Protección Contra Amenazas de Próxima Generación

¿Todas las de perder en la lucha contra la nueva
Definitive Guide
TM
variedad de ciberataques actuales? Aprenda cómo

derrotar a sus ciberenemigos con protección contra
amenazas de próxima generación (NGTP). para la
A pesar de gastar más de 20 000 millones de dólares en sistemas de seguridad
tradicionales, las organizaciones se enfrentan a una nueva variedad de ciberataques, Protección contra amenazas
de próxima generación
con exploits zero-day, malware polimórfico y amenazas avanzadas persistentes
(APT) a la cabeza. Nuestra única opción de vencer a estos adversarios hoy día, dada
su sobrada financiación y su alta motivación, pasa por cambiar de forma de pensar.
Si se ocupa de la seguridad de la red de su empresa, no debe perderse esta guía.
• Definición de las amenazas de próxima generación: comparación de
los ciberataques tradicionales con una nueva variedad de amenazas Ganando la guerra a la nueva
de próxima generación.
variedad de ciberataques
• Conocer al enemigo: examen de tres tipos de ciberenemigos y sus
métodos para derrotar los sistemas de seguridad tradicionales.
• Anatomía de los ciberataques avanzados: descripción de las cinco fases
del ciclo de vida de los ataques avanzados y señales que permiten
detectar las amenazas avanzadas persistentes (APT).
• Introducción a la protección contra amenazas de próxima generación:
revisión de los componentes clave de las soluciones de NGTP
y comparación con las defensas de seguridad tradicionales.
• Análisis de la protección contra amenazas de próxima generación:
información sobre cómo mitigar las amenazas de próxima generación en
los mensajes de correo electrónico, las comunicaciones a través de la Web
y los archivos en reposo.
• Selección de la solución de NGTP adecuada: descripción exacta sobre qué
buscar (y, lo que es más importante, qué evitar) a la hora de evaluar una
solución de NGTP.
Acerca del autor

Steve Piper es un experto en seguridad de la información con
más de 20 años de experiencia en el sector de las tecnologías.
Steve Piper, CISSP
Cortesía de:
Como escritor y consultor freelance, Steve es autor de numerosos
libros sobre seguridad de la información, infraestructuras de red
y gestión de grandes volúmenes de datos (Big Data). Cuenta con
Prohibida la venta PRÓLOGO DE:
un certificado en seguridad CISSP del ISC2 y una licenciatura en
ciencias y un MBA de la George Mason University. Encontrará David DeWalt
más información en www.stevepiper.com.
LA NUEVA GENERACIÓN DE CIBERATAQUES
Acerca de FireEye
HAN PENETRADO EN EL 95 % DE LAS REDES.
FireEye es el líder en la lucha contra la nueva variedad
de ciberataques actuales, como los ataques desconocidos ¿CREE QUE ESTÁ ENTRE EL 5 % RESTANTE?
(zero‑day) y APT, que sortean las defensas tradicionales
y afectan a más del 95 % de las redes. La plataforma de FireEye
complementa los firewalls, sistemas IPS, antivirus y puertas
de enlace basados en firmas, y proporciona el único sistema
de protección del mundo eficaz para distintas empresas y que
prescinde del uso de firmas, contra vectores de ataque a través
de la Web y el correo electrónico, así como malware residente
en recursos compartidos. Es la única plataforma integrada
de la industria que detiene los ataques en todas las fases de
su ciclo de vida, desde el exploit a la filtración. Gracias a su
tecnología Virtual Execution patentada, la plataforma de
FireEye está especialmente capacitada para proteger contra
la nueva variedad de ciberataques. Las soluciones de FireEye
se han desplegado en más de 40 países y en más del 25 % de
las empresas del índice Fortune 100. Es posible que crea que sus defensas de seguridad
actuales impiden a los nuevos ciberataques entrar en su
• Puesto 4 en el programa de premios Deloitte 2012 red y apoderarse de sus datos. Pero no es así.
Technology Fast 500™ de Norteamérica
Los ciberataques actuales sortean los firewalls, IPS, antivirus
• Premio Wall Street Journal 2012 Technology Innovation
y puertas de enlace tradicionales y de nueva generación.
• Investido como JPMorgan Chase Hall of Innovation
FireEye es su mejor medio de defensa. Ponga fin a la nueva

variedad de ciberataques con protección contra
amenazas de próxima generación. Visítenos hoy en
www.FireEye.com y permítanos cerrar las brechas en la
protección de su red.
© 2013 FireEye, Inc. Todos los derechos reservados.

Definitive Guide
TM
para la
protección contra amenazas
Ganando la guerra a la nueva
Steve Piper, CISSP

Prólogo de David DeWalt
Definitive Guide™ para la protección contra amenazas de próxima generación
Publicada por:
CyberEdge Group, LLC
1997 Annapolis Exchange Parkway
Suite 300
Annapolis, MD 21401
(800) 327-8711
www.cyber-edge.com
Copyright © 2013, CyberEdge Group, LLC. Reservados todos los derechos. Definitive Guide™
y el logotipo de CyberEdge Press son marcas comerciales de CyberEdge Group, LLC en los
Estados Unidos y otros países. Todas las demás marcas comerciales y marcas comerciales
registradas son propiedad de sus respectivos propietarios.
Sin perjuicio de lo dispuesto por la Ley de propiedad intelectual de los Estados Unidos de
1976, ninguna parte de esta publicación puede ser reproducida, almacenada en un sistema
de recuperación o transmitida, de ninguna forma ni por ningún medio, sea electrónico,
mecánico, por fotocopia, grabación, escaneado u otros, sin la autorización previa por
escrito del editor. Las solicitudes de autorización del editor deben remitirse a Permissions
Department, CyberEdge Group, 1997 Annapolis Exchange Parkway, Suite 300, Annapolis,
MD, 21401 (Estados Unidos) o enviarse por correo electrónico a info@cyber-edge.com.
LÍMITE DE RESPONSABILIDAD/EXENCIÓN DE RESPONSABILIDAD: EL EDITOR Y EL AUTOR NO

OFRECEN DECLARACIONES NI GARANTÍAS CON RESPECTO A LA EXACTITUD O INTEGRIDAD
DEL CONTENIDO DE ESTA OBRA Y RENUNCIAN ESPECÍFICAMENTE A TODAS LAS GARANTÍAS,
INCLUIDAS, SIN LIMITACIÓN, LAS GARANTÍAS DE ADECUACIÓN PARA UN FIN PARTICULAR.
LOS CONSEJOS Y LAS ESTRATEGIAS CONTENIDOS EN LA PRESENTE OBRA PUEDEN NO SER
CONVENIENTES PARA TODAS LAS SITUACIONES. NI EL EDITOR NI EL AUTOR ACEPTAN
RESPONSABILIDADES POR LOS DAÑOS QUE PUDIERAN DERIVARSE DE LOS MISMOS. EL QUE
UNA EMPRESA O SITIO WEB SEA MENCIONADO EN ESTA OBRA A MODO DE CITACIÓN Y/O
POSIBLE FUENTE DE INFORMACIÓN ADICIONAL NO SIGNIFICA QUE EL AUTOR O EL EDITOR
SUSCRIBAN LA INFORMACIÓN QUE LA EMPRESA O EL SITIO WEB PUEDAN PROPORCIONAR
O LAS RECOMENDACIONES QUE PUEDAN FORMULAR. ASIMISMO, LOS LECTORES DEBEN TENER
PRESENTE QUE LOS SITIOS WEB MENCIONADOS EN ESTA OBRA PUEDEN HABER CAMBIADO
O DESAPARECIDO ENTRE EL MOMENTO DE PUBLICACIÓN DE ESTA OBRA Y SU LECTURA.
Para obtener información general sobre los servicios de investigación y consultoría de

marketing o para crear un libro Definitive Guide (Guía definitiva) personalizado para su
empresa, póngase en contacto con nuestro departamento de ventas en el 800-327-8711
o en info@cyber-edge.com.
ISBN: 978-0-9888233-0-3 (libro en rústica); ISBN: 978-0-9888233-1-0 (libro electrónico)
Impreso en los Estados Unidos de América.
10 9 8 7 6 5 4 3 2 1
Agradecimientos del editor

CyberEdge Group agradece a las siguientes personas sus contribuciones:
Editor: Susan Shuttleworth
Diseño gráfico: Debbi Stocco, Christian Brennan
Coordinadora de producción: Valerie Lowery
Ayuda especial de FireEye: Phil Lin, Lisa Matichak, Brent Remai, David DeWalt
Contenido
Prólogo.......................................................................................... v
Introducción................................................................................ vii
Resumen de los capítulos.........................................................................vii
Iconos prácticos.......................................................................................viii
Definición de las amenazas de próxima generación.................1
Estadísticas estremecedoras.......................................................................2
Víctimas recientes.......................................................................................3
Ataques contra empresas..............................................................3
Ataques contra la Administración................................................ 3
El costo del fracaso.....................................................................................4
Panorama de amenazas actual................................................................... 5
Amenazas tradicionales................................................................ 5
Amenazas de próxima generación................................................ 7
Conocer al enemigo....................................................................11
¿Quién es el enemigo?...............................................................................11
Ciberdelincuentes....................................................................... 12
Ejecutores de amenazas de Estado............................................. 12
Hacktivistas................................................................................. 13
Cómo se impone el enemigo..................................................................... 15
Sortear las defensas basadas en firmas...................................... 15
Elusión de las defensas basadas en anomalías........................... 15
Anatomía de los ciberataques avanzados................................17
Las APT en profundidad............................................................................17
Lo que una APT no es................................................................. 18
Las APT en las noticias............................................................................. 19
Flame (2012)...............................................................................20
Ataque a RSA SecurID (2011).....................................................20
Stuxnet (2010)............................................................................ 21
Operación Aurora (2009)...........................................................22
La reacción en cadena de un ataque APT nacional..................................22
Ciclo de vida de los ataques APT..............................................................23
Fase 1: intrusión inicial aprovechando las vulnerabilidades
del sistema...................................................................................24
Fase 2: se instala malware en el sistema afectado ..................... 25
Fase 3: se inicia la conexión de salida........................................ 25
Fase 4: el atacante se propaga lateralmente............................... 25
Fase 5: se extraen los datos comprometidos..............................26
El atacante oculta sus huellas y pasa inadvertido...................... 27
Indicadores de un ataque APT.................................................................29
iv | Guía definitiva sobre la protección contra amenazas de próxima generación
Introducción a la protección contra amenazas de próxima generación... 31

Qué se necesita realmente........................................................................32
Defensas sin el uso de firmas......................................................32
Protección además de detección.................................................32
Arquitectura de protección multinivel.......................................33
Motor de detección de gran precisión .......................................33
Con el respaldo de información sobre amenazas globales......... 33
Definición de la protección contra amenazas de próxima generación....34
Comparación con las defensas basadas en firmas tradicionales... 35
Comparación con las tecnologías de prueba (sandbox).............36
Componentes fundamentales...................................................................38
Malware Protection System........................................................39
Motor Virtual Execution.............................................................39
Central Management System......................................................40
Red de información sobre amenazas en la nube........................40
Análisis de la protección contra amenazas de próxima generación......... 41
Cómo funciona.......................................................................................... 41
Despliegues en línea y fuera de banda........................................44
Características fundamentales.................................................................44
Ejecución virtual de objetos sospechosos................................... 45
Bloqueo fast-path........................................................................45
Archivos maliciosos en cuarentena............................................46
Administración centralizada....................................................... 47
Reglas personalizadas.................................................................48
Integración con la suite antivirus...............................................48
Controles de acceso basados en funciones.................................49
Panel............................................................................................49
Informes......................................................................................50
Alertas......................................................................................... 51
Integración de NGTP en la infraestructura de TI existente..................... 51
SIEM............................................................................................52
Security Intelligence and Analytics............................................ 52
Administración de incidentes..................................................... 53
Selección de la solución de NGTP adecuada...........................55
Qué evitar.................................................................................................. 55
Criterios importantes para la compra......................................................56
Plataforma de NGTP integrada para inspección de la Web,
el correo electrónico y los archivos............................................. 57
Supervisión del tráfico entrante y saliente................................. 57
Inspección de una gran variedad de tipos de archivo................ 57
Solución con análisis manual de malware..................................58
Sin falsos positivos ni falsos negativos....................................... 59
Posibilidad de reglas personalizadas.......................................... 59
Interfaz de usuario intuitiva.......................................................59
Asistencia al cliente que responda..............................................60
Glosario.......................................................................................61
Prólogo
T ras mis reuniones con líderes nacionales y con clientes

de todo el mundo, he descubierto que existe una enorme
disparidad entre el nivel de seguridad que demandan ellos
para sus redes y el disponible cuando usan herramientas de
seguridad tradicionales. La razón es que la nueva generación
de ciberataques ya forma parte de sus vidas diarias, pero ellos
siguen trabajando con herramientas basadas en modelos
tecnológicos con décadas de antigüedad.
Todo el sector de la seguridad debe cambiar de mentalidad
porque a base de mejoras graduales no pueden llenarse
los vacíos que crea la amenaza de los sofisticados ciber
delincuentes de la actualidad. Ya he dicho en público que
el modelo actual de ciberseguridad no puede alargarse más
y requiere un planteamiento totalmente nuevo.
Por eso me siento tan animado después de leer esta guía
definitiva. Estoy más convencido que nunca de que necesitamos
educarnos unos a otros y actuar en función de la realidad de
los ciberataques de hoy día. Nos encontramos en una “carrera
armamentística” que sostienen organizaciones delictivas
y estados nacionales con intereses lucrativos y agendas
geopolíticas interdependientes. El panorama no pinta bien.
Tengo el honor de pertenecer al Comité Asesor en Tele
comunicaciones para la Seguridad Nacional del Presidente
de los Estados Unidos, Barack Obama, y a los consejos de
administración de Delta Airlines, Mandiant y Polycom. Desde
esta perspectiva, contamos con una oportunidad única para unir
el sector público y el privado en una causa común. Juntos, confío
en que encontraremos soluciones innovadoras para proteger la
infraestructura crítica que compartimos.
Sigue causándome asombro que, a pesar de los más de
20 000 millones de dólares que se invirtieron en tecnologías
de seguridad informática el año pasado, los ciberdelincuentes y
los responsables de las amenazas persistentes avanzadas (APT)
puedan entrar de forma ilegal en prácticamente cualquier red
y robar datos y perturbar la marcha de los negocios.
Esta guía trata sobre cómo paliar estas carencias en la
defensa de nuestras redes para plantar cara a la “nueva
generación de ciberataques”, tal como Steve lo describe en
vi | Definitive Guide™ para la protección contra amenazas de próxima generación
este libro. El espectacular aumento de incidentes relacionados

con la ciberseguridad en todo el mundo demuestra hasta
qué punto se han intensificado las amenazas y se han
sofisticado e intrincado estos ciberataques. Le recomiendo
encarecidamente la lectura de esta guía, así como que
comparta lo aprendido con sus compañeros y con sus
contactos profesionales. Sin tecnologías más avanzadas,
una mejor cooperación entre todos los sectores y unos lazos
más fuertes entre el sector público y el privado, no podemos
detener esta próxima generación de ciberataques.
Por mi parte, incorporándome a FireEye, ratifico mi empeño
en producir plataformas de vanguardia para afrontar los
problemas de ciberseguridad más difíciles de estos tiempos.
Desde mi salida de McAfee se me han presentado numerosas
oportunidades de dirigir otras empresas, pero llevo años
siguiendo a FireEye a la distancia. Es con mucha ilusión
que me incorporo a una empresa con una tecnología tan
revolucionaria. Respecto a esta guía, espero que ofrezca una
base para desplegar una plataforma de protección frente a las
amenazas de próxima generación y que sirva para configurar
una red más segura y más resistente a los ataques.
David DeWalt
Consejero Delegado de FireEye
Introducción
E n los últimos años, empresas y organismos públicos han

sido víctimas de un sinfín de ciberataques consumados
de una sofisticación y un alcance sin precedentes. A pesar de
los 20 000 millones de dólares gastados al año en defensas de
seguridad tradicionales, las empresas se encuentran luchando
contra una nueva generación de ciberataques, como malware
avanzado y amenazas persistentes avanzadas (APT, Advanced
Persistent Threats), que son dinámicos, sigilosos y que
comprometen con gran éxito las redes actuales.
Si existe alguna posibilidad de impedir que estos adversarios
motivados ataquen nuestros sistemas, roben nuestros
datos y dañen nuestra infraestructura crítica, pasa por que
cambiemos de forma de pensar. Debemos ser conscientes
de las limitaciones de las defensas tradicionales basadas
en firmas y aprovechar la nueva tecnología para detectar
y detener la nueva generación de ciberataques.
Afortunadamente, hay una solución: introducir protección contra
amenazas de próxima generación (NGTP, Next-Generation Threat
Protection), una nueva e innovadora plataforma de seguridad para
redes que ha demostrado ser de ayuda para ganar la batalla contra
las amenazas de próxima generación. Si es el responsable de la
seguridad de la red de su empresa, no debe perderse esta guía.
Resumen de los capítulos

Capítulo 1, "Definición de las amenazas de próxima
generación": analiza asombrosas estadísticas sobre las fugas
de datos más importantes, describe los ciberataques contra
empresas y organismos públicos recientes más sonados, expone
los costos típicos asociados a ataques consumados y compara
los ciberataques tradicionales con los de próxima generación.
Capítulo 2, "Conocer al enemigo": define tres tipos de
ciberenemigos (ciberdelincuentes, ejecutores de amenazas de
Estado y hacktivistas) y describe por qué consiguen sortear
las defensas de seguridad tradicionales.
Capítulo 3, "Anatomía de los ciberataques avanzados":
define las APT y examina los ejemplos más notorios de los
titulares de la prensa internacional. El capítulo profundiza
después en la posible "reacción en cadena" de una APT
viii | Definitive Guide™ para la protección contra amenazas de próxima generación
consumada en una infraestructura crítica, analiza en detalle

cada una de las cinco fases del ciclo de vida de las APT
y enumera los indicadores para detectar APT en su empresa.
Capítulo 4, "Introducción a la protección contra
amenazas de próxima generación": llega al fondo de la
cuestión y define la NGTP, describe las características de una
solución de NGTP ideal y compara la NGTP con las defensas
tradicionales basadas en firmas y las tecnologías de entorno
de prueba (sandbox).
Capítulo 5, "La protección contra amenazas de
próxima generación al detalle": amplía el capítulo 4
con detalles precisos sobre la forma en que la NGTP mitiga
la nueva generación de ciberataques en mensajes de correo
electrónico, comunicaciones web y archivos en reposo.
Explora las características clave de las principales soluciones
de NGTP y describe formas habituales de integrarlas en una
infraestructura de red existente.
Capítulo 6, "Selección de la solución de NGTP
adecuada": proporciona una descripción exacta sobre qué
buscar (y, lo que es más importante, qué evitar) a la hora de
comprar una solución de NGTP.
Glosario proporciona definiciones prácticas de terminología
clave (que aparece en cursiva) utilizada en este libro.
Iconos prácticos
SUGERENCIA
Las sugerencias proporcionan consejos prácticos que puede
aplicar en su empresa.
NO OLVIDE
Cuando vea este icono, tome nota ya que el contenido
relacionado contiene información clave que conviene recordar.
ATENCIÓN
Actúe con cautela porque, de lo contrario, puede salirle caro
a usted y a su empresa.
INFO TÉCNICA
El contenido asociado a este icono es de naturaleza más
técnica y está destinado a profesionales de TI.
EN LA WEB
¿Desea obtener más información? Visite la URL correspondiente
para acceder a contenido adicional disponible en la Web.
Capítulo 1
Definición de las amenazas

En este capítulo
•• Revisión de estadísticas recientes sobre fugas de datos
•• Análisis de ciberataques tradicionales
•• Descripción del malware avanzado, las amenazas zero-day
y las amenazas persistentes avanzadas
L os ciberataques actuales son más sofisticados que

nunca. En el último año, hemos presenciado fugas de
datos alarmantes de una complejidad y una magnitud sin
precedentes. Como consecuencia, todos los CISO se han visto
obligados a reconsiderar la seguridad de la red de sus empresas.
Al mismo tiempo, el sector de la ciberdelincuencia se ha
transformado completamente, pasando desde la piratería
por pura diversión a los ciberataques con ánimo de lucro o,
en algunos casos, con fines políticos. Los ciberdelincuentes
actuales están bien formados e incorporan técnicas de ataque
sofisticadas que no pueden ser combatidas con las defensas
tradicionales basadas en firmas, que son insuficientes.
Actualmente, las empresas se enfrentan a una nueva generación
de ciberataques. Estas amenazas multivectoriales y multifase
eluden fácilmente las defensas de seguridad tradicionales, como
firewalls, sistemas de prevención de intrusiones (IPS, Intrusion
Prevention Systems), puertas de enlace seguras de la Web y del
correo electrónico, y plataformas antivirus.
Entonces, ¿cuál es la gravedad del problema? Veamos algunas
estadísticas y referencias recientes a algunos de los ciberataques
más nefastos de nuestra época.
2 | Definitive Guide™ para la protección contra amenazas de próxima generación
Estadísticas estremecedoras
Varios reputados organismos de investigación de
ciberseguridad supervisan las tendencias de los ciberataques
contra empresas. Entre estos se encuentra el equipo Verizon
RISK (Response, Intelligence, Solutions and Knowledge), que
publica un informe anual de investigaciones de fugas de datos
ampliamente reconocido.
En 2012, Verizon analizó 855 incidentes de seguridad de
datos que tuvieron lugar el año anterior y que dieron lugar
a 174 millones de registros afectados. El análisis de Verizon
generó algunas estadísticas estremecedoras:
;; El 98 % de los incidentes fue originado por agentes

externos (aumento del 6 % respecto del año anterior)
;; El 85 % tardó semanas en descubrirse
(aumento del 6 %)
;; El 81 % estaba asociado a algún tipo de piratería
(aumento del 31 %)
;; El 69 % incorporaba malware (aumento del 20 %)
EN LA WEB
Para descargar una copia gratuita del informe de Verizon,
visite www.verizonbusiness.com.
También en 2012, FireEye, líder en protección contra
amenazas de próxima generación, publicó su informe de
amenazas avanzadas (primera mitad de 2012). Según este
informe, las empresas sufren cada semana un promedio de
643 eventos maliciosos basados en la Web, que consiguen
superar las defensas de seguridad tradicionales, como
firewalls, sistemas de prevención de intrusiones y software
antivirus. En comparación con el mismo periodo en 2011,
el número de infecciones por empresa aumentó en un 225 %.
EN LA WEB
Para descargar una copia gratuita del informe de FireEye,
visite www.fireeye.com/info-center/.
Pese a los aumentos globales en gastos de seguridad de la
información (lo que equivale a más de 20 000 millones anuales
en servicios y productos de seguridad de la información), está
creciendo el porcentaje de fugas de datos como resultado de
la piratería externa y los ataques que incorporan malware,
y todavía se tarda varias semanas en descubrir los principales
ataques a la seguridad de los datos.
Capítulo 1 : Definición de las amenazas de próxima generación | 3
Víctimas recientes
A menos que las empresas y los organismos públicos adopten
un nuevo enfoque más sofisticado para mitigar las amenazas
de próxima generación, continuarán copando los titulares
de las noticias de maneras que jamás hubieran deseado.
A continuación se incluye una muestra de los últimos ataques
más relevantes dirigidos a empresas y a Administraciones,
que emplean técnicas de piratería avanzadas:
Ataques contra empresas

;; Global Payments (marzo de 2012): ataque ocurrido
en enero de 2011, en el que un hacker filtró datos de
más de 7 millones de tarjetas de crédito. El incidente
le costó a este procesador de tarjetas de crédito cerca
de 85 millones de dólares y su exclusión temporal de
la lista de Visa y MasterCard.
;; Citigroup (junio de 2011): la empresa reveló que un
ciberataque dio lugar al robo de más de 360 000 números
de tarjetas de crédito, 3400 de los cuales fueron utilizados
para robar más de 2,7 millones de dólares.
;; RSA Security (marzo de 2011): los ciberatacantes
robaron datos relacionados con tokens SecurID
comprometiendo así su seguridad.
SUGERENCIA
Vaya al recuadro “RSA Security describe el ataque APT” del
capítulo 3 para obtener más información sobre este ataque.
Ataques contra la Administración

;; Departamento de Hacienda de Carolina del
Sur (octubre de 2012): un hacker filtró cerca de
3,6 millones de números de la Seguridad Social
y 387 000 números de tarjetas de crédito y débito
a través de un ciberataque externo.
;; Agencia de Protección Ambiental de los Estados
Unidos (EPA) (agosto de 2012): los números de la
Seguridad Social, las claves bancarias y las direcciones
postales de más de 5000 empleados de la EPA quedaron
expuestos al público después de que un empleado hiciera
clic en un adjunto de correo electrónico malicioso.
;; Irán (mayo de 2012): se desplegó el malware Flame
supuestamente desarrollado por los Estados Unidos
e Israel para frenar el programa nuclear de Irán.
El costo del fracaso

NO OLVIDE Con el fin de mitigar las amenazas tradicionales y de próxima
generación, las empresas de seguridad de TI deben implementar
una estrategia de defensa en profundidad (capas de defensas
de seguridad de redes y endpoints). No hacerlo les podría salir
caro. De hecho, podría llevar a una empresa a la bancarrota.
En 2012, el Ponemon Institute (www.ponemon.org) publicó su
tercer informe anual titulado "2012 Cost of Cyber Crime Study:
United States" (Estudio sobre el costo de la ciberdelincuencia
en 2012: Estados Unidos). Tras analizar el costo de las fugas
de datos de 56 empresas establecidas en los Estados Unidos,
Ponemon puso de manifiesto que el costo medio anualizado del
ciberdelito para cada empresa era de 8,9 millones de dólares,
en un rango de 1,4 a 46 millones de dólares. Esto supone
8,4 millones de dólares más que en 2011 (aumento del 6 %).
Ponemon también calculó que el promedio de ciberataques
consumados por semana para cada empresa era de 102, 72 más
por semana que en 2011 (aumento del 42 %).
EN LA WEB
Para descargar una copia gratuita del informe de Ponemon,
visite www.ponemon.org/library.
Las empresas víctimas de fugas de datos a gran escala se
enfrentan a enormes costos, incluidos:
;; Costos de investigaciones y análisis forenses
;; Costos de comunicaciones con clientes y socios
;; Costos de relaciones públicas
;; Pérdidas de ingresos debido a daños en la reputación
;; Sanciones por el incumplimiento de normativas

oficiales
;; Demandas civiles y honorarios de representación
En lo que respecta a la protección contra los ciberataques,

se aplica el viejo dicho de "más vale prevenir que curar".
Las empresas deben incorporar protección contra amenazas
de próxima generación en su arquitectura de defensa en
profundidad para mantenerse a la vanguardia de la nueva
generación de ciberataques, por su propio bien y por el bien
de sus clientes y accionistas.
Panorama de amenazas actual

Las empresas y los organismos públicos actuales se
enfrentan a decenas de ciberataques. Voy a simplificar el
panorama de las amenazas agrupando los ciberataques en
dos grandes categorías: amenazas tradicionales y amenazas
Amenazas tradicionales
Los ciberataques tradicionales descritos en esta sección son
antiguos, pero todavía cumplen su objetivo. Así que, no hay que
subestimarlos. Pese a que, por lo general, pueden ser detectados
por dispositivos IPS, firewalls de próxima generación (NGFW,
Next-Generation FireWalls) y software antivirus, a veces las
nuevas variantes pueden pasar inadvertidas.
Gusanos, troyanos y virus

Un gusano informático es un programa de malware
independiente que se autorreplica —normalmente gracias
a las vulnerabilidades de los sistemas operativos— en una red
para propagarse. Los gusanos causan problemas en la redes
consumiendo ancho de banda, pero también proporcionan un
vector de ataque "lateral" que puede infectar sistemas internos
supuestamente protegidos o extraer datos. A diferencia de un
virus informático, un gusano no se anexa a otros programas
o archivos.
Un troyano (o caballo troyano) suele hacerse pasar por una
aplicación de software útil, con el propósito final de persuadir
a un usuario para que proporcione acceso a una computadora.
Los troyanos pueden autorreplicarse en el sistema infectado,
pero no pueden propagarse a otras computadoras vulnerables
por sí solos; suelen incorporarse a redes de equipos infectados
(denominadas "redes de bots"; consulte la sección siguiente)
donde esperan para recibir más instrucciones y en las que
envían información robada. Los troyanos pueden descargarse
a través de spam o de redes sociales, o pueden camuflarse
como el programa de instalación pirateado de un juego
o una aplicación conocidos.
Un virus informático es un código malicioso que puede ser
más o menos grave, desde ser una ligera molestia hasta
tener consecuencias devastadoras. Se adjunta a un programa
o archivo para poder propagarse de una computadora a otra
y dejar así infecciones a su paso. Sin embargo, a diferencia de un
gusano, un virus no puede distribuirse sin intervención humana.
Spyware y redes de bots

El spyware es software que recopila encubiertamente
información del usuario a través de una conexión a Internet sin
que el usuario se dé cuenta, normalmente con fines publicitarios
(adware, software que muestra anuncios emergentes), pero a
veces para robar datos confidenciales como nombres de usuario,
contraseñas y números de tarjetas de crédito. Las aplicaciones
de spyware suelen agruparse como un componente oculto de
programas shareware o freeware descargados de Internet.
Una vez instalado, el spyware supervisa la actividad del usuario
y luego transmite encubiertamente esa información en segundo
plano a otra persona.
INFO TÉCNICA Una red de bots es un grupo de computadoras conectadas por
Internet en las que se ejecuta el malware. Cada dispositivo
afectado se denomina bot (o zombi) y el humano que controla
una red de bots recibe el nombre de dueño de la red de bots
(o botmaster). El comando y control de una red de bots suele
requerir servidores web (denominados servidores de comando
y control o CnC, por sus siglas en inglés) utilizados con el fin
específico de controlar bots, aunque algunas redes de bots más
antiguas son gestionadas por el dueño de la red de bots
mediante Internet Relay Chat (IRC). Los bots se utilizan con
frecuencia para cometer ataques de denegación de servicio,
transmitir spam, almacenar datos robados y/o descargar
malware adicional en la computadora host infectada.
Ataques de ingeniería social

Los ataques de ingeniería social —como phishing y baiting—
son extremadamente comunes. Como mencionaré en el
capítulo 3, estos ataques, cuando tienen éxito, pueden dar
lugar a ciberataques mucho más amplios y sofisticados.
El phishing es un intento de adquirir información (y, de forma
indirecta, dinero), como nombres de usuarios, contraseñas,
información de tarjetas de crédito y números de documentos
de identidad, haciéndose pasar por una entidad de confianza
en una comunicación por correo electrónico. Tras hacer clic
en un hipervínculo (aparentemente inocente), el usuario
recibe instrucciones para introducir sus datos personales en
un sitio web falso que tiene un diseño casi idéntico al legítimo.
El phishing puede tener un propósito en particular, como en
los siguientes casos:
;; Phishing selectivo: se dirige a una o varias personas

concretas de una empresa. Los agresores suelen recabar
con antelación información personal sobre su objetivo
con el fin de aumentar sus probabilidades de éxito.
;; Whaling: phishing dirigido específicamente a altos

ejecutivos y otros objetivos de peso de una empresa.
Baiting: tiene lugar cuando un delincuente deja a propósito una

memoria USB o un CD-ROM en un parking o un cibercafé. La
unidad o disco suele tener escritas palabras como "sueldos de los
ejecutivos" o "confidencial de la empresa" con el fin de despertar
el interés de quienquiera que lo encuentre. Cuando la víctima
accede al soporte, instala el malware en su computadora.
Desbordamientos de búfer e inyecciones SQL

Los desbordamientos de búfer y los ataques de inyección SQL son
dos técnicas de uso frecuente que aprovechan vulnerabilidades.
Un desbordamiento de búfer es un ciberataque en el que el
hacker escribe más datos en un búfer de memoria de los que
admite el búfer, según su diseño original. Algunos de estos
datos invaden la memoria adyacente y hacen que la aplicación
de escritorio o basada en la Web ejecute arbitrariamente
código con privilegios superiores o que incluso se bloquee. Por
lo general, los desbordamientos se activan mediante entradas
de hackers o archivos/objetos web maliciosos diseñados para
ejecutar código o alterar el funcionamiento del programa.
Una inyección SQL ataca bases de datos a través de un sitio
web o una aplicación basada en la Web. El atacante envía
instrucciones SQL en un formulario web en un intento de
lograr que la aplicación web transmita el comando SQL
malicioso a la base de datos. Un ataque de inyección SQL
consumado puede revelar contenido de la base de datos
(como números de tarjetas de crédito y de documentos
de identidad, entre otros) al atacante.
Amenazas de próxima generación

Las defensas de seguridad tradicionales basadas en firmas —
incluidas las soluciones IPS, NGFW y antivirus— están
diseñadas principalmente para detectar amenazas conocidas.
Pero en la actualidad, los principales titulares están
protagonizados por amenazas desconocidas.
SUGERENCIA Esta sección analiza en detalle los ciberataques más peligrosos
a los que se enfrentan las empresas y los organismos públicos
en la actualidad. En el capítulo 2, explicaré por qué las defensas
de seguridad tradicionales son inadecuadas para detectarlos
y prevenirlos.
Amenazas zero-day
Una amenaza zero-day es un ciberataque que aprovecha una
vulnerabilidad desconocida de una aplicación o de un sistema
operativo. Se llama así porque el ataque se lanza el mismo día
(día cero) que se hace pública la vulnerabilidad o, cada vez con
más frecuencia, incluso antes y, en muchos casos, antes de que
el proveedor la conociera. (En ocasiones, el proveedor ya tiene
constancia de la vulnerabilidad, pero no la ha hecho pública
porque todavía no se ha creado un parche).
NO OLVIDE Los ataques zero-day son extremadamente eficaces porque pueden
pasar inadvertidos durante largos periodos (normalmente, varios
meses, pero a veces durante años) y cuando finalmente son
identificados en circulación, la creación de un parche para la
vulnerabilidad todavía tarda días o incluso semanas.
Amenazas persistentes avanzadas

Las amenazas persistentes avanzadas (APT) (también
conocidas como ataques selectivos avanzados o ATA) son
sofisticados ataques en los que una persona no autorizada
obtiene acceso a una red y permanece en ella durante un largo
periodo sin ser detectada. El propósito de una APT es robar
datos más que causar daños en la red. Las APT van dirigidas
a empresas de sectores con información muy valiosa, como
procesadores de tarjetas de crédito, organismos públicos
e instituciones financieras.
Las APT suelen recurrir al phishing selectivo (consulte la
sección "Ataques de phishing y baiting" anterior) para obtener
acceso inicial a la red. Una vez que se ha infectado un host
inicial, la APT utiliza una estrategia lenta y discreta para
eludir la detección.
SUGERENCIA El capítulo 3 está dedicado al tema de las APT y describe cómo
algunos ciberdelincuentes sofisticados han utilizado tácticas
lentas y discretas en algunas de las fugas de datos más
importantes hasta la fecha.
Aunque yo he propuesto una definición para las APT en esta
guía, existen distintas definiciones en el sector de seguridad
de la información. Algunos afirman que las ATP solo las
cometen las naciones (como China y Rusia) por intereses
políticos y reservan el término ATA para ataques con
intereses económicos. Otros utilizan el término para definir
cualquier ciberataque "sofisticado", independientemente
de la metodología empleada. Sin embargo, creo que mi
definición refleja la opinión mayoritaria de los profesionales
de seguridad de la información.
Amenazas polimórficas
Una amenaza polimórfica es un ciberataque —como un virus,
gusano, spyware o troyano— que cambia constantemente
(se transforma), por lo que es prácticamente imposible de
detectar con defensas basadas en firmas. Las amenazas
polimórficas pueden evolucionar de varias formas, como
con cambios de nombre del archivo y nivel de compresión
(tamaño del archivo).
Aunque el aspecto del código de una amenaza polimórfica
cambia con cada "mutación", la función esencial sigue siendo,
por lo general, la misma. Por ejemplo, un programa de spyware
concebido para actuar como un keylogger (malware no
autorizado que registra las pulsaciones de las teclas) continuará
ejecutando esa función aunque su firma haya cambiado.
La evolución de las amenazas polimórficas ha dificultado con
creces el trabajo de los profesionales de seguridad de TI. Los
proveedores que fabrican productos de seguridad basados en
firmas se ven abocados a crear y distribuir constantemente
nuevas firmas de detección de amenazas (una opción muy
lenta y costosa, cabe añadir), mientras que las empresas
y los organismos públicos —a menudo con miles de hosts
que proteger (especialmente hosts de Microsoft Windows;
consulte el recuadro "Por qué Windows es tan propenso a los
ciberataques")— despliegan continuamente las firmas que
producen sus proveedores de seguridad. Es un círculo vicioso,
siempre a la zaga de los ciberdelincuentes, que parece no
tener fin.
Amenazas combinadas
Una amenaza combinada es un ciberataque que combina
elementos de varios tipos de malware y que, normalmente,
emplea varios vectores de ataque (con distintas rutas y objetivos
de ataque) para aumentar la gravedad del daño y la velocidad
del contagio. Nimda, CodeRed y Conficker son solo unos pocos
ejemplos conocidos de amenazas combinadas.
Una amenaza combinada generalmente presupone:
;; Varios medios de propagación
;; El aprovechamiento de vulnerabilidades de

sistemas operativos y/o aplicaciones
;; El intento de causar daño a hosts de redes
ATENCIÓN En general, las amenazas combinadas están consideradas por

los profesionales de seguridad de la información como el peor
riesgo para la seguridad de una red desde la aparición de los
virus, ya que la mayoría de ellas no requieren intervención
humana para propagarse.
Por qué Windows es tan propenso

a los ciberataques
Prácticamente todas las fugas de claramente, con la seguridad como
datos sonadas que encontramos en un aspecto secundario. En otras
la prensa especializada —cuando palabras, Windows fue diseñado
menos las originadas por amenazas para que el usuario tuviera acceso
procedentes de Internet, más que completo a todo el sistema operativo.
las relacionadas con el robo físico de Sin embargo, años después —a partir
portátiles o unidades de memoria de Windows NT— Windows se
USB— son fruto de un ciberataque modificó para que admitiera varios
contra un host Microsoft Windows. usuarios. Pero, en lugar de rediseñar
Windows desde cero como un sistema
¿Significa esto que los hosts con
operativo multiusuario, Microsoft
Windows son más propensos a los
prefirió mantener la compatibilidad
ciberataques? Los expertos en
con programas creados para versiones
seguridad de TI creen que es así y,
de Windows más antiguas.
en términos generales, ofrecen dos
explicaciones —que yo considero De esta forma, Microsoft dejó
perfectamente válidas. Windows llenó de agujeros
(vulnerabilidades) para uso y disfrute
La primera explicación está meramente de los hackers. Tantos, de hecho, que
relacionada con la cuota de mercado el segundo martes de cada mes ha
de los sistemas operativos de sistemas pasado a conocerse como "Patch
de escritorio de cuasimonopolio que Tuesday" (martes de parches):
posee Microsoft, especialmente en cuando Microsoft publica nuevos
entornos empresariales. Si bien las parches (a través de sus boletines
estimaciones de los analistas varían, de seguridad) para hacer frente a
la mayoría ponen de manifiesto las vulnerabilidades en los sistemas
que aproximadamente 9 de cada operativos Windows. Aunque los
10 dispositivos informáticos de martes de parches se remontan
usuarios finales utilizan un sistema a 2004, todavía se hallan en pleno
operativo Windows. Por lo tanto, funcionamiento en la actualidad.
cuando los hackers más sofisticados
desarrollan gusanos, troyanos, ¿Significa esto que los sistemas
redes de bots y ataques de phishing operativos que no están basados
selectivo complejos, Windows es en Windows están completamente
claramente el objetivo elegido. a salvo de virus, malware y otros
ciberataques? Obviamente, no.
La segunda explicación tiene un Pero como Mac OS X y Linux fueron
carácter más "técnico". Windows, así diseñados desde cero con la seguridad
como su antecesor Microsoft DOS, como prioridad, estas plataformas son
fue diseñado para ser un sistema mucho menos susceptibles.
operativo de un solo usuario —
Capítulo 2
Conocer al enemigo
En este capítulo
•• Clasificación de los ciberenemigos en tres clases
•• Cómo sortean los atacantes la defensas de seguridad tradicionales
"Si conoces al enemigo y te conoces a ti mismo, ni en cien

batallas correrás peligro. Si te conoces a ti mismo pero no
conoces al enemigo, perderás una batalla y ganarás otra".
— Sun Tzu, El arte de la guerra
“C onocer al enemigo” es un tema crucial del manuscrito

El arte de la guerra de Sun Tzu que, sin lugar a dudas,
está estrechamente relacionado con la guerra contra los
ciberataques actuales (y ahora, contra el ciberterrorismo).
Antes de pasar a explicar en profundidad la anatomía de
las amenazas persistentes avanzadas (capítulo 3) y cómo
protegernos de ellas (capítulo 4), vamos a dedicar algo de
tiempo a conocer a nuestros enemigos, así como a entender
sus motivaciones y el porqué de su éxito.
¿Quién es el enemigo?
La imagen de los ciberatacantes ha cambiado considerablemente
con el paso de cada década. En los años 70 y 80, estaba en boga
el phone phreaking (manipulación no autorizada de equipos de
conmutación telefónica, principalmente, para hacer llamadas
de larga distancia gratuitas). En 1983, la película "Juegos de
guerra", protagonizada por un joven Matthew Broderick, dio
a conocer al público en general la piratería mediante el uso de
un módem, y nació la leyenda de los hackers como ciberhéroes.
La década de los 90 trajo consigo la adopción generalizada

de Internet, incluida la aparición de la World Wide Web.
En aquel entonces, los hackers manipulaban los sitios web
públicos con el objetivo principal de presumir sobre sus
habilidades —hasta el cambio de siglo.
NO OLVIDE La piratería se ha transformado ahora en una industria que
mueve miles de millones de dólares. Atrás quedaron los días
de la piratería por pura diversión. En la actualidad los autores
de los ciberataques a los que deben enfrentarse las empresas
y los organismos públicos se pueden dividir en tres categorías:
ciberdelincuentes, ejecutores de amenazas auspiciadas por
Estados y hacktivistas.
Ciberdelincuentes
Dicho de manera simple, los ciberdelincuentes son personas
que cometen acciones de piratería informática para obtener
un beneficio económico. En la mayoría de los casos, penetran
en las redes de las empresas con el fin de robar números de
tarjetas de crédito (a veces, decenas o incluso cientos de miles)
y venderlos en el mercado libre. Aunque no son tan rentables,
las credenciales de cuentas de Facebook, Twitter y correo
electrónico también se venden por una buena suma.
Uno de los ciberdelincuentes más famosos jamás condenado
es Albert Gonzalez. En 2010, Gonzalez fue acusado de piratear
las bases de datos de una empresa regional de procesamiento
de pagos con tarjeta de crédito y robar más de 170 millones
de números de tarjetas de crédito a lo largo de dos años. Fue
condenado a 20 años de cárcel, la condena más dura impuesta
a un ciberdelincuente hasta la fecha.
Ejecutores de amenazas de Estado

Podría decirse que el cambio más notable en la comunidad de
hackers en la última década ha sido la aparición de personas
que llevan a cabo amenazas auspiciadas por un país. Se trata
de personas contratadas por un gobierno (no necesariamente
su propio gobierno) para introducirse en sistemas informáticos
de empresas y/o Administraciones públicas de otros países
con el propósito de comprometer datos, sabotear sistemas
informáticos o, incluso, entablar una guerra cibernética.
China y Rusia se cuentan entre los países más frecuentemente
citados por reclutar personal para llevar a cabo este tipo
de amenazas. Pero no son los únicos. A continuación, se
enumeran ejemplos conocidos de ciberataques supuestamente
perpetrados por naciones, incluidos los Estados Unidos:
Capítulo 2 : Conocer al enemigo | 13
;; Se acusa a Irán de ciberataques contra bancos

estadounidenses y compañías petroleras en Arabia
Saudí y Qatar (2012).
;; Se acusa a los Estados Unidos e Israel de crear el
malware Flame contra Irán, Siria y otros países (2012).
;; China decodifica tokens SecurID de RSA (2011).
;; Se acusa a los Estados Unidos e Israel de lanzar

el gusano Stuxnet contra unas instalaciones de
enriquecimiento de uranio en Irán (2010).
;; China ataca a Google (la llamada "Operación Aurora")
para acceder a las cuentas de Gmail de activistas
chinos de los derechos humanos; el mismo ataque
se dirige a Adobe, Juniper, Dow Chemical y Northop
Grumman, entre otros (2009).
;; China roba planos de nuevos cazabombarderos de
ataque conjunto norteamericanos, el F-35 y F-22 (2009).
;; Rusia ataca los sitios web del parlamento, ministerios,
bancos y periódicos estonios durante el traslado del
Soldado de bronce de Tallinn (2007).
Irán lanzó recientemente un ambicioso programa gubernamental

de 1000 millones de dólares para potenciar las capacidades
cibernéticas nacionales. Los expertos consideran que aunque
la capacidad de guerra cibernética de China y Rusia es muy
superior a la de Irán, en términos políticos, es mucho más
probable que Irán ataque la infraestructura cibernética de los
Estados Unidos a la vista del actual estancamiento internacional
respecto del programa nuclear iraní.
Hacktivistas
El hacktivismo consiste en utilizar herramientas digitales
con fines políticos. A diferencia de los ciberdelincuentes que
tienen una motivación económica, los hacktivistas obedecen
a una motivación política. Entre los ciberataques típicos
realizados por hacktivistas se incluyen la manipulación
de sitios web, redireccionamientos, robo de información
y sentadas virtuales mediante ataques de denegación de
servicio distribuidos (DDoS) (colapsar sitios web con cientos
o miles de conexiones simultáneas y reiterativas).
Algunos hacktivistas han unido sus fuerzas contra un objetivo
común. En 2011, LulzSec reivindicó la autoría de varios
ciberataques sonados, incluidos numerosos ataques contra

Sony y el colapso del sitio web de la Agencia Central de
Inteligencia (CIA) de los Estados Unidos. En 2012, Anonymous
se atribuyó la responsabilidad de colapsar varios sitios web
públicos israelíes tras los ataques aéreos de Israel en Gaza.
Cibermercenarios a sueldo
En el informe "Defense Dossier" resultar especialmente abrumador
(Expediente de defensa) de agosto para muchos occidentales que
de 2012, el Consejo Americano de no pueden imaginar cómo un
Política Exterior (AFCP, American gobierno puede estar tan ligado a un
Foreign Policy Council: www.afpc. elemento delictivo.
org) alegaba que, presuntamente,
R u s i a s u b co nt rata a l g u n o s d e Rusia no es la única nación que
sus ciberataques de Estado colabora con ciberdelincuentes.
a ciberdelincuentes, incluidos Los expertos en seguridad de
miembros de la otrora famosa Red l a re d F i re Eye ( w w w.f i re e ye .
de Negocios Rusa (RBN, Russian com), líder en protección contra
Business Network). Hasta su supuesta amenazas de próxima generación,
desaparición en 2008, RBN participó hallaron pruebas que respaldan la
en casi todos los planes ciberdelictivos idea tan extendida de que China
imaginables —phishing, malware colabora con ciberdelincuentes
y ataques DDoS, entre otros. para comprar el acceso a equipos
previamente infectados como una
Según el informe de la AFPC, forma más eficaz de infiltrarse en
h ay d o s m o t i vo s p o r l o s q u e las organizaciones elegidas.
Rusia subcontrata trabajo a los
ciberdelincuentes o, como yo los En 2011, los investigadores de
llamo, cibermercenarios. En primer F i r e Ey e d e t e c t a r o n u n a A P T
lugar, es extremadamente rentable, de tipo malware asociada a
ya que estos cibermercenarios G h o s t n e t , u n a o p e ra c i ó n d e
se sacan un dinero extra cuando ciberespionaje a gran escala con
no trabajan para el Estado. Y en una infraestructura de comando
segundo lugar, incluso después de y control con base en China, en
investigaciones forenses cibernéticas un equipo que también llevaba
exhaustivas, sus ciberataques no malware tradicional asociado
pueden atribuirse a computadoras a operaciones ciberdelictivas.
de organismos públicos. Esto puede ¿Una coincidencia? No lo creo.
Capítulo 2 : Conocer al enemigo | 15
Cómo se impone el enemigo

Ahora que tiene un sólido conocimiento de los tres principales
tipos de ciberatacantes —ciberdelincuentes, ejecutores de
amenazas de Estado y hacktivistas—, explicaré por qué
sus ataques tienen tanto éxito.
Sortear las defensas basadas

en firmas
Los productos de seguridad tradicionales para redes
y endpoints —como sistemas de prevención de intrusiones
(IPS), firewalls de próxima generación (NGFW), puertas de
enlace de la Web seguras y soluciones antivirus— se basan en
firmas que emplean la correspondencia con patrones (a veces
denominados reglas o filtros) para detectar ciberataques
conocidos y, en algunos casos, desconocidos contra
vulnerabilidades conocidas.
Estas defensas de seguridad son sumamente eficaces para
detectar ciberataques tradicionales conocidos, como gusanos,
troyanos, spyware, redes de bots y virus informáticos básicos.
Pero como ya apunté en el capítulo 1, resultan tremendamente
ineficaces para detectar la nueva generación de ciberataques,
como ataques selectivos, zero-day, malware polimórfico, ataques
combinados y APT. De hecho, en la mayoría de los casos, la nueva
generación de ciberataques atraviesa las defensas de seguridad
tradicionales como si ni siquiera estuvieran allí. Esto se debe
simplemente a que no existen firmas para detectar las tácticas
avanzadas utilizadas en la primera fase de un ataque general que
acaba dando rienda suelta a los ciberatacantes en la red.
ATENCIÓN No me malinterprete. Las defensas tradicionales basadas en
firmas son elementos decisivos de una estrategia de defensa
en profundidad equilibrada. Simplemente mantengo que no
son suficientes para protegerse contra la nueva generación
de ciberataques que trascienden los canales de comunicación
(por ejemplo, la Web y el correo electrónico) y tienen lugar
en varias fases.
Elusión de las defensas basadas

en anomalías
Las mejores soluciones de IPS y análisis del comportamiento
de la red (NBA, Network Behavior Analysis) incorporan
métodos de detección basados en anomalías para ayudar
a identificar ciberataques sofisticados. Agregan registros
de flujo (por ejemplo, NetFlow, sFlow, cFlow) de routers

y conmutadores de red, y analizan el tráfico "normal" de la
red durante algunos días o incluso semanas. Una vez que se
han establecido los valores de referencia, es posible detectar
anomalías de la red, como un host que envía cantidades
desorbitadas de datos fuera de la empresa o un dispositivo
informático de un usuario final que se comunica directamente
con otros dispositivos de usuarios finales.
Si bien las defensas de seguridad basadas en anomalías
pueden detectar ciertos eventos causados por amenazas de
próxima generación, tienen escaso éxito porque son bastante
proclives a falsos positivos (clasificación errónea del tráfico
bueno como malo). Asimismo, también son proclives a falsos
negativos (clasificación errónea del tráfico malo como bueno)
debido a la naturaleza "lenta y discreta" de las amenazas
persistentes avanzadas.
Capítulo 3
Anatomía de los
ciberataques avanzados
En este capítulo
•• Definición detallada de una amenaza persistente avanzada
(APT, Advanced Persistent Threat)
•• Examen de las APT más notorias de los titulares de la
prensa internacional
•• Descripción del ciclo de vida de los ataques APT
E n el capítulo 1 he explicado las diferencias entre los

ciberataques tradicionales y los de nueva generación.
En el capítulo 2 hemos visto por qué las amenazas de próxima
generación están tan bien equipadas que son capaces de
sortear las defensas de seguridad tradicionales. Ahora me
gustaría analizar la categoría de ciberataques avanzados que
acapara con diferencia el mayor número de titulares en la
prensa. Me refiero, por supuesto, a las amenazas persistentes
avanzadas, o APT por sus siglas en inglés.
En este capítulo ampliaré la definición de APT que proporcioné
en el capítulo 1. Expondré algunos de los titulares más destacados
que han suscitado las APT en los últimos años y después analizaré
su efecto perjudicial en las empresas y organismos públicos
afectados. El capítulo concluye con la descripción del ciclo de vida
de los ataques APT y con una lista de indicadores que ayudan
a determinar si una red ha sido víctima de uno de estos ataques.
Las APT en profundidad

En el capítulo 1, definíamos una APT, o amenaza persistente
avanzada, como "un ataque sofisticado en el que una persona no
autorizada obtiene acceso a una red y permanece en ella durante
un largo periodo de tiempo sin ser detectada". Aunque es una
definición perfectamente cierta, solo revela parte de la realidad.

Las APT no se parecen a ningún ciberataque conocido hasta ahora.
En realidad, la expresión "amenaza persistente avanzada"
fue acuñada en 2006 por los analistas de seguridad de
la información de las Fuerzas Aéreas estadounidenses.
Describe tres aspectos de los atacantes, a saber, su perfil,
su intención y su estructura:
;; Avanzados: el atacante es un experto en métodos

de ciberintrusión y sabe diseñar herramientas
y exploits personalizados.
;; Persistentes: el atacante tiene un objetivo a largo
plazo y trabaja con persistencia para alcanzarlo sin
ser detectado y sin preocuparse del factor tiempo.
;; Amenazas: el atacante está organizado, financiado,
bien formado y sumamente motivado.
NO OLVIDE En general las APT están consideradas como el tipo

de ciberataque más peligroso de nuestros días. Los
ciberdelincuentes que emplean ataques APT son de una
especie distinta. Son expertos en "volar por debajo del radar"
para evitar ser detectados mientras extraen datos altamente
confidenciales de empresas y organismos gubernamentales.
Por desgracia, la mayoría de las organizaciones no saben que
son víctimas de un ataque APT hasta que es demasiado tarde.
Según el mismo informe de Verizon que mencionaba en el
capítulo 1, el 2012 Data Breach Investigations Report, el
59 % de las organizaciones encuestadas que experimentaron
fugas de datos importantes en 2011 tuvieron conocimiento del
ataque ¡al recibir una notificación de las fuerzas de seguridad!
Lo que una APT no es

Aunque es importante comprender qué es una APT, es
igualmente importante comprender lo que no es. Una APT no
es una muestra aislada de malware, ni siquiera varias juntas.
No es una actividad independiente y nunca se inicia sin tener
pensado un blanco u objetivo específico.
Ya se originen por beneficios económicos, opiniones políticas
personales o intereses nacionales, las APT son campañas
prolongadas y bien coordinadas cuya intención es conseguir
un objetivo contra un blanco específico. Como descubrirá
muy pronto (consulte el apartado "Ciclo de vida de los ataques
APT" más adelante en este capítulo), las APT incorporan
múltiples técnicas de ciberataque y tienen lugar en varias
fases que forman un único ataque coordinado.
Capítulo 3: Anatomía de los ciberataques avanzados | 19
Tres mitos sobre los ataques APT

Las APT figuran entre los temas portátiles y de escritorio) rara vez
más candentes de debate en el se ven afectados. Esta idea es una
mundo actual de la seguridad de completa falacia y en realidad ocurre
la información. Lamentablemente, todo lo contrario. En casi todos los
sobre las APT circula casi tanta casos, el punto inicial de entrada de
desinformación como información una APT es el dispositivo informático
precisa. Dediquemos un momento de un usuario final comprometido
a reflexionar sobre los tres mitos por un ataque de phishing selectivo,
más comunes que rodean las un troyano u otra forma de malware.
amenazas persistentes avanzadas.
Mito n.º 3: las APT pueden
Mito n.º 1: solo determinados detenerse con las defensas de
sectores son blanco de las APT. seguridad tradicionales.
Una de las ideas equivocadas es Casi todos los proveedores de
que solo las grandes empresas de seguridad de la información se
determinados sectores son blanco atribuyen al menos cierta capacidad
de las APT. Sabemos que es falsa para detectar y, en algunos casos
simplemente por los titulares (lea el impedir, ataques APT. Lo cierto es
apartado "Las APT en las noticias"). que muy pocos pueden. Las defensas
Se han denunciado APT en una gran de seguridad tradicionales a base de
variedad de sectores, como el sector firmas de detección de amenazas
público, los servicios financieros, las (como las soluciones de prevención
telecomunicaciones, la energía, el de intrusiones, los firewalls de
transporte e incluso la seguridad de próxima generación y los antivirus)
la información, como demuestra el son prácticamente incapaces de
ataque contra RSA Security en 2011. detectar los ataques desconocidos
y las amenazas polimórficas. Contar
Mito n.º 2: las APT solo se dirigen
únicamente con las defensas de
a endpoints importantes.
seguridad tradicionales es como
El segundo mito sobre las APT es presentarse en un tiroteo con una
que su objetivo son únicamente navaja de bolsillo. Directamente no
los sistemas de importancia crucial tienes nada que hacer.
y que los usuarios finales (equipos
Las APT en las noticias

Últimamente parece que ninguna semana termina sin
que salga a la luz una gran fuga de datos en una empresa,
universidad u organismo público. A continuación describo
algunos de los ataques APT que más interés periodístico
han despertado en los últimos cuatro años.
EN LA WEB Para mantenerse al corriente de las fugas de datos más

importantes que afectan a organismos públicos y privados,
recomiendo encarecidamente The Data Breach Blog de la
revista SC Magazine, en www.scmagazine.com/the-data-
breach-blog/section/1263/.
Flame (2012)
Flame, también conocido como Flamer, sKyWiper y Skywiper,
es una APT que identificaron en mayo de 2012 el centro
MAHER (equipo de respuesta ante emergencias informáticas
de Irán), Kaspersky Lab y la Universidad de Tecnología
y Economía de Budapest. Kaspersky Lab recibió de la Unión
Internacional de Telecomunicaciones de las Naciones Unidas
el encargo de investigar las denuncias de un virus que estaba
afectando a las computadoras del Ministerio de Petróleo iraní.
Los expertos informáticos consideran que Flame es el proyectil
de un ataque que en abril de 2012 obligó a los funcionarios
iraníes a desconectar Internet en sus instalaciones petrolíferas.
Ahora la opinión generalizada es que Estados Unidos e Israel
desarrollaron el malware Flame para reunir información
y preparar un cibersabotaje que debía ralentizar la capacidad
de Irán para desarrollar un arma nuclear.
Tras la primera fase del exploit, Flame pone en marcha un
complejo conjunto de operaciones, entre ellas contactar con
sus servidores de comando y control para descargar otros
módulos de malware. Completamente desplegado, Flame
es un programa inusitadamente grande para ser malware,
ya que suma 20 megabytes, un tamaño entre 20 y 30 veces
superior al de los típicos virus informáticos. Está ampliamente
reconocido como el malware más sofisticado creado jamás.
Los expertos creen que Flame, diseñado para hacerse pasar
por una actualización rutinaria de software de Microsoft,
se creó para cartografiar y vigilar en secreto las redes
informáticas iraníes y enviar constantemente datos en
preparación para una campaña de guerra cibernética.
Ataque a RSA SecurID (2011)

En marzo de 2011, RSA Security (una división de EMC) reveló
que había sido víctima de una APT. Como consecuencia,
tuvo que informar a sus clientes del sistema de autenticación
de dos factores SecurID y aconsejarles que cambiaran las
llaves electrónicas (o tokens) infectadas. Durante los meses
siguientes, empezaron a recibirse noticias de fugas de datos
causadas, en parte, por tokens SecurID comprometidos.
En particular, Lockheed Martin hizo pública una declaración
admitiendo que "sofisticados adversarios" habían causado

una brecha de seguridad en su red, aunque la empresa
aseguró que ninguno de sus activos se había visto afectado.
No obstante, algunos expertos en seguridad sospechan que el
mayor contratista de defensa del país no fue del todo sincero
sobre un fallo de seguridad del que al parecer se informó
personalmente al presidente Obama.
EN LA WEB Poco después de que RSA Security difundiera la noticia del
ataque, un directivo de la compañía publicó un blog con
intrincados detalles sobre cómo se perpetró la APT en varias
fases. Para obtener más información, consulte el recuadro "RSA
Security describe el ataque APT" más adelante en este capítulo.
En el informe trimestral 10-Q de EMC se dio a conocer
que el ataque APT contra RSA Security había generado un
costo de 81.3 millones de dólares entre la sustitución de los
tokens SecurID, la supervisión de los clientes, el refuerzo
de los sistemas internos y la resolución de las consecuencias
de la vulneración de seguridad.
Stuxnet (2010)
Stuxnet es un gusano informático muy sofisticado descubierto
en junio de 2010 que supuestamente llevaba implantado más
de un año y que se estaba utilizando junto con un ataque
APT contra la infraestructura de enriquecimiento de uranio
de Irán. En la primera fase, Stuxnet se propagó atacando
una vulnerabilidad de Microsoft Windows y después se
extendió lateralmente en la red hasta infectar selectivamente
equipos y software industrial de Siemens e impedir su buen
funcionamiento. Aunque no es la primera vez que los hackers
atacan sistemas industriales, sí es el primer caso documentado
de malware que incluye un rootkit para controladores lógicos
programables (PLC).
Siemens afirmó que el gusano no había causado ningún
daño a sus clientes, pero las instalaciones nucleares iraníes
adquireron de manera clandestina material de Siemens
embargado, que había resultado dañado por Stuxnet durante
el ataque. Curiosamente, debido a sus múltiples mecanismos
de propagación, Stuxnet salió de las instalaciones iraníes
e infectó Chevron, el gigante del petróleo. Sin embargo, según
los directivos de esta compañía, Stuxnet se percató de que
Chevron no era el blanco previsto y, al estar programado para
contener su carga perjudicial en tales casos, puso fin al ciclo
de vida del ataque. Como resultado, no dañó los sistemas de
Chevron y la empresa pudo eliminar el gusano.
Los expertos han hallado evidencias en el código fuente de Stuxnet

que relacionan el ataque APT con Estados Unidos e Israel, aunque
los representantes de ambos países niegan esta acusación.
Operación Aurora (2009)

La Operación Aurora fue un sonado ataque APT que se inició
a mediados de 2009 y se prolongó hasta diciembre del mismo
año. Google hizo pública su existencia por primera vez en
enero de 2010, en una entrada de un blog donde se indicaba
que el ataque se había originado en China y que estaba
dirigido contra las cuentas de Gmail de los defensores chinos
de los derechos humanos. También fueron víctimas docenas
de empresas, incluidas Yahoo, Symantec, Northrop Grumman,
Morgan Stanley y Dow Chemical.
Dos días después del ataque, McAfee declaró que los atacantes
habían aprovechado una vulnerabilidad desconocida en Microsoft
Internet Explorer y denominó el ataque "Operación Aurora".
Una vez infectado el sistema de una víctima, la etapa siguiente
del ataque consistía en establecer una conexión clandestina,
disfrazada de conexión SSL, con servidores de comando y control
basados en Illinois, Texas y Taiwán, algunos de los cuales eran
sistemas que funcionaban con ID de cuentas de clientes robadas
a Rackspace. A partir de ahí el equipo de la víctima iniciaba una
búsqueda lateral de fuentes de propiedad intelectual, en concreto
del contenido de los repositorios de código fuente.
La reacción en cadena de un
ataque APT nacional
En el capítulo 1 (en el apartado "El costo del fracaso"),
enumeraba los costos más frecuentes a los que se enfrentan
las empresas cuando son víctimas de una fuga de datos a gran
escala, incluidos los de análisis forenses, sanciones oficiales y
pérdidas de ingresos. Pero, ¿qué ocurriría si los responsables
de una APT decidieran atacar algo un poco más estratégico
que los datos de una empresa?
Imaginemos, por ejemplo, un ataque APT coordinado
contra las compañías eléctricas de una región extensa de
Estados Unidos, como el Nordeste. Imaginemos ahora
que los delincuentes lograran infectar los sistemas SCADA
(supervisión de control y adquisición de datos) que controlan
la red eléctrica de varios Estados y que desactivaran el servicio
durante días o incluso semanas. ¿Puede imaginar la reacción
en cadena de un ataque como este?
;; Fallan las redes eléctricas
;; Las gasolineras no pueden servir combustible
;; Los cajeros automáticos no pueden dispensar efectivo
;; Las tiendas de comestibles se vacían
;; Los hospitales y los servicios de emergencia no

pueden trabajar
¿Piensa que un ataque de esta naturaleza es imposible?

Piénselo otra vez. Según un informe de 2012 titulado
"Terrorism and the Electric Power Delivery System"
(El terrorismo y el sistema de suministro eléctrico) del
National Research Council, el huracán Sandy se quedaría en
nada frente a un ciberataque consumado a una red eléctrica
regional. El malware que se distribuye por Internet diseñado
para destruir sistemas de control podría provocar un apagón
durante semanas o meses en grandes regiones del país y
generalizar disturbios entre la población. De acuerdo con este
informe, los perjuicios de un ataque de este tipo costarían
miles de millones de dólares más que la destrucción causada
en 2012 por el huracán Sandy en la costa este.
EN LA WEB
Para acceder al informe del National Research Council, visite
www.nap.edu/catalog.php?record_id=12050.
Ciclo de vida de los ataques APT

La anatomía de las amenazas persistentes avanzadas varía
tanto como las víctimas a las que se dirigen. Sin embargo, los
expertos en ciberseguridad que han investigado las APT durante
los últimos cinco años han descubierto en ellas un ciclo de vida
bastante sistemático compuesto por varias fases diferenciadas:
;; Fase 1: intrusión inicial aprovechando las

vulnerabilidades del sistema
;; Fase 2: se instala malware en el sistema afectado
;; Fase 3: se inicia la conexión de salida
;; Fase 4: el atacante se propaga lateralmente
;; Fase 5: se extraen los datos comprometidos

Analicemos ahora en detalle cada una de las fases del ciclo de

vida de las APT.
Fase 1: intrusión inicial aprovechando

las vulnerabilidades del sistema
La primera fase de un ataque APT consiste en irrumpir en un
sistema de la organización seleccionada para infectarlo. Si se
logra detectar un intento de aprovechar la vulnerabilidad de
un sistema para irrumpir en él, resulta mucho más sencillo
identificar y contener el ataque APT. Pero si las defensas no
pueden detectar esta tentativa inicial, contener el ataque APT
es bastante más complicado, porque el atacante ha logrado
infectar el endpoint, puede alterar sus medidas de seguridad
y ocultar sus acciones a medida que el malware se propaga por
la red y extrae información.
Este tipo de ataques suelen realizarse a través de la Web
(exploit remoto) o de los archivos adjuntos a un mensaje de
correo electrónico (exploit local). El código del exploit está
integrado en un objeto web (por ejemplo, JavaScript, JPG)
o un archivo (por ejemplo, XLS, PDF) que infecta el sistema
operativo o la aplicación vulnerable, y permite al atacante
ejecutar código, como código shell, para conectar con los
servidores de comando y control y descargar más malware.
En el ataque contra RSA Security en 2011, un mensaje de
correo electrónico con el asunto “2011 Recruitment plan.xls”
(“Plan de contratación 2011.xls”) persuadió a un empleado
para que abriera una hoja de cálculo Microsoft Excel adjunta
cuya carga maliciosa logró infectar el sistema a través de una
vulnerabilidad desconocida en Adobe Flash. (Para obtener
más información, consulte el recuadro "RSA Security describe
el ataque APT" más adelante en este capítulo).
INFO TÉCNICA El código del exploit del sistema que desarrollan los atacantes
tiene como fin dañar la memoria o causar un desbordamiento
del búfer en el sistema operativo o la aplicación vulnerable,
lo que permite la ejecución de código arbitrario. En el caso
de los exploits locales, suelen utilizarse técnicas de ingeniería
social para iniciar con el usuario la interacción necesaria para
culminar la infección. En el caso de los exploits remotos, como
las descargas desapercibidas de Internet, la única interacción
necesaria es que el usuario visite la página web.
Fase 2: se instala malware en el

sistema afectado
Una vez dentro del sistema de la víctima, se ejecuta código
arbitrario para instalar el malware. Basta con visitar una página
web o simplemente hacer doble clic con el ratón para que el
sistema del usuario se infecte con la carga útil del malware.
INFO TÉCNICA No todos los correos electrónicos de phishing selectivo que
envía el autor de una amenaza APT contienen datos adjuntos.
Muchos contienen hipervínculos que, cuando el usuario hace
clic en ellos, abren un navegador web (o a veces otra aplicación,
como Adobe Reader, Microsoft Word o Microsoft Excel).
Cada vínculo se redirige a su vez a una dirección oculta con una
clave de codificación en base64. La dirección oculta conduce
a un dropsite, un sitio depósito que examina el navegador
en busca de vulnerabilidades y devuelve un descargador
de troyanos. Al ejecutarse, el descargador transmite una
instrucción codificada en base64 a otro dropsite distinto
del que se descarga un troyano (malware).
Fase 3: se inicia la conexión de salida

El malware instalado durante la fase anterior a menudo
contiene una herramienta de administración remota o RAT,
por sus siglas en inglés. En cuanto está configurada y activa,
la RAT "llama a casa", para lo cual establece una conexión
de salida, con frecuencia un canal cifrado con SSL, entre la
computadora infectada y un servidor de comando y control
que manejan los autores de la amenaza APT. Estos se toman
tantas molestias porque necesitan establecer comunicaciones
salientes que eludan los firewalls tradicionales y de próxima
generación, que permiten que el tráfico de la sesión fluya
de forma bidireccional si se inicia desde la red de confianza.
En cuanto la RAT logra conectar con el servidor de comando y
control, el atacante tiene pleno control sobre el host infectado.
Las instrucciones que envía a partir de ese momento se
transmiten a la RAT a través de dos vías: o bien el servidor
de comando y control conecta con la RAT o viceversa. Esta
última es la vía preferida, ya que es mucho menos sospechoso
que un host inicie una conexión externa desde dentro de la red.
Fase 4: el atacante se propaga

lateralmente
Es muy improbable que el dispositivo informático del usuario
final vulnerado en un principio contenga datos estratégicos.
Por lo tanto, el atacante de la APT debe propagarse

lateralmente a través de la red en busca de los hosts que
manejan los administradores de TI (con objeto de robar
credenciales administrativas) y de servidores y bases de datos
de gran valor que contengan datos confidenciales: el objetivo
último del ataque APT. Así es como funcionaba Flame.
INFO TÉCNICA El movimiento lateral no implica necesariamente el uso de
malware o de herramientas distintas de las que incluye el
sistema operativo del host comprometido, como shells de
comandos, comandos de NetBIOS, VNC, Windows Terminal
Services u otras herramientas similares que utilizan los
administradores de red para dar servicio a hosts remotos.
Una vez identificado el blanco final y reunidas las credenciales
adecuadas de inicio de sesión, el duro trabajo y la
determinación del atacante empiezan a dar sus frutos.
Fase 5: se extraen los datos

comprometidos
En esta etapa de la intrusión en la red, el responsable de
la APT tiene tres obstáculos que vencer. En primer lugar,
si transfiere todos los datos seleccionados de una sola vez
(los datos suelen cuantificarse en gigabytes), podría activar
una alerta de anomalía de flujo (si se utiliza tecnología NBA;
consulte el capítulo 2) por el volumen inusualmente elevado
de tráfico iniciado por el servidor o la base de datos atacada.
En segundo lugar, el atacante debe asegurarse de que nadie
pueda relacionarle con el host que recibe los datos. Y, por
último, si transfiere los datos como texto normal, podría
activar una alerta del sistema de prevención de fugas de
datos (DLP). Veamos cómo superan los tres obstáculos
los experimentados perpetradores de amenazas APT.
Para vencer el primer obstáculo, el astuto atacante extrae
los datos que le interesan del servidor o la base de datos
en "bloques", quizá en incrementos de 50-100 megabytes.
Una estrategia es agrupar archivos o registros en archivos
RAR comprimidos y protegidos con contraseña.
INFO TÉCNICA Algunos archivos RAR pueden formar parte de secuencias de
varios volúmenes, lo que permite al atacante dividir una gran
cantidad de datos en volúmenes. Cada archivo RAR tendría una
extensión que describiría el número del volumen, como parte1.rar
(primer volumen), parte2.rar, parte3.rar, y así sucesivamente.
El segundo obstáculo es un poco más difícil. El atacante necesita
extraer los datos lo antes posible, pero no puede arriesgarse
a enviarlos a un host cuyo rastro permita localizarle. Para

resolver esta dificultad, puede seleccionar un host virtual
alojado en un proveedor de servicios en la nube como zona
de almacenamiento temporal. De este modo, el host puede
destruirse inmediatamente una vez que se han extraído los datos.
El tercer y último obstáculo de esta fase puede solucionarse
cifrando los archivos RAR antes de transferirlos (normalmente
por FTP) al host provisional. La mayoría de los archivos
RAR admiten el fuerte cifrado AES de 128 bits, que es más
que suficiente.
El atacante oculta sus huellas

y pasa inadvertido
NO OLVIDE Si una empresa u organismo público abriga alguna esperanza
de detectar una APT, es mucho más probable que lo logre
cuando el ataque está en marcha. El motivo es que la mayoría
de los atacantes de APT son extremadamente buenos a la hora
de borrar sus huellas.
He aquí algunas de las tácticas que utilizan los responsables
de ataques APT durante y después del ataque para reducir
al mínimo el riesgo de detección:
;; Implantan malware para distraer al personal de

seguridad de TI y mantenerlo ocupado en otras cosas.
;; Lo propagan a los recursos compartidos de archivos
de red, que están relativamente desprotegidos y solo
se borran por completo en circunstancias extremas.
;; Borran los archivos comprimidos una vez extraídos
del servidor de almacenamiento provisional.
;; Borran el servidor provisional si está alojado en la
nube o lo desconectan si está bajo su control.
;; Desinstalan el malware en el punto de entrada inicial.
RSA Security describe el ataque APT

Después de la fuga de datos de de privilegios con las cuentas de
RSA Security en marzo de 2011 los usuarios no administrativos de
(descrita anteriormente en este otros sistemas. Repitió este proceso
capítulo en el apartado "Las APT en hasta dar con un blanco valioso: la
las noticias"), la empresa publicó en computadora de un administrador
su blog corporativo la descripción de servidores de TI.
exacta de cómo sucedió el ataque.
Poco después, el atacante localizó
Según un directivo de la empresa, unos servidores altamente
comenzó con un ataque de phishing confidenciales (que supuestamente
selectivo dirigido a determinados contenían algoritmos secretos
empleados, posiblemente de autenticación de dos
identificados a través de redes factores SecurID), los infectó
sociales. En este caso, el atacante y estableció acceso a servidores de
envió dos correos electrónicos almacenamiento temporales en
diferentes con phishing selectivo puntos de agregación claves para
a dos grupos pequeños de empleados preparar la extracción. Entonces
en un periodo de dos días; los entró en los servidores de su interés,
mensajes llevaban el asunto "Plan de eliminó los datos y los trasladó
contratación 2011.xls" y una hoja de a los servidores provisionales
cálculo Microsoft Excel adjunta. donde se procedió a su agrupación,
compresión y cifrado para extraerlos.
Los correos estaban lo
suficientemente bien diseñados Finalmente, el atacante utilizó el
p a ra p e r s u a d i r a u n o d e l o s FTP para transferir los archivos
empleados para que recuperara el RAR, protegidos con numerosas
mensaje de su carpeta de correo co nt ra s e ñ a s , d e l s e r v i d o r d e
basura (spam) e hiciera doble clic archivos de RSA a un servidor
en el archivo Excel adjunto. Sin él temporal externo en una máquina
saberlo, la hoja de cálculo contenía comprometida de un proveedor de
un exploit desconocido que instaló alojamiento web. Después extrajo
una herramienta RAT a través de los archivos y los eliminó del host
una vulnerabilidad de Adobe Flash. externo infectado para borrar todas
Una vez instalada, la RAT inició una las huellas del ataque.
conexión saliente con la que el
atacante obtuvo pleno control del A título personal diré que aplaudo
sistema del usuario. a RSA Security por revelar los
detalles precisos de este ataque
Como el PC comprometido APT. Al tener conocimiento de
inicialmente no era un activo toda la trama, otras empresas
estratégico, la siguiente táctica del pueden aprender del infortunio de
atacante consistió en desplazarse RSA y quizá implementar nuevas
lateralmente por la red infectando estrategias y tecnologías —incluida
hosts adicionales. En primer lugar se la protección contra amenazas de
hizo con las credenciales de acceso próxima generación (consulte el
del primer PC afectado, incluidas capítulo 4)— para mitigar el riesgo
las necesarias para acceder a una real de ataques APT.
cuenta de administrador de dominio.
A continuación realizó una escalada
Indicadores de un ataque APT

Aunque las APT son extremadamente difíciles de detectar, la
lista siguiente enumera los signos habituales que indican que
una empresa puede estar afectada por una amenaza de este tipo.
;; Hallar código para infiltrarse en un sistema en los

datos adjuntos a correos electrónicos o descargado
de una página web.
;; Detectar un incremento de inicios de sesión con
privilegios elevados en medio de la noche.
;; Detectar conexiones salientes a servidores de
comando y control conocidos.
;; Hallar troyanos de puerta trasera generalizados en
endpoints o en recursos compartidos de archivos de red.
;; Observar flujos de datos voluminosos e inesperados
desde el interior de la red, ya sea entre servidores,
de servidor a cliente, de cliente a servidor o entre redes.
;; Descubrir grandes bloques de datos (estoy hablando
de gigabytes, no de megabytes) en lugares donde no
debería haber datos.
ATENCIÓN
Desconfíe especialmente si encuentra datos comprimidos
en formatos que su empresa no suele utilizar.
;; Comunicaciones de red anómalas cifradas con SSL.
;; Entradas en el registro de eventos de aplicación de

Windows con comandos de activación y desactivación
del firewall y el antivirus.
SUGERENCIA Una razón fundamental por la que las organizaciones no

consiguen identificar los ataques APT es que sus dispositivos
de seguridad solo están (o están principalmente) configurados
para examinar el tráfico que entra en el perímetro. Adquirir
y/o configurar soluciones de seguridad que inspeccionen el
tráfico de salida aumenta notablemente las posibilidades de
detectar las APT y otros ciberataques.
Espero que no tenga nunca que enfrentarse a la fase de limpieza
que hace falta después de un ataque APT. Si se da el caso, será
una de las cosas más difíciles que tenga que hacer en su carrera
en seguridad de la información. La prevención y la detección
precoz —con el uso de tecnología de prevención de amenazas
de próxima generación— es el mejor modo de limitar las
posibilidades de ser víctima de un ataque APT. Para obtener
más información sobre esta nueva e innovadora categoría
de tecnología de seguridad para redes, pase al capítulo 4.
El CSO de servicios financieros recurre a FireEye

para cerrar sus brechas de seguridad de TI
Recientemente, el director de línea y supervisar el mismo tráfico
s e g u r i d a d ( C S O ) d e u n a g ra n perimetral. Las dos soluciones
multinacional de servicios financieros se probaron juntas durante un
—miembro de S&P 500 con casi periodo de seis semanas.
10 000 empleados— evaluó las
Los resultados de la doble evaluación
defensas de seguridad de la red de su
fueron concluyentes. El dispositivo
empresa y descubrió una brecha que
de FireEye detectó entre dos y tres
debía cubrirse de inmediato.
veces más amenazas legítimas que
La brecha se encontraba en la la solución de la competencia, con
p ro te c c i ó n co nt ra u n a n u e va cero falsos positivos. Aunque el
generación de amenazas de seguridad dispositivo competidor generó más
de TI que las defensas tradicionales alertas que el MPS de FireEye, el
basadas en firmas sencillamente no equipo de seguridad de TI demostró
pueden detectar. Estas amenazas que se debía a que el primero
incluyen los ataques desconocidos, generó numerosos falsos positivos.
el malware polimórfico, las amenazas
Optar por FireEye frente a la
combinadas y las APT, que son las
competencia fue una decisión
más dañinas.
fá c i l . F i re Eye n o s o l o o f re c e
El CSO ordenó a su equipo estudiar la mejor protección contra
todas las soluciones avanzadas amenazas avanzadas disponible
de protección contra amenazas para inspeccionar el tráfico de
disponibles en el mercado para entrada, sino que su filtro de salida
determinar cuáles estaban mejor (consulte el capítulo 4) facilita la
equipadas para detectar y prevenir detección de conexiones salientes
esta nueva clase de ataques a hosts de comando y control y del
malintencionados. Tras investigar malware introducido a mano en la
más de media docena de ofertas, él organización en portátiles u otros
y su equipo redujeron la lista a dos dispositivos móviles.
proveedores, uno de los cuales
Han transcurrido varios meses
era FireEye.
y ahora la empresa ya está bien
El CSO decidió valorar las dos p ro t e g i d a f re n t e a l a n u e va
soluciones a la vez. Probó el generación de ciberataques:
dispositivo FireEye Web Malware se detectan e impiden varios
Protection System (MPS) frente intentos casi a diario. Aunque la vida
a un dispositivo comparable del no ofrece garantías, actualmente
competidor. Ambos dispositivos el CSO de esta empresa duerme
se configuraron para funcionar en mucho mejor por las noches.
Capítulo 4
Introducción a la protección
contra amenazas de
próxima generación
En este capítulo
•• Visualización de una solución perfecta para mitigar los
modernos ciberataques actuales
•• Definición de la protección contra amenazas de próxima
generación y revisión de sus componentes principales
•• Comparación de la protección contra amenazas de próxima
generación con las tecnologías tradicionales de defensa
basadas en firmas y entornos de prueba o sandbox
E n la actualidad, empresas, universidades y organismos

públicos están siendo objeto de una serie de ciberataques
sin precedentes tanto en número como en nivel de sofisticación.
En este juego interminable del ratón y el gato, el gato tiene las
de ganar. A menos que su organización esté preparada, puede
ser su siguiente víctima.
Espero que la información de los capítulos anteriores le
haya servido para comprender la gravedad de las modernas
amenazas de próxima generación y por qué las defensas de
seguridad tradicionales no permiten neutralizarlas. Ha llegado
el momento de presentar una nueva categoría de defensa de
seguridad de la red que no existía hasta hace poco tiempo.
Estoy refiriéndome, por supuesto, a la protección contra
amenazas de próxima generación.
He comenzado este capítulo reflexionando (casi fantaseando)
sobre lo que realmente se necesita para luchar contra los
ciberataques actuales más sofisticados. El siguiente paso será
definir la protección contra amenazas de próxima generación
y explicar sus componentes y características fundamentales.
Tenemos muchos aspectos que tratar en este capítulo.

Empecemos por examinar lo que el mundo realmente necesita
para anticiparse a las amenazas de próxima generación.
Qué se necesita realmente

En un mundo perfecto no habría ciberataques. El malware,
los troyanos o las amenazas persistentes avanzadas (APT)
no existirían. Además, las empresas, las universidades
y los organismos públicos no tendrían que gastar más
de 20 000 millones de dólares al año para neutralizarlos.
Pero, por desgracia, no vivimos en un mundo perfecto. El dinero
y la política están alimentando las iniciativas de ciberdelincuentes,
hacktivistas y ejecutores de amenazas de Estado para utilizar
cualquier herramienta que tengan a su alcance con el fin de
infiltrarse en la red de su organización. Puesto que no vivimos en
un mundo perfecto, comentaremos lo que la sociedad necesita
para ir un paso por delante de los delincuentes.
Defensas sin el uso de firmas

Hoy día, las organizaciones necesitan un nuevo modelo
de protección contra amenazas en el que la arquitectura de
defensa en profundidad incorpore una capa que prescinda
del uso de firmas para neutralizar especialmente la nueva
generación de ciberataques.
Aunque las defensas de seguridad tradicionales son
fundamentales para bloquear los ciberataques conocidos, la
experiencia ha demostrado que los ciberataques desconocidos
están aumentando y son más preocupantes. Ahora que los
ataques desconocidos (zero-day), polimórficos y de amenazas
persistentes avanzadas son prácticamente desconocidos y se
están convirtiendo en el medio habitual para tener éxito, el
mundo necesita para frenarlos una solución que no utilice firmas.
Protección además de detección

Los sistemas de detección de intrusiones (IDS) precedieron a los
sistemas de prevención de intrusiones (IPS). Por definición,
los sistemas de detección de intrusiones solo pueden detectar
las amenazas conocidas (o amenazas desconocidas dirigidas
contra vulnerabilidades conocidas). Con el paso del tiempo,
las organizaciones reclamaron que los IDS no solo detectaran
los ciberataques sino que también los neutralizasen. Así
aparecieron los sistemas de prevención de intrusiones (IPS).
En esta línea, el mundo necesita una plataforma de protección
contra amenazas avanzadas que no solo encuentre la aguja
Capítulo 4 : Introducción a la protección contra amenazas de próxima generación | 33
en el pajar, sino que también neutralice todos los posibles

vectores de entrada.
Arquitectura de protección multinivel

En un mundo perfecto, la tecnología de la información tendría
bajo control cualquier dispositivo de computación conectado
a la red. En tal caso solo tendría que preocuparse de los
ciberataques lanzados desde fuera de la red que intentan
infiltrarse por la periferia.
No cabe duda de que el auge de la computación móvil y las
políticas en las empresas que incentivan el uso por parte de
los empleados de sus dispositivos personales (lo que se conoce
en inglés como BYOD, bring your own device) en ocasiones
han abierto la puerta a los ciberataques. El mundo necesita
una solución de protección contra amenazas avanzadas que
no solo supervise los ciberataques lanzados desde el exterior
hacia el interior, sino también en sentido contrario y en todos
los niveles, ya que, de esta forma, intentan establecer contacto
con el agresor o propagarse lateralmente por la red. Si no puede
frenar la entrada de amenazas a través de la Web, el correo
electrónico o la puerta principal de la oficina, al menos puede
impedir la comunicación con el exterior y la propagación.
Motor de detección de gran precisión

Al igual que ocurre con las defensas basadas en firmas
tradicionales, la clave es la precisión de la detección. Lo que el
mundo necesita para protegerse de forma adecuada contra las
amenazas de próxima generación es una solución de protección
contra amenazas avanzadas de alta precisión, sin falsos positivos
(archivos inofensivos clasificados como peligrosos) ni falsos
negativos (archivos peligrosos clasificados como inofensivos).
ATENCIÓN Las plataformas de seguridad con funcionalidades de detección
deficientes generan falsos positivos y falsos negativos. Los falsos
positivos son especialmente “inoportunos” por la cantidad de su
valioso tiempo que dedican los analistas de seguridad a perseguir
falsas alarmas. Por su parte, los falsos negativos pueden ser
“fatales para la empresa” porque el malware atraviesa el
dispositivo de seguridad de la red sin ser detectado.
Con el respaldo de información

sobre amenazas globales
Cada ciberataque tiene una “zona cero”: un solo host que es el
primero al que se dirige un determinado ciberataque en todo el
mundo. Lo que se necesita a nivel global es un mecanismo que
permita a los sistemas de protección contra amenazas avanzadas

compartir la información tanto dentro de cada organización
como entre diferentes organizaciones de todo el mundo.
Puede que no vivamos en un mundo perfecto, pero existe una
solución perfecta para rechazar los ataques más sofisticados
que se producen en la actualidad.
La clave de esta solución es la protección contra amenazas de
próxima generación.
Definición de la protección contra

amenazas de próxima generación
La protección contra amenazas de próxima generación
(o NGTP por sus siglas en inglés) pertenece a una nueva
generación de tecnologías de seguridad de la red específicamente
diseñadas para identificar y evitar los nuevos ciberataques
modernos. Concebida para mejorar los sistemas de seguridad
tradicionales, en lugar de sustituirlos, la NGTP introduce una
nueva capa en la arquitectura de defensa en profundidad con
el fin de crear un tejido de protección contra las amenazas
que ofrezca protección contra los ciberataques que pasan
inadvertidos a las defensas basadas en firmas habituales.
Las plataformas NGTP normalmente se suministran en
determinados dispositivos montados en bastidor de alto
rendimiento. Los proveedores de NGTP predilectos ofrecen
una plataforma integrada que examina el tráfico de mensajes
de correo electrónico, el tráfico de la Web y los archivos en
reposo, y comparte la información sobre las amenazas entre
dichos vectores de ataque.
ATENCIÓN Las plataformas NGTP no se parecen a ningún dispositivo de
seguridad de la red disponible en el mercado. Los dispositivos
NGTP examinan el tráfico, los archivos o ambos con el fin
de detectar miles de características sospechosas, incluidas
técnicas de ocultación, como la codificación XOR, y otras
prácticas encubiertas. Las sesiones se reproducen en un
entorno de ejecución virtual (seguro) (máquinas virtuales
con un motor personalizado de virtualización específicamente
diseñado para analizar la seguridad) con el fin de determinar
si el tráfico sospechoso contiene malware en realidad
(la sección “Cómo funciona” de este capítulo ofrece más
información sobre este tema).
¡Avisen a la brigada antiexplosivos!

Siempre he sido partidario de Tras buscar con ahínco una analogía
utilizar analogías con situaciones mejor durante un tiempo, creo
reales, y clichés en algunos casos, haberla encontrado. ¿Alguna vez
para describir cómo funciona ha oído en las noticias una historia
una tecnología determinada o las relacionada con un aviso a la
ventajas que ofrece. Creo que he brigada antiexplosivos para que
encontrado una analogía perfecta examine una bolsa sospechosa
para describir la protección contra que han dejado en un aeropuerto
amenazas de próxima generación. o en una zona muy transitada,
como Times Square en Nueva
Al principio pensé en la semejanza
York? En estos casos, la brigada
con “encontrar una aguja en un
antiexplosivos envía un robot para
pajar”. Aunque es acertada en el
que examine la bolsa sospechosa, la
caso de las soluciones NGTP, en la
recoja y la deposite, si es necesario,
actualidad las grandes empresas
en un camión capaz de resistir
y los organismos públicos son
explosiones de gran envergadura
blanco de ciberataques avanzados
sin que afecte a la zona circundante.
varias veces al día, por lo que las
soluciones NGTP tienen que buscar Si comparamos esta analogía con
docenas de agujas en un pajar, en una solución NGTP, la persona que
lugar de una sola. avisa a la brigada antiexplosivos
es el algoritmo de detección de
Después reparé en la analogía con
malware, el robot es el subsistema
el maniquí de las simulaciones
encargado de depositar el malware
de accidentes, en la que el tráfico
sospechoso en el camión y el camión
sospechoso (supuesto malware) es
es la sesión virtual empleada para
el maniquí y la sesión de Microsoft
“activar ” el supuesto malware
Windows que se ejecuta en el
(bolsa sospechosa) y determinar
motor Virtual Execution (réplica
sus efectos (una explosión), pero en
del entorno de destino) es el
un entorno seguro.
vehículo. Esta analogía tampoco es
mala, pero falla porque el coche se Espero que esta analogía le ayude
estrella siempre con independencia a entender el funcionamiento de
de quién vaya en su interior. la tecnología NGTP y le sirva para
Con frecuencia los archivos que explicárselo a otros compañeros
examina un dispositivo NGTP son con menos conocimientos técnicos.
simplemente inofensivos.
Comparación con las defensas

basadas en firmas tradicionales
En el capítulo 2 (consulte la sección “Cómo se impone el
enemigo”), he explicado por qué y cómo sortean los nuevos
ciberataques las defensas de seguridad basadas en firmas
tradicionales, como firewalls (con firmas de amenazas),
dispositivos IPS, puertas de enlace de correo electrónico
y la Web seguras, y antivirus. Como todavía no había

presentado la tecnología NGTP, no comparé en el acto estas
defensas con las soluciones NGTP, pero lo haré ahora.
En la Tabla 4-1 se incluye un resumen comparativo de las
defensas basadas en firmas tradicionales y las soluciones
NGTP. Recuerde que las soluciones NGTP constituyen una
nueva capa arquitectónica que prescinde de las firmas para
mejorar las defensas basadas en firmas.
Soluciones Defensas
Comparación de protección NGTP tradicionales
Detección de malware conocido
mediante firmas de IPS  
Identificación de ataques
en binarios codificados  
Reproducción del tráfico sospechoso
en un entorno virtual seguro 

Inspección del tráfico saliente para
bloquear los canales de devolución 

de llamadas dinámicos
Generación automática de
información sobre amenazas para 

defenderse de ataques selectivos
Tabla 4-1: Comparación de NGTP con las defensas tradicionales

INFO TÉCNICA
En la sección “Características fundamentales”, incluida más
adelante en este capítulo, se examinan de forma detallada las
protecciones que incluye la Tabla 4-1.
Comparación con las tecnologías de

prueba (sandbox)
Un entorno de prueba o sandbox es básicamente una versión
autónoma (basada en Windows, por lo general) a pequeña
escala de un entorno de computación que ofrece una suite de
aplicaciones y servicios mínimos. Originalmente se creó para
que los desarrolladores de software probaran un nuevo código
de programación en un entorno seguro. Los profesionales de
seguridad de la información adoptaron esta tecnología con
posterioridad con el fin de examinar manualmente los binarios
sospechosos sin comprometer los sistemas de producción.
Normalmente, el sistema operativo y las aplicaciones del
entorno de prueba (máquina virtual) coinciden con los equipos
de escritorio de la organización, por lo que el supuesto malware
puede aprovechar las mismas vulnerabilidades inherentes.
ATENCIÓN Las organizaciones en las que existen varias configuraciones

de equipos de escritorio, como las de mayor tamaño, resultan
especialmente vulnerables cuando confían en supuestas
soluciones NGTP que incorporan una tecnología básica de
entorno de prueba. Si un archivo infectado por malware se
analiza en un entorno de ejecución virtual equipado con sistemas
operativos o aplicaciones que no reflejan el entorno al que se
dirige el malware, el archivo puede clasificarse como inofensivo
y convertirse en un falso negativo potencialmente peligroso.
Como su nombre indica, un entorno de prueba es un entorno
seguro que sirve para “detonar” el posible malware (consulte
el apartado anterior “¡Avisen a la brigada antiexplosivos!” de
este capítulo) y averiguar qué efectos pretendía producir. Sin
embargo, en sí misma no es una técnica de análisis escalable
dado el número y el volumen de los objetos sospechosos y los
tipos de archivos utilizados para ocultar el código del exploit.
Desafortunadamente, los ciberdelincuentes y ejecutores de
amenazas APT pueden detectar si el malware se ha ejecutado
en un entorno de prueba y, en tal caso, pueden reprimir su
carga útil nociva. Por todas estas razones, las tecnologías
tradicionales de entorno de prueba no resultan eficaces
ante amenazas sofisticadas.
ATENCIÓN Otra advertencia con respecto al uso de tecnologías de
sandbox. No importa cómo lo llame el proveedor de NGTP;
si el proveedor aloja el componente del entorno de prueba en
la "nube", entran en juego consideraciones relacionadas con la
seguridad, el rendimiento y la privacidad (consulte el apartado
“No se quede atrapado en la nube”). Las soluciones NGTP de
más éxito ofrecen alto rendimiento, dispositivos dedicados
que permiten probar el supuesto malware in situ en unos
segundos, en lugar de tardar minutos u horas, y al mismo
tiempo garantizan la confidencialidad de los datos.
No se quede atrapado en la nube

Algunos proveedores de soluciones Aparte de la cobertura de seguridad
NGTP insisten en la posibilidad de limitada, sin una detección de
realizar análisis virtual de malware vulnerabilidades precisa o un
en la nube, lo que reduce en gran análisis heurístico de filtrado
medida el consumo de recursos previo, la exportación de binarios
(CPU, memoria, disco) en sus o archivos PDF a la nube para
dispositivos de hardware. En este incluirlos en una cola de análisis
caso, los dispositivos solo examinan (entre miles de solicitudes) no es
pequeñas parcelas secundarias escalable. Este análisis ineficaz
de tráfico y redirigen los objetos retrasa la detección del malware
sospechosos a la nube, en lugar de y proporciona a los delincuentes
examinar el objeto en un entorno una forma sencilla de vulnerar
de prueba virtual. los mecanismos de seguridad.
Simplemente atasca los canales con
Suena bien, ya que la arquitectura
binarios o archivos PDF inofensivos.
basada en la nube transfiere el
análisis, pero cuando se analiza Para terminar, cuando se exportan
más detenidamente, este diseño binarios o archivos PDF a la nube
presenta tres problemas: cobertura para analizarlos, existe el riesgo de
de seguridad, escalabilidad exportar un archivo confidencial
y privacidad. sin el conocimiento de la
organización. Esto suscita una gran
El código malicioso puede estar
preocupación en determinados
incrustado en docenas de tipos de
países europeos en los que las leyes
archivos y objetos web diferentes;
de confidencialidad son estrictas.
sin embargo, en el análisis de
malware virtual que se efectúa en Por estas razones, los proveedores
la nube solo suelen examinarse de NGTP que lideran el mercado
dos o tres tipos de archivos. Con ofrecen dispositivos personalizados
frecuencia ocurre que el código de alto rendimiento que no solo
malicioso incrustado en un formato analizan el tráfico y neutralizan
de archivo no analizado consigue las amenazas, sino que también
eludir con facilidad las soluciones realizan pruebas de malware
NGTP basadas en la nube. virtuales en el propio entorno.
Componentes fundamentales
Ahora que ya se ha hecho una idea de lo que es la protección
contra amenazas de próxima generación, incluidas sus
analogías con las defensas de seguridad tradicionales y sus
diferencias con la tecnología estándar de entorno de prueba,
seguiremos profundizando y analizaremos los componentes
fundamentales de las principales soluciones NGTP.
Malware Protection System

En la base de todas las soluciones NGTP se encuentra el
componente Malware Protection System (MPS). Este componente
analiza todos los tipos de objetos sospechosos que contienen el
tráfico de la Web, los mensajes de correo electrónico o los archivos
en reposo. Asimismo, utiliza la información sobre amenazas que
genera MPS para neutralizar las amenazas conocidas y frenar
tanto los ataques entrantes como las comunicaciones salientes
no autorizadas.
ATENCIÓN Para identificar la presencia de posible malware en el tráfico de
la Web y en los mensajes de correo electrónico emplea tácticas
diferentes. Algunos proveedores ofrecen una solución MPS
universal que intenta detectar las amenazas en los tres frentes
(o en dos, si no es capaz de examinar los archivos en reposo).
Esas soluciones deben evitarse porque presentan altos
porcentajes de falsos positivos y falsos negativos. También deben
evitarse las soluciones NGTP que combinan funciones MPS con
otros componentes de seguridad de la red, como firewall, IPS y
control de aplicaciones. Estas soluciones suelen ofrecer funciones
de análisis “básicas” que se limitan a archivos .exe, .pdf o .dll.
Motor Virtual Execution

Antes en este capítulo he comentado la función que desempeña
el motor Virtual Execution y lo he comparado con la tecnología
de entorno de prueba, o sandbox, común. No puedo dejar
de hacer hincapié en lo importante que es este componente
para la eficacia del sistema de protección contra amenazas
de próxima generación y para defender a su organización de
los ciberataques avanzados que se producen en la actualidad.
ATENCIÓN Un buen motor Virtual Execution puede filtrar programá
ticamente los objetos para detectar los que son sospechosos,
determinar el perfil de las posibles víctimas y, a continuación,
ejecutar el código sospechoso en el sistema operativo y las
aplicaciones a las que se dirige con el fin de maximizar las
probabilidades de detonar el exploit del sistema y la carga
útil peligrosa que lleva aparejada. Prácticamente no debería
generar falsos positivos ni falsos negativos. Esto puede marcar
la diferencia entre ganar y perder la batalla contra la nueva
generación de ciberataques modernos.
INFO TÉCNICA Las mejores soluciones NGTP contienen motores Virtual
Execution capaces de analizar docenas de tipos de archivos
(en lugar de archivos .exe y .dll solamente), incluidos archivos
asf, com, doc, docx, dll, exe, gif, ico, jpeg, jpg, mov, mp3, mp4,
pdf, png, ppsx, ppt, pptx, qt, rtf, swf, tiff, unk, vcf, xls, xlsx, zip
y muchos más.
Una vez que el motor Virtual Execution cataloga una supuesta

amenaza como malware, genera información sobre ella de
forma automática y la distribuye a los demás dispositivos
MPS (si dispone de un Central Management System, consulte
la sección siguiente), además de a otras organizaciones del
mundo (consulte la sección siguiente “Red de información
sobre amenazas en la nube”).
Central Management System

Aunque la mayor parte de los dispositivos NGTP proporcionan
una interfaz gráfica de usuario (GUI) basada en la Web para la
administración local, los mejores proveedores de NGTP ofrecen
una GUI local y un Central Management System separado
que facilitan la administración centralizada, la supervisión de
amenazas consolidadas, la generación de informes y alertas,
y la distribución de información sobre malware.
Red de información sobre amenazas

en la nube
En el apartado anterior de este capítulo, “No se quede atrapado
en la nube”, comenté por qué no se considera adecuado analizar
el malware en la nube desde el punto de vista de la seguridad,
la escalabilidad y la privacidad. Sin embargo, la nube es el sitio
perfecto para alojar un componente fundamental de los sistemas
NGTP: la red de información sobre amenazas en la nube.
La red de información sobre amenazas en la nube interconecta
todos los dispositivos MPS, o al menos los de proveedores que
ofrecen ese servicio, con el fin de compartir la información
relativa a los ciberataques recién descubiertos (perfiles de
malware y destinos de devolución de llamadas).
Los proveedores de NGTP que ofrecen una red de información
sobre amenazas en la nube (no todos la ofrecen) suelen
proponer a los clientes dos alternativas: (1) la posibilidad
de recibir información sobre amenazas y (2) la posibilidad de
compartir y recibir información sobre amenazas. Gran parte
de las organizaciones eligen la última opción debido a que los
proveedores ofrecen un descuento por compartir la información.
SUGERENCIA Para crear la información relacionada con las amenazas solo
se necesitan los metadatos de los objetos infecciosos, por lo
que las organizaciones no tienen que preocuparse por que los
datos confidenciales salgan de la red.
Ahora que conoce los componentes básicos de las soluciones
NGTP y las diferencias que presentan con respecto a las
tecnologías de defensa basadas en firmas tradicionales y de
entorno de prueba, continúe con el capítulo 5 para comprender
mejor cómo funcionan en realidad las soluciones NGTP.
Capítulo 5
Análisis de la protección
contra amenazas de
próxima generación
En este capítulo
•• Cómo mitiga la tecnología NGTP las amenazas de próxima
generación en los mensajes de correo electrónico,
las comunicaciones web y los archivos en reposo
•• Análisis de las características fundamentales de las
principales soluciones NGTP
•• Integración de NGTP en la infraestructura de red existente
L as defensas de seguridad basadas en firmas no bastan

para neutralizar la nueva generación de ciberataques
modernos, como los ataques desconocidos (zero-day), el malware
polimórfico, las amenazas combinadas y, lo más importante, las
amenazas persistentes avanzadas (APT). La nueva generación de
ciberataques requiere un planteamiento completamente nuevo.
Ahora que ya sabe qué es la protección contra amenazas
de próxima generación (información del capítulo 4), nos
ponemos manos a la obra para explicar cómo funciona, cuáles
son las características importantes y cómo se integra una
plataforma NGTP en la infraestructura de TI existente.
Cómo funciona
Empecemos por describir la ubicación de los dispositivos MPS en
función de cómo llegan las amenazas a la organización. Por norma
general, los administradores sitúan los dispositivos MPS en la
última línea de defensa para examinar las amenazas recibidas
a través del tráfico de correo electrónico o la Web que logran
eludir los firewall y sistemas IPS. Los dispositivos web MPS se
sitúan detrás de las puertas de enlace de la Web seguras, mientras
que los dispositivos Email MPS deberían instalarse detrás de

las puertas de enlace antispam y de correo electrónico seguras
(pero delante del servidor de correo electrónico de la empresa).
Consulte el despliegue típico de los dispositivos web y Email
MPS en la Figura 5-1. Los dispositivos MPS también deben
desplegarse en el centro de datos para analizar los recursos de
archivos compartidos con el fin de frenar la propagación lateral
del malware y proteger los datos confidenciales.
Servicio en la nube
(correo electrónico)
Internet
Puerta de enlace
antispam
Servidores
Router de correo
de salida
Firewall
Web MPS
(comprobar
contenido
malicioso CMS
en las URL)
Email MPS
(analizar
Conmutador adjuntos de
correo para
central descubrir APT)
Usuarios
SIEM
Figura 5-1: Diagrama de implementación de NGTP típica
NO OLVIDE Los ataques APT se producen en varias fases. Para garantizar

la protección en todas las fases, desde el exploit inicial hasta
la fuga de datos, debe diseñarse una plataforma MPS que
maximice la capacidad para rechazar ataques y evitar la
violación de la seguridad.
A continuación se describen paso a paso las funciones típicas
de un sistema NGTP con la plataforma MPS desplegada:
Paso 1: el dispositivo MPS analiza el tráfico entrante
y saliente (y los archivos en reposo) para detectar amenazas
conocidas, devoluciones de llamadas a centros de comando
Capítulo 5 : Análisis de la protección contra amenazas de próxima generación | 43
y control, phishing selectivo y binarios/páginas web

sospechosos. Cuando se detecta una amenaza conocida
o la devolución de llamadas a un centro de comando y control,
la conexión se bloquea y se genera una alerta.
Paso 2: para detectar ataques zero-day, el dispositivo
MPS identifica binarios, adjuntos o páginas web que son
sospechosos y los reproduce en un motor Virtual Execution
(en el mismo dispositivo) con el fin de analizarlos. Se trata de
una reconstrucción de cada byte del mismo tráfico sospechoso
dirigido a la víctima elegida.
SUGERENCIA Cuando evalúe una solución NGTP, asegúrese de que su
componente MPS pueda analizar mucho más que el tráfico
HTTP, ya que las amenazas utilizan docenas de protocolos,
como HTTP, FTP, IRC, protocolos personalizados y otros.
Paso 3: el motor Virtual Execution se inicia con un sistema
operativo Microsoft Windows concreto (con parches y sin
parches) y con las aplicaciones relacionadas (por ejemplo,
Microsoft Office, Microsoft Internet Explorer, Adobe Reader)
del host al que se dirige la supuesta amenaza. El objeto se
reproduce y se observa para detectar cualquier comportamiento
malicioso, como daños en el sistema de archivos raíz, el ataque
a una aplicación mediante "heap spray", el registro de un nuevo
servicio de Windows o la devolución de una llamada a una URL
infectada conocida. Cuando se determina que los binarios son
inofensivos, el evento se registra y la máquina virtual se reinicia.
Paso 4: cuando se confirma la existencia de actividad
maliciosa desconocida, la máquina virtual captura el resto del
ciclo de vida del ataque. Además de cargar el malware binario,
se graban todas las actividades del host generadas por el
malware y el tráfico de la red. Entonces se genera información
sobre las amenazas para detener la devolución de llamadas
a través de la red, se registra una alarma de alta prioridad,
se graban los datos forenses del malware y se crea un nuevo
perfil de protección contra el malware para neutralizar esta
amenaza, que deja de ser desconocida.
NO OLVIDE El ataque fracasa y los datos confidenciales permanecen seguros
en la organización porque el tráfico de devolución de llamadas
nunca sale de la red del host actual y el delincuente no lo sabe.
Paso 5: la nueva información sobre amenazas se remite al
sistema Central Management System (CMS), desde donde
se distribuye a otros dispositivos MPS de la organización.
Si la organización está suscrita a la red de información
sobre amenazas en la nube (consulte el capítulo 4), todas las
organizaciones integrantes quedan protegidas al instante.
Despliegues en línea y fuera de banda

Las organizaciones tienen dos alternativas a la hora de desplegar
los dispositivos Email y Web MPS. Pueden configurarlos para
que funcionen en línea (activo) o fuera de banda (pasivo).
(Los dispositivos MPS de recursos de archivos compartidos
siempre se configuran fuera de banda para analizar archivos en
reposo y pueden poner los objetos maliciosos de estos recursos
en cuarentena si se configuran para ello).
Los despliegues en línea permiten a la organización evitar
que los ciberataques avanzados recién identificados se repitan
en el futuro porque impiden la devolución de llamadas a los
servidores de comando y control. El dispositivo MPS se sitúa
directamente en el flujo del tráfico (igual que un IPS o un
agente de transferencia de mensajes, o MTA).
Los dispositivos MPS también se pueden configurar para que
funcionen fuera de banda en el modo solo de supervisión, en el
que el motor MPS genera una alerta cuando detecta ciberataques
(igual que IDS), o en el modo de restablecimiento TCP, en el que
el MPS envía paquetes de restablecimiento TCP a cada partner
de sesión para interrumpir las sesiones TCP fraudulentas.
SUGERENCIA Para que funcione fuera de banda, conecte el dispositivo web
o Email MPS a un puerto SPAN de conmutación duplicado.
Si no hay ningún puerto SPAN disponible, bastará con un
puerto de acceso para pruebas (TAP) de red (de Gigamon,
VSS Monitoring, NetOptics y otros); también puede configurar
agentes de transferencia de mensajes de subida para enviar
una copia oculta al dispositivo Email MPS.
Al principio muchas organizaciones utilizan la supervisión
fuera de banda para evaluar la precisión y la estabilidad del
sistema. Una vez que la organización se encuentra cómoda
con el sistema NGTP, los dispositivos MPS se reconfiguran
en el modo de bloqueo en línea.
ATENCIÓN Si pretende instalar los dispositivos MPS para que funcionen
en línea, asegúrese de seleccionar modelos con conectividad
desbloqueo en caso de error (fail-open). En el caso poco
probable de que el dispositivo se quedara sin corriente eléctrica
o se desactivara de algún otro modo, el tráfico seguiría fluyendo
a través de las interfaces de cobre, en lugar de interrumpirse
bruscamente. (Las interfaces de fibra siempre dejan pasar el
tráfico, con independencia del estado del dispositivo).
Características fundamentales
Como ya sabe de qué trata NGTP y tiene una idea de cómo
funciona, repasemos las características fundamentales que
suelen incluir las soluciones NGTP actuales más importantes

para ocuparnos de cada fase del ciclo de vida de los ataques ATP.
SUGERENCIA El conjunto de características de las soluciones NGTP varía en
gran medida. Durante el repaso de las características, anote
las que sean especialmente útiles a su organización. Luego
consulte en el capítulo 6 otros aspectos que debe tener en
cuenta cuando compre soluciones NGTP.
Ejecución virtual de objetos sospechosos

Para detectar amenazas desconocidas es fundamental el análisis
sin el uso de firmas. Asegúrese de que la solución ofrezca la
posibilidad de reproducir sin riesgo el tráfico que contiene
objetos sospechosos, como páginas web, binarios y archivos, en
un entorno de ejecución virtual. Esto no es lo mismo que enviar
un archivo o ejecutable sospechoso a un entorno de prueba. La
reproducción consiste en capturar y reconstruir el tráfico byte por
byte en un entorno de ejecución virtual. Por ejemplo, una página
web consta de entre 20 y 200 objetos diferentes procedentes
de docenas de ubicaciones web diferentes. La tecnología de
reproducción es la única que permite analizar ataques basados
en la Web complejos, como los ataques basados en descargas.
ATENCIÓN No crea que la nueva generación de ciberataques actuales solo
va dirigida a archivos EXE o DLL. Como he mencionado en el
capítulo 4, el malware puede estar incrustado en las páginas
web y en muchos tipos de archivos.
Es obligatorio que el motor Virtual Execution reduzca al
mínimo la presencia de falsos positivos y falsos negativos.
Un falso positivo (archivo inofensivo clasificado como
peligroso por error) puede impedir que una parte importante
del contenido llegue a su destino. Un falso negativo (archivo
peligroso clasificado como inofensivo por error) puede ser
devastador, sobre todo si se permite el acceso a un archivo
que contiene malware avanzado durante un ataque APT.
Bloqueo fast-path
El bloqueo de devolución de llamadas salientes y amenazas
conocidas entrantes está relacionado con el análisis sin el uso
de firmas. Aunque he dedicado bastante tiempo a describir las
limitaciones de las defensas basadas en firmas tradicionales,
también he admitido que son importantes para neutralizar
ataques conocidos en una estrategia de defensa en profundidad.
Para protegerse de forma eficaz contra ataques conocidos
y desconocidos se precisan soluciones NGTP que incorporen
técnicas de defensa basada en firmas y sin el uso de firmas.
Sin embargo, la función de bloqueo fast-path del dispositivo

MPS (en línea) está diseñada para bloquear o poner el ataque
en cuarentena de inmediato en los casos en que el IPS, NGFW,
puerta de enlace de la Web segura, antispam u otro dispositivo de
seguridad de la red no detecte un ataque con malware conocido.
Cuando el malware avanzado consigue entrar en la organización
(recuerde que puede introducirse en la oficina a través de un
dispositivo de computación móvil), intenta devolver la llamada al
host de comando y control para descargar software RAT (consulte
el capítulo 3) o recibir instrucciones del delincuente. El dispositivo
MPS está preparado para interrumpir las sesiones conectadas
a URL maliciosas y direcciones IP peligrosas o que emplean
protocolos de malware personalizados. Si el filtro de devolución de
llamadas del dispositivo MPS detecta un intento de conexión de
un host interno a un host de comando y control externo conocido,
la conexión se bloquea (si el MPS está configurado para funcionar
en línea) y se genera una alerta (consulte la Figura 5-2).
Figura 5-2: Ejemplo de la actividad de devolución de llamadas

de FireEye
NO OLVIDE A diferencia de la mayoría de dispositivos de seguridad
tradicionales, los dispositivos MPS están diseñados para
analizar el tráfico de Internet entrante y saliente.
Archivos maliciosos en cuarentena

Los archivos, mensajes de correo electrónico y adjuntos
maliciosos que detecta el motor Virtual Execution pueden
ponerse en cuarentena y almacenarse en el dispositivo MPS
(o la consola de administración central si está disponible;
consulte la sección siguiente) para realizar otros análisis
forenses además del efectuado por MPS. Los investigadores
de delitos informáticos del FBI u otras autoridades policiales
pueden recopilar los archivos como prueba digital del delito.
Administración centralizada
Es muy recomendable que las organizaciones que cuentan
con tres o más dispositivos MPS adquieran un dispositivo
de administración centralizada (a veces denominado Central
Management System) para supervisar y administrar el sistema
NGTP de forma centralizada a través de una interfaz basada en
la Web de fácil uso. Entre las tareas que suelen llevarse a cabo
mediante la consola de administración se incluyen:
;; Incorporación de datos de eventos de todos los dispositivos

MPS y proceso de los datos en paneles, informes y alertas
;; Centralización de los objetos maliciosos que contienen
malware y se han puesto en cuarentena
;; Recopilación y distribución de la información
sobre amenazas generada por los dispositivos MPS
internos y procedente de Malware Protection Cloud;
transferencia de la información sobre amenazas a la
nube de protección contra malware, si se permite
;; Configuración del dispositivo MPS y aplicación de los
ajustes a cada dispositivo MPS de forma individual
o en grupos
;; Descarga y aplicación de actualizaciones de software
a todos los dispositivos MPS desde una ubicación central
;; Supervisión del rendimiento de todos los dispositivos MPS
;; Exportación de datos de eventos a SIEM (administración

de eventos e información de seguridad), sistemas de
administración de incidentes u otras aplicaciones externas
;; Control del acceso de usuarios y los privilegios
administrativos
Algunos proveedores de NGTP ofrecen varios modelos de

dispositivos de administración centralizada entre los que
puede elegir en función de la cantidad de dispositivos MPS
administrados y el volumen de ciberataques.
Compartir la información sobre

el malware
Parte del atractivo de las soluciones NGTP es la protección
automática que ofrece a las organizaciones la información sobre
amenazas que se genera localmente y que pueden compartir
con otras organizaciones. A través de la red de información
sobre amenazas en la nube (propiedad del proveedor de
NGTP y gestionada por el mismo), cuando una organización

detecta una amenaza nueva (“zona cero” del ataque), las demás
organizaciones quedan protegidas en cuestión de minutos.
Muchos denominan a esto inmunidad colectiva.
Aunque es cierto que las organizaciones pueden rechazar los
ataques APT con un dispositivo MPS independiente, gracias
a la inmunidad colectiva el análisis de la seguridad resulta
más efectivo, ya que centra los recursos del MPS en analizar
los ciberataques que son realmente desconocidos. Además,
las organizaciones dispuestas a compartir la nueva información
sobre amenazas de forma anónima en la nube se benefician de
un descuento en la suscripción anual a dicha red de información.
NO OLVIDE Es importante saber que ninguno de sus archivos o contenido
se enviarán nunca a la red de información sobre amenazas
en la nube. Por ejemplo, los perfiles de protección contra
amenazas solo incluyen datos anónimos, como una suma
de comprobación del archivo.
Reglas personalizadas
Los principales sistemas NGTP permiten a los usuarios
más avanzados importar reglas de detección de malware
personalizadas que se crean con el lenguaje YARA. (YARA
es una herramienta diseñada para ayudar a los investigadores
de malware a identificar y clasificar las muestras de malware).
Cuando el dispositivo MPS activa una regla YARA importada,
el motor Virtual Execution analiza de inmediato los objetos
asociados para detectar posibles ciberataques. Esto es útil
para organizaciones que suelen ser el blanco de una clase
concreta de ciberataques.
EN LA WEB
Puede obtener más información sobre YARA en
http://code.google.com/p/yara-project/.
Integración con la suite antivirus

Las soluciones NGTP más populares se pueden integrar con suites
antivirus (AV) habituales, como las de McAfee, Symantec, Sophos
y otros proveedores (consulte la Figura 5-3). La integración de
la solución NGTP con una suite antivirus permite analizar mejor
cada objeto malicioso para determinar si la plataforma AV ha sido
capaz de detectar el malware interceptado por el dispositivo MPS.
Gracias a esto, las organizaciones pueden priorizar de manera
más eficaz la respuesta a los incidentes.
Figura 5-3: Ejemplo de integración de la plataforma antivirus

de FireEye
Controles de acceso basados

en funciones
Gran parte de los sistemas NGTP proporcionan varias
funciones de usuario para garantizar que los privilegios
administrativos se conceden exclusivamente al personal de
TI que los necesita para realizar su trabajo. Las funciones
habituales de los usuarios de NGTP son:
;; Administrador del sistema: control

administrativo total sobre todo el despliegue de NGTP
;; Administrador regional: control administrativo
sobre uno o varios dispositivos MPS
;; Analista de seguridad: acceso exclusivo a paneles
e informes; sin autorización para modificar o eliminar
los datos de eventos, ni para modificar la configuración
del sistema
Panel
El panel de NGTP (consulte la Figura 5-4) es la principal
interfaz que utilizan los analistas de seguridad para supervisar
la seguridad de la red y la carga de trabajo de los dispositivos
MPS de la organización. Los paneles son fáciles de interpretar
y su acceso se realiza a través de navegadores web. Los mejores
paneles ofrecen la posibilidad de acceder a los detalles de los
eventos para descubrir los pormenores de los ciberataques
y ayudar al analista de seguridad a decidir los pasos siguientes.
Figura 5-4: Ejemplo de panel de FireEye
Informes
Las soluciones NGTP actuales ofrecen formas cómodas y eficaces
de rastrear tipos específicos de ciberataques por nombre o tipo,
y generar informes sobre ellos. Las organizaciones pueden ver
resúmenes de eventos, como los principales host infectados y los
eventos de devolución de llamadas y malware más importantes,
además de los detalles de geolocalización. Algunas soluciones
NGTP incluso ofrecen la posibilidad de mostrar los datos del
evento de seguridad en Google Earth.
Aunque los usuarios de NGTP pueden generar los informes
al instante, la consola de administración centralizada también
permite crear automáticamente los informes a intervalos de
tiempo establecidos (a diario, cada semana, cada mes).
NO OLVIDE
En particular, los informes de tendencias pueden ayudar
a demostrar cómo progresa la reducción del número de
sistemas comprometidos.
Alertas
Las alertas ayudan a los analistas de seguridad a mantenerse
al tanto de las posibles infracciones de la seguridad. Las
notificaciones de alerta se pueden enviar a través de SMTP,
SNMP, syslog o HTTP POST. Las alertas también se muestran
en la interfaz basada en la Web del dispositivo Central
Management System (CMS) (consulte la Figura 5-5).
Figura 5-5: Ejemplo de resumen de alertas de FireEye
SUGERENCIA Cuando se detecta un nuevo ciberataque con una devolución

de llamadas asociada, el dispositivo MPS registra una o varias
alertas de alta prioridad. Aunque el dispositivo MPS (si se
configura para funcionar en línea) es capaz de cortar las
comunicaciones de devolución de llamadas para rechazar
el ataque, es importante realizar un seguimiento y corregir
los problemas en el host infectado durante el ataque.
Integración de NGTP en la
infraestructura de TI existente
Ningún sistema de seguridad de la información debería
funcionar de manera aislada en ningún momento.
Los productos de seguridad, y la infraestructura de red que
los soporta, deben funcionar de forma conjunta para que las
tecnologías de la información dispongan de un contexto más
amplio sobre el entorno que protegen y, en última instancia,
reduzcan el riesgo de que los ciberataques prosperen.
El objetivo de esta sección es describir la integración de los

sistemas NGTP con las tres plataformas de TI más solicitadas,
empezando por SIEM.
SIEM
SIEM (administración de eventos e información de
seguridad) es una de las plataformas de integración de
NGTP más solicitadas, especialmente en los despliegues
fuera de banda. No es extraño, puesto que la finalidad de las
plataformas SIEM es reunir los eventos de seguridad de toda
la organización y establecer la relación entre ellos (mediante
el uso de docenas de reglas de correlación predefinidas
y personalizadas) con el fin de descubrir ciberataques ocultos.
Para analizarlos en profundidad, los eventos de seguridad se
pueden exportar en secuencias en tiempo real a las plataformas
SIEM en formato syslog, Common Event Format (CEF) y otros
formatos de proveedor que ofrezcan más detalles del ataque.
SUGERENCIA También es frecuente que las organizaciones integren los
sistemas NGTP con productos de administración de registros.
Al igual que una plataforma SIEM, un administrador de
registros reúne los eventos de seguridad (por medio de datos
syslog), pero, a diferencia de SIEM, por lo general, no puede
establecer la correlación de los datos. Aunque su elección suele
estar motivada por la necesidad de cumplir una normativa
(como PCI DSS), los administradores de registros constituyen
también un medio útil para recopilar datos de registro.
Entre los proveedores se incluyen HP ArcSight, IBM Q1 Labs,
LogRhythm, McAfee, RSA y Splunk.
Security Intelligence and Analytics

Security Intelligence and Analytics (SIA), también conocido
como análisis forense de la red, captura cada paquete que
se transfiere a través de la red por una serie de motivos,
incluidos los siguientes:
;; Respuesta a incidentes de seguridad (datos forenses)
;; Detección de ciberataques
;; Supervisión y análisis de pérdida de datos

Una vez que un sistema NGTP clasifica un nuevo tipo de

malware, el analista puede utilizar técnicas de análisis de
grandes volúmenes de datos y consultar la base de datos SIA
para determinar el contexto en el que se ha infectado el host
e identificar otros sistemas posiblemente infectados en el
mismo ataque.
Algunos proveedores de SIA proporcionan una interfaz de
conexión universal que se conecta directamente al navegador
web para que el usuario de NGTP pueda hacer clic en una
dirección IP desde la consola de administración central
e iniciar una consulta en la base de datos SIA, lo que agiliza
el proceso de respuesta a incidentes.
Entre los proveedores se incluyen NetWitness (RSA), Niksun
y Solera Networks.
Administración de incidentes
Hace años que existen las plataformas de administración
de incidentes (o ticketing). Los usuarios habituales de estas
plataformas son el personal de TI interno y el personal del
servicio de asistencia, quienes las emplean para rastrear
y administrar los incidentes de TI. Un incidente puede ser algo
tan sencillo como una consulta al servicio de asistencia o tan
complejo como erradicar una APT.
Es frecuente que las organizaciones deseen incluir alertas
NGTP en la plataforma de administración de incidentes
existente. Esto se consigue enviando alertas SMTP con
formato especial al sistema de administración de incidentes
desde el Central Management System de NGTP o efectuando
el análisis sintáctico de las alertas con formato XML para
adecuarlas a las plantillas de alerta de incidentes existentes.
Entre los proveedores se incluyen BMC Remedy, Numara
Software y RSA Archer.
Experimentos del laboratorio nacional

relacionados con la protección contra
amenazas de próxima generación
Algunos aseguran que la “ignorancia concreto que tenía mejor reputación
e s u n a b e n d i c i ó n ”. N o l o e s que todos los demás proveedores
para el jefe de seguridad de un de NGTP en lo que se refiere a la
laboratorio nacional de Estados detección de amenazas avanzadas:
Uni dos encargad o de avanzar FireEye (www.fireeye.com).
en la investigación científica en
materia de energía, medio ambiente Ese mismo día, un miembro del
y seguridad nacional. Este laboratorio equipo se puso en contacto con
maneja a diario una gran cantidad FireEye para programar una reunión,
de secretos nacionales y datos que pronto dio lugar a una evaluación
confidenciales, lo que lo convierte in situ. Tras implementar un piloto
en un blanco codiciado por los para supervisar el tráfico de la red en
ciberdelincuentes extremadamente un solo día, el dispositivo web MPS de
motivados y sofisticados. FireEye ofreció resultados positivos
de inmediato. Unas horas después se
Para evitar cualquier posible fuga de dispararon las alertas a causa de un
datos, el laboratorio desarrolló una código malicioso que había pasado
completa serie de dispositivos de completamente inadvertido a las
seguridad empresariales, incluidos defensas de seguridad existentes en
firewall, IPS y soluciones AV. Sin el laboratorio.
embargo, un día el jefe de seguridad
El dispositivo MPS de FireEye se
del laboratorio leyó un artículo en una
implantó en toda la producción
revista de seguridad de la información
en línea semanas más tarde. Así
sobre una organización del mismo
como la función de bloqueo fast-
tamaño que la suya arrasada por
path del dispositivo neutraliza
una APT. También descubrió cómo
los ataques entrantes conocidos
funcionan estas amenazas y por
y la devolución de llamadas de
qué no son eficaces las defensas de
malware, el potente motor Virtual
seguridad tradicionales.
Execution detecta con precisión los
Tras consultar a su equipo, formado ciberataques desconocidos.
por experimentados profesionales
de la seguridad, conoció una El jefe de seguridad del laboratorio
categoría relativamente nueva está ahora más tranquilo porque
de defensa de seguridad de red: sabe que el nombre de su
la protección contra amenazas de laboratorio no aparecerá en su
próxima generación. También se revista favorita de seguridad de la
enteró de que existía un proveedor información en un futuro próximo.
Capítulo 6
Selección de la solución
de NGTP adecuada
En este capítulo
•• Lo que hay que evitar al evaluar soluciones de NGTP
•• Compilación de una lista de criterios para la compra de NGTP
E n la actualidad existen docenas de proveedores de ciber

seguridad en el mercado, que pregonan sus capacidades
de detección y bloqueo de ciberataques avanzados, tales
como ataques de vulnerabilidades desconocidas, amenazas
polimórficas y amenazas persistentes avanzadas (APT).
Aunque cada uno de esos proveedores pueda detectar
y bloquear ataques conocidos, muy pocos son capaces de
bloquear ataques desconocidos, en especial si van dirigidos
contra vulnerabilidades no conocidas (al menos para el
público general) en sistemas operativos o aplicaciones.
Cuando se plantee comprar un sistema de NGTP, es
importante que sepa qué buscar y, lo que es quizás más
importante, qué debe evitar. Empecemos por esto último.
Qué evitar
A continuación se incluye una lista de qué conviene evitar
al evaluar soluciones de NGTP:
Evite soluciones que solo detecten. Las mejores ofertas en
NGTP disponen de modos de funcionamiento en línea y fuera de
banda. Muchas empresas empiezan con un modo fuera de banda
para obtener un nivel de confort inicial y luego progresan hasta
una configuración de NGTP en línea para bloquear amenazas
conocidas, devolución de llamadas del malware y reapariciones de
malware recién descubierto. Además, al evaluar dispositivos MPS
con conexiones de cobre, asegúrese de que admitan el desbloqueo
en caso de error (fail-open) para los despliegues en línea.
Evite ofertas basadas en entornos de prueba.

Las llamadas soluciones de NGTP que incorporan tecnología
de entorno de prueba (o sandbox) son fáciles de sortear para
los autores de amenazas sofisticadas, que diseñan malware
capaz de detectar la presencia de tecnología tradicional de
entorno de prueba, suprimiendo la carga útil de un archivo
infectado por malware para impedir su detección.
Evite análisis de malware desde la nube. Toda solución
de NGTP debe aprovechar las posibilidades y escalabilidad
de la nube. Pero las mejores soluciones de NGTP se sirven
de la nube para compartir información, no para llevar a cabo
el análisis del malware, como sucede con algunas soluciones
de seguridad de redes multifuncionales que ofrecen funciones
de NGTP rudimentarias. Incorporando el motor Virtual
Execution en el dispositivo MPS, el análisis del malware
se realiza a nivel local, por lo que mejora drásticamente la
cobertura y la escalabilidad de la identificación de malware
y se garantiza que ningún archivo confidencial salga de la red.
Evite dispositivos MPS “todo en uno”. Para una
detección óptima de la nueva variedad de ciberataques,
conviene disponer de dispositivos MPS distintos diseñados
específicamente para la protección del correo electrónico,
la Web y los archivos compartidos, pero asegúrese de que
estén integrados para compartir información.
Ya que sabe exactamente lo que debe rechazar, llega
el momento de elaborar una lista de la compra con las
características de las soluciones NGTP que son importantes
para cualquier empresa u organización preocupada por la
seguridad. El apartado siguiente le ayudará a este respecto.
Criterios importantes para la compra

Sea cual sea el sector o el tamaño de una empresa o un
organismo público, entre los criterios de compra de soluciones
NGTP deberían estar los siguientes.
SUGERENCIA Algunos de los criterios de compra ya se han tratado antes.
Considere que estas descripciones son resúmenes concisos.
Si desea explicaciones más detalladas, consulte los capítulos 3 y 4.
Capítulo 6 : Selección de la solución de NGTP adecuada | 57
Plataforma de NGTP integrada para

inspección de la Web, el correo
electrónico y los archivos
Aunque ya hemos tratado este tema más de una vez, merece
una nueva mención. Para neutralizar un ataque de APT, es
crucial contar con protecciones integradas en todos los puntos
de entrada habituales del malware: Web, correo electrónico
y archivos. Las mejores plataformas de NGTP incorporan
dispositivos MPS específicos (con heurística y algoritmos
propios) para detectar malware incrustado en los mensajes
de correo electrónico, el tráfico web y los archivos estáticos,
al tiempo que correlacionan lo detectado para detener los
ataques APT en cualquier lugar de la empresa.
Aunque es posible ahorrar algo a corto plazo comprando un
dispositivo MPS de un proveedor que dice dar cobertura para
dos o tres de esas vías, a largo plazo no trae cuenta invertir en
una solución parcial.
Supervisión del tráfico entrante

y saliente
Los sistemas típicos de NGTP supervisan el tráfico entrante
recibido de sitios web y mensajes de correo electrónico
para identificar archivos binarios sospechosos que
podrían contener malware avanzado. La mayoría de los
sistemas de NGTP no supervisan el tráfico saliente, pero
sorprendentemente también los hay que solo vigilan ese
tráfico. El dispositivo MPS, al vigilar los dos sentidos del
tráfico, puede detectar tanto el malware entrante como los
correspondientes intentos de comunicación de salida.
NO OLVIDE La vigilancia del tráfico entrante y saliente, que solo se
encuentra en las principales soluciones de NGTP, es una
característica importante pues proporciona una capa adicional
de defensa, en especial ante dispositivos móviles que podrían
estar infectados al entrar por la puerta de la oficina.
Inspección de una gran variedad

de tipos de archivo
Puede resultar sorprendente pero hay algunas soluciones de
NGTP rudimentarias que solo pueden descubrir malware en
archivos EXE y DLL no cifrados. Lo cierto es que puede haber
malware incrustado en docenas de tipos de objetos, desde algo
tan simple como un archivo binario codificado con XOR, en el
caso de la Operación Aurora, hasta un archivo de Microsoft

Excel, que aprovechó una vulnerabilidad desconocida de
Flash en el ataque contra RSA Security (consulte el recuadro
“RSA Security describe el ataque APT” en el capítulo 3).
NO OLVIDE Los exploits híbridos de documentos destacan la necesidad de
una cobertura amplia de la seguridad de las redes. En el caso
de la fuga de datos de RSA Security, la hoja de cálculo Excel
no atacó a Microsoft Excel, sino que activó un exploit contra
una aplicación totalmente diferente.
Una buena solución de NGTP aplica heurística y algoritmos de
detección de gran sofisticación para descubrir malware avanzado
en páginas web y en docenas de tipos de archivos, tales como
com, doc, docx, gif, jpg, mov, mp3, mp4, pdf, png, ppt, pptx, swf,
tiff, xls, xlsx o zip, entre otros muchos.
Solución con análisis manual

de malware
El motor Virtual Execution que incluye el dispositivo MPS
analiza a menudo (incluso de forma remota) archivos
sospechosos por si contienen malware avanzado. Al hacerlo,
pone en manos de los analistas de seguridad detalles forenses
del exploit, como la vulnerabilidad que se aprovecha para
crear un desbordamiento del búfer, los intentos de escalada
de privilegios en Windows y las coordenadas de devolución
de llamada utilizadas para la filtración de datos.
A veces, los técnicos experimentados prefieren analizar
el malware a mano para obtener una visión completa del
ataque, desde el exploit inicial y la ejecución del malware
hasta los intentos posteriores de descarga de archivos
binarios. Para satisfacer esta necesidad de datos forenses
exhaustivos, los principales proveedores de NGTP ofrecen
un sistema independiente de análisis de malware (Malware
Analysis System, MAS), que suele presentarse en un cómodo
dispositivo instalable en bastidores.
El MAS debe incorporar máquinas virtuales instrumentadas
y de configuración automática, equipadas con varias versiones
de Microsoft Windows y diversas aplicaciones de software,
como por ejemplo Microsoft Office y Adobe Reader. Este
entorno permite que los analistas inspeccionen a fondo
los archivos binarios sospechosos (o que se sabe que están
infectados) para entender la intención y los objetivos de los
ciberdelincuentes, sin tener que crear y mantener múltiples
entornos personalizados para los análisis.
Capítulo 6 : Selección de la solución de NGTP adecuada | 59
Sin falsos positivos ni falsos negativos

Los falsos positivos y los falsos negativos causados por una
detección deficiente de NGTP pueden resultar muy caros a una
empresa. Un falso positivo (un archivo inocuo que se clasifica
como dañino) puede implicar que un archivo clave para una
empresa no llegue a su destino, con la consiguiente pérdida de
tiempo y dinero. Es incluso peor un falso negativo (un archivo
dañino que se clasifica como inocuo) porque se permite que un
archivo infectado con malware llegue a su destino final sin que
se encuentre más motivo de análisis. A estas alturas, no creo
que haga falta explicar lo que puede implicar.
Decir que ni siquiera el mejor sistema de NGTP del mercado
vaya a cometer nunca un falso positivo o un falso negativo
es, tal vez, demasiado aventurado. Pero las veces en que
eso suceda deben ser muy escasas y poco frecuentes.
NO OLVIDE Para valorar la calidad de la detección de las soluciones de
NGTP preseleccionadas, póngalas a prueba con una evaluación
in situ. Si tiene que elegir entre dos soluciones competidoras,
pruébelas al mismo tiempo usando el mismo tráfico real
(en modo pasivo fuera de banda) y compare sus resultados.
Posibilidad de reglas personalizadas

Como se ha descrito en el capítulo 5, a veces los administradores
de NGTP importan reglas personalizadas a nivel de byte que han
creado usando el lenguaje de reglas YARA para desencadenar el
análisis de todos los objetos coincidentes en busca de amenazas
específicas para una empresa. (Esto se parece a crear firmas
personalizadas para el IPS de una red).
Al evaluar ofertas de NGTP competidoras, piense en la
facilidad de ampliación de la solución y en su capacidad
para admitir reglas personalizadas de detección de malware.
Interfaz de usuario intuitiva

No importa lo potente o versátil que sea una aplicación de
seguridad. Si resulta difícil de usar, es poco probable que
la adopte una organización de TI, al menos a gran escala.
Las soluciones de NGTP no son una excepción.
Un sistema de NGTP es una solución mucho más automatizada
que los productos de seguridad que requieren la configuración
o creación de juegos de reglas, como un dispositivo IPS o un
firewall tradicional. Sin embargo, es importante que el panel
sea sencillo y fácil de usar, y que elaborar informes y alertas
no requiera un doctorado en astrofísica.
Asistencia al cliente que responda

La selección de un proveedor de NGTP es tan importante
como la de un producto de NGTP, si no más. Las empresas
y los organismos oficiales suelen señalar el servicio técnico
de alta calidad como un criterio fundamental a la hora de
decidirse por cualquier sistema de TI.
SUGERENCIA Antes de tomar una decisión de compra, asegúrese de valorar
la calidad de la asistencia al cliente que ofrece un proveedor.
Para ello, durante la fase de evaluación póngase en contacto
un par de veces con el servicio técnico del proveedor, y no con
el especialista que le hayan asignado a su cuenta. Aunque no
tengas problemas durante la evaluación, invéntese alguno.
O haga una consulta general sobre alguna función del
producto. De esa forma, podrá hacerse una idea de la
experiencia y la rapidez de respuesta del personal del servicio
técnico y de lo que se tarda en hablar con alguien de carne
y hueso. Si ha tardado 30 minutos y ese técnico no supo
responder a una pregunta simple sobre la configuración,
probablemente haya llegado el momento de cambiar a una
oferta de la competencia.
Glosario
amenaza combinada: ciberataque que incluye una
combinación de ataques para aprovechar diferentes
vulnerabilidades.
amenazas de próxima generación: nueva variedad de
ciberataques que no es fácil de detectar para las defensas de
seguridad basadas en firmas. Ejemplos de estas amenazas son
el malware polimórfico, las amenazas zero-day y las amenazas
persistentes avanzadas.
amenaza persistente avanzada (APT, advanced
persistent threat): sofisticado ciberataque que emplea
técnicas avanzadas de ocultación para no ser detectado
durante largos periodos de tiempo.
amenaza polimórfica: malware que cambia su firma
(patrón binario) cada vez que se replica para impedir ser
detectado por un dispositivo o aplicación de seguridad.
amenaza zero day (desconocida): ciberataque contra una
vulnerabilidad no conocida (o no comunicada) de un sistema
operativo o una aplicación.
ataque de inyección SQL: forma de ataque sobre una
aplicación web basada en base de datos en la que el atacante
ejecuta comandos SQL no autorizados para explotar código
no seguro.
ataque por denegación de servicio (DoS, denial of
service): ciberataque que intenta perturbar o inhabilitar
un host en particular inundándolo con peticiones de
comunicación inocuas desde otro host.
ataque por desbordamiento del búfer: ataque que
se lleva a cabo enviando más datos al búfer de los que está
configurado para contener y que acaba por permitir al atacante
ejecutar código personalizado (a menudo con los privilegios
superiores que tenía la aplicación o servicio de red vulnerable).
ataque selectivo avanzado (ATA, advanced targeted
attack): otro nombre que se utiliza para designar una
amenaza persistente avanzada.
baiting o carnada: ataque de ingeniería social en el que
se abandonan deliberadamente soportes físicos (como un
dispositivo de memoria USB) con malware en las proximidades
de una organización seleccionada como objetivo.
62 | Guía definitiva para la protección contra amenazas de próxima generación
bot: computadora (o endpoint) infectada que está bajo el

control centralizado de un servidor de comando y control.
BYOD (del inglés, bring your own device): política de
algunas empresas que permiten a los empleados traer al trabajo
sus propios dispositivos para acceder a los datos de la empresa.
Central Management System (CMS): dispositivo
montado en bastidor que se ocupa de supervisar y gestionar
los dispositivos MPS dentro de un entorno NGTP.
ciberdelincuente: hacker, o pirata informático, que roba
ilegalmente datos de otra computadora para obtener un
beneficio económico personal.
ciberguerra: actividad de hacking con motivaciones políticas
que lleva a cabo sabotajes o acciones de espionaje contra un país.
ciberterrorismo: uso de ataques por Internet en actividades
terroristas, tales como acciones destinadas a colapsar de
manera deliberada y a gran escala las redes informáticas.
desbloqueo en caso de error (fail open): capacidad por la
que las conexiones de cobre de un dispositivo de red mantienen
la conectividad en caso de que el dispositivo falle o se quede sin
alimentación, a fin de impedir interrupciones en la red.
ejecutor de amenazas de Estado: ciberdelincuente que,
por encargo de un país, lleva a cabo ciberataques contra
enemigos de dicho país con fines políticos.
entorno de prueba (sandbox): aplicación de software
diseñada para analizar archivos binarios sospechosos en la
seguridad de una máquina virtual, aunque los ciberatacantes
más avanzados suelen eludirla.
estrategia de defensa en profundidad: instalación de
una serie de defensas de ciberseguridad de manera tal que,
si una capa de seguridad no detecta una amenaza, otra capa
pueda interceptarla.
falso negativo: clasificación errónea como benigno de un
archivo que contiene malware.
falso positivo: clasificación errónea de un archivo benigno
como malicioso.
gusano: forma de malware que explota las vulnerabilidades
de la red para propagarse a otras computadoras.
Glosario | 63
hacktivismo: uso de las computadoras y las redes como

medio para protestar o para promover fines políticos.
herramienta de administración remota (RAT, remote
administration tool): software que abre una puerta trasera
en el sistema infectado para que el hacker fisgonee o tome el
control del host.
keylogger: aplicación que registra las teclas que se pulsan en
una computadora, normalmente sin el conocimiento del usuario.
malware: software malicioso (por ejemplo, un virus
informático, un gusano o un troyano) que se crea para perturbar
el funcionamiento de una computadora, recoger información
delicada o conseguir el acceso a sistemas informáticos privados.
Véase también spyware, troyano y gusano.
Malware Protection System (MPS): dispositivo montado
en bastidor que se ocupa de detectar objetos sospechosos en la
red y enviarlos al motor de ejecución virtual (al cual también
alberga) para su análisis sin firmas.
modo fuera de banda: modo de funcionamiento de un
dispositivo de red que le permite analizar el tráfico copiado
desde un puerto de acceso para pruebas (TAP) de la red
o desde un puerto SPAN de un conmutador.
multifase: ciberataque avanzado que incorpora varios tipos
de malware diseñados para ejecutarse en distintas fases.
multivectorial: ciberataque diseñado para dirigirse contra
múltiples hosts dentro de la misma empresa utilizando
distintas técnicas de ataque.
modo en línea: colocación de un dispositivo de red
directamente en la línea del tráfico de la red, por lo que puede
bloquear los ciberataques.
motor de ejecución virtual: componente de un dispositivo
MPS que se encarga del análisis sin firmas de los objetos
sospechosos en la seguridad de la máquina virtual.
phishing: acto de enviar un correo electrónico a un usuario
haciéndose pasar por una entidad legítima en un intento de
engañar al usuario para que facilite información privada,
como por ejemplo el número de una tarjeta de crédito o el de
un documento de identidad.
phishing selectivo: intento de phishing dirigido contra una
organización en particular o contra una o varias personas de
esa organización.
64 | Guía definitiva para la protección contra amenazas de próxima generación
prevención de fugas de datos (DLP, data leakage

prevention): sistema diseñado para detectar rápidamente
posibles fugas de datos basado en el uso de patrones (por
ejemplo, número de documentos de identidad).
protección contra amenazas de próxima generación
(NGTP, next-generation threat protection): software
que se instala en dispositivos especializados, montados en
bastidor y que se ha diseñado para detectar e impedir la nueva
hornada actual de ciberataques.
red de información sobre amenazas en la nube:
servicio alojado en Internet gestionado por un proveedor de
NGTP para intercambiar (distribuir y recibir) información
sobre ciberataques con los dispositivos MPS de sus clientes.
servidor de comando y control: servidor que un ciber
delincuente maneja para hacer llegar instrucciones a los bots.
sistema de análisis de malware (MAS, malware analysis
system): dispositivo equipado con un motor de ejecución
virtual que permite a los usuarios inspeccionar manualmente
objetos de los que se sospecha que contienen malware.
sistema de detección de intrusiones (IDS, intrusion
detection system): dispositivo de seguridad fuera de banda
que se sirve de firmas para supervisar el tráfico de la red
y avisar en caso de detectar ciberataques conocidos.
sistema de prevención de intrusiones (IDS, intrusion
prevention system): dispositivo de seguridad en línea (activo)
que se sirve de firmas para supervisar el tráfico de la red y, en
caso de detectar ciberataques conocidos, impedirlos.
spyware (o software espía): tipo de malware que obtiene
información sobre los usuarios, con o sin su conocimiento.
tráfico entrante: tráfico de una red informática que se
dirige desde fuera de la red hacia hosts situados dentro de ella.
tráfico saliente: tráfico de una red informática que se dirige
desde el interior de la red hacia hosts situados fuera de ella.
troyano: malware que se enmascara como archivo legítimo o
aplicación útil con el propósito último de permitir el acceso no
autorizado de un hacker a la computadora infectada.
whaling: ciberataque dirigido específicamente a altos
ejecutivos y otros objetivos prominentes dentro de las empresas.
LA NUEVA GENERACIÓN DE CIBERATAQUES
HAN PENETRADO EN EL 95 % DE LAS REDES.
¿CREE QUE ESTÁ ENTRE EL 5 % RESTANTE?
Es posible que crea que sus defensas de seguridad

actuales impiden a los nuevos ciberataques entrar en su
red y apoderarse de sus datos. Pero no es así.
Los ciberataques actuales sortean los firewalls, IPS, antivirus
y puertas de enlace tradicionales y de nueva generación.
FireEye es su mejor medio de defensa. Ponga fin a la nueva

variedad de ciberataques con protección contra
amenazas de próxima generación. Visítenos hoy en
www.FireEye.com y permítanos cerrar las brechas en la
protección de su red.
© 2013 FireEye, Inc. Todos los derechos reservados.

¿Todas las de perder en la lucha contra la nueva
Definitive Guide
TM
variedad de ciberataques actuales? Aprenda cómo

derrotar a sus ciberenemigos con protección contra
amenazas de próxima generación (NGTP). para la
A pesar de gastar más de 20 000 millones de dólares en sistemas de seguridad
tradicionales, las organizaciones se enfrentan a una nueva variedad de ciberataques, Protección contra amenazas
con exploits zero-day, malware polimórfico y amenazas avanzadas persistentes
(APT) a la cabeza. Nuestra única opción de vencer a estos adversarios hoy día, dada
su sobrada financiación y su alta motivación, pasa por cambiar de forma de pensar.
Si se ocupa de la seguridad de la red de su empresa, no debe perderse esta guía.
• Definición de las amenazas de próxima generación: comparación de
los ciberataques tradicionales con una nueva variedad de amenazas Ganando la guerra a la nueva
• Conocer al enemigo: examen de tres tipos de ciberenemigos y sus
métodos para derrotar los sistemas de seguridad tradicionales.
• Anatomía de los ciberataques avanzados: descripción de las cinco fases
del ciclo de vida de los ataques avanzados y señales que permiten
detectar las amenazas avanzadas persistentes (APT).
• Introducción a la protección contra amenazas de próxima generación:
revisión de los componentes clave de las soluciones de NGTP
y comparación con las defensas de seguridad tradicionales.
• Análisis de la protección contra amenazas de próxima generación:
información sobre cómo mitigar las amenazas de próxima generación en
los mensajes de correo electrónico, las comunicaciones a través de la Web
y los archivos en reposo.
• Selección de la solución de NGTP adecuada: descripción exacta sobre qué
buscar (y, lo que es más importante, qué evitar) a la hora de evaluar una
solución de NGTP.
Acerca del autor

Steve Piper es un experto en seguridad de la información con
más de 20 años de experiencia en el sector de las tecnologías.
Steve Piper, CISSP
Cortesía de:
Como escritor y consultor freelance, Steve es autor de numerosos
libros sobre seguridad de la información, infraestructuras de red
y gestión de grandes volúmenes de datos (Big Data). Cuenta con
Prohibida la venta PRÓLOGO DE:
un certificado en seguridad CISSP del ISC2 y una licenciatura en
ciencias y un MBA de la George Mason University. Encontrará David DeWalt
más información en www.stevepiper.com.

Protección Contra Amenazas de Próxima Generación

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Protección Contra Amenazas de Próxima Generación

Uploaded by

Copyright:

Available Formats

¿Todas las de perder en la lucha contra la nueva

variedad de ciberataques actuales? Aprenda cómo

Acerca del autor

FireEye es su mejor medio de defensa. Ponga fin a la nueva

© 2013 FireEye, Inc. Todos los derechos reservados.

Steve Piper, CISSP

LÍMITE DE RESPONSABILIDAD/EXENCIÓN DE RESPONSABILIDAD: EL EDITOR Y EL AUTOR NO

Para obtener información general sobre los servicios de investigación y consultoría de

Agradecimientos del editor

Introducción a la protección contra amenazas de próxima generación... 31

T ras mis reuniones con líderes nacionales y con clientes

este libro. El espectacular aumento de incidentes relacionados

E n los últimos años, empresas y organismos públicos han

Resumen de los capítulos

consumada en una infraestructura crítica, analiza en detalle

Definición de las amenazas

L os ciberataques actuales son más sofisticados que

;; El 98 % de los incidentes fue originado por agentes

Ataques contra empresas

Ataques contra la Administración

El costo del fracaso

;; Costos de investigaciones y análisis forenses

;; Costos de comunicaciones con clientes y socios

;; Costos de relaciones públicas

;; Pérdidas de ingresos debido a daños en la reputación

;; Sanciones por el incumplimiento de normativas

En lo que respecta a la protección contra los ciberataques,

Panorama de amenazas actual

Gusanos, troyanos y virus

Spyware y redes de bots

Ataques de ingeniería social

;; Phishing selectivo: se dirige a una o varias personas

;; Whaling: phishing dirigido específicamente a altos

Baiting: tiene lugar cuando un delincuente deja a propósito una

Desbordamientos de búfer e inyecciones SQL

Amenazas de próxima generación

Amenazas persistentes avanzadas

;; Varios medios de propagación

;; El aprovechamiento de vulnerabilidades de

ATENCIÓN En general, las amenazas combinadas están consideradas por

Por qué Windows es tan propenso

"Si conoces al enemigo y te conoces a ti mismo, ni en cien

“C onocer al enemigo” es un tema crucial del manuscrito

La década de los 90 trajo consigo la adopción generalizada

Ejecutores de amenazas de Estado

;; Se acusa a Irán de ciberataques contra bancos

;; Se acusa a los Estados Unidos e Israel de lanzar

Irán lanzó recientemente un ambicioso programa gubernamental

ciberataques sonados, incluidos numerosos ataques contra

Cómo se impone el enemigo

Sortear las defensas basadas

Elusión de las defensas basadas

de flujo (por ejemplo, NetFlow, sFlow, cFlow) de routers

E n el capítulo 1 he explicado las diferencias entre los

Las APT en profundidad

definición perfectamente cierta, solo revela parte de la realidad.

;; Avanzados: el atacante es un experto en métodos

NO OLVIDE En general las APT están consideradas como el tipo

Lo que una APT no es

Tres mitos sobre los ataques APT

Las APT en las noticias

EN LA WEB Para mantenerse al corriente de las fugas de datos más

Ataque a RSA SecurID (2011)

admitiendo que "sofisticados adversarios" habían causado