el sistema conectado ya cuenta con privilegios altos. A continuación, se mueve hasta el servidor de autenticación y obtiene todas las credenciales de conexión del usuario. Este es el modus operandi estándar para la mayoría de los grupos de hackers actualmente, e ir del compromiso inicial a la obtención de una red completa (o pwning, en lenguaje hacker) puede suponer menos de 1 hora.
En mi experiencia personal, y te recuerdo que solo soy un hacker medio, yo tardo normalmente sobre 1 hora en conseguir el acceso inicial y 1 hora más en capturar la base de datos de autenticación centralizada. Es decir, yo, un hacker medio, necesito unas 2 horas para hacerme por completo con una empresa. El tiempo máximo que he necesitado han sido 3 horas.
Ejecución de la acción prevista
Una vez que el acceso está garantizado y la propiedad del activo obtenida, los hackers llevan a cabo lo que tienen previsto hacer (a menos que el acceso haya puesto al descubierto un objetivo nuevo). Todos los hackers tienen previsiones. Un pentester legítimo tiene la obligación por contrato de hacer una o varias cosas. Un hacker malicioso difundirá algún malware, leerá o robará información confidencial, hará modificaciones perjudiciales o causará daños. La única razón que tiene el hacker para poner en riesgo uno o más sistemas es hacer algo. Hace algún tiempo (dos o tres décadas atrás), a la mayoría de los hackers simplemente les bastaba demostrar que habían hackeado un sistema. Hoy en día, el hackeo tiene un 99 % de motivación criminal y el hacker tiene que hacer algo malicioso a su objetivo (aunque el único daño que haga sea permanecer infiltrado de forma silenciosa esperando una futura acción potencial). El acceso no autorizado sin daños directos también es un daño.
Borrado de pistas
Algunos hackers intentarán borrar sus pistas. Esto es lo que solían hacer todos los hackers hace unos años, pero actualmente los sistemas informáticos son tan complejos y tienen tantos números que la mayoría de los propietarios de activos no comprueban la existencia de pistas de hacker. No comprueban los inicios de sesión, no comprueban los cortafuegos y no buscan signos de hackeo ilegal a menos que estos no les golpeen en la cara. Cada año, el Data Breach Investigations Report de Verizon (http://www.verizonenterprise.com/verizon-insights-lab/dbir/) informa de que la mayoría de los atacantes pasan desapercibidos durante meses y años y que un 80 % de los ataques se podrían haber detectado si los defensores se hubieran preocupado de mirar. Gracias a estas estadísticas, la mayoría de los hackers ya no se molestan en borrar sus pistas.
Actualmente es cuando los hackers deben borrar menos sus pistas, puesto que utilizan métodos que nunca serán localizados mediante la detección de acciones de hacker tradicionales. Lo que utiliza el hacker es tan común en el entorno de la víctima que es casi imposible distinguir entre actividades legítimas e ilegítimas. Por ejemplo, una vez dentro, el hacker normalmente lleva a cabo acciones
