Los hackers son muy parecidos al resto de nosotros, según un nuevo estudio de la empresa israelí de seguridad cibernética Imperva. Al igual que algunos usuarios de computadoras honestos responden rápidamente a los mensajes de suplantación de identidad (correo electrónico fraudulentos diseñados para robar información personal), los hackers también responden a los documentos y archivos con títulos que indican la promesa de información importante. Al igual que muchos usuarios no toman en serio su ciberseguridad, los hackers no prestan mucha atención a tratar de esconder sus pistas, dejándolos vulnerables a la detección.
Y al igual que la mayoría de los usuarios están demasiado ocupados y abrumados con las tareas diarias para lidiar con los puntos finos de la ciberseguridad, también lo están los hackers abrumados con oportunidades de hackear cuentas que no tienen el tiempo o los recursos para aprovechar.
Esas son las conclusiones del informe de Imperva, “Beyond Takeover – Stories from a Hacked Account”, en el que los investigadores de la firma trataron de meterse en la mente de los hackers haciendo algo de “phishing”. Así como los hackers entran en las cuentas de sus víctimas colgando mensajes de correo electrónico con líneas de asunto tentadoras como “Trump y Hillary’s Secret Affair – ver las fotos aquí”, el equipo de Imperva, con la ayuda de los estudiantes en el Technion-Israel Institute of Technology establecieron cuentas “honeypot / señuelo”.
Estas cuentas de usuario falsas incluían contenido rico, como cuentas para Gmail, Dropbox y otros servicios en línea. Nombres de usuario, contraseñas y otros detalles fueron lanzados en la Dark Web con la esperanza de que los hackers tomaran el cebo. Durante meses, los investigadores de Imperva rastrearon las actividades de aquellos a quienes engancharon para determinar cómo funciona la mente de un hacker. Después de obtener unos 200 ataques de hackers en las cuentas comprometidas, el equipo comenzó su análisis.
Pero al igual que entre las víctimas que no protegen sus cuentas – usando por ejemplo, contraseñas fáciles de adivinar como “123456” o “contraseña” – muchos hackers no se molestan en proteger sus propias identidades.
Los hackers podrían tomar medidas para evitar la detección mediante la restauración de una cuenta que hackearon, a su estado anterior: eliminar las alertas de inicio de las bandejas de entrada, eliminar los mensajes enviados que los usuarios no enviaron, marcar los mensajes leídos como no leídos y editar los informes de archivos de registro de actividad, dice el informe
“Nos sorprendió encontrar que solo el 17% hizo algún intento de cubrir sus huellas. Y los que pocos que lo hicieron, utilizaron las prácticas más comunes para cubrir las pistas”, dijo el equipo de Imperva.
No es sorprendente, dijo el equipo de investigación, “los atacantes en primer lugar están buscando información sensible, como contraseñas y números de tarjetas de crédito”.
Las cuentas comprometidas incluían archivos que indicaban que podían contener datos comerciales o bancarios importantes, y los hackers fueron los primeros. Pero, desafiando las expectativas de los investigadores, los hackers no se acercaron metódicamente a la exploración de cuentas comprometidas. La cronología de su trabajo y el hecho de que se saltaron algunos archivos con títulos atractivos, pero examinaron otros, “indica que los atacantes acceden a los contenidos en línea manualmente y no descargando y examinando con herramientas automatizadas, como cabía esperar”, dijo el informe.
Quizás el hallazgo más importante del estudio estaría relacionado con esa falta de automatización. “Los atacantes no son rápidos en actuar”, dijo el equipo. “A más del 50% de las cuentas accedieron 24 horas o más después de la adquisición de credenciales. El resultado es una breve ventana en la que si se sospecha el ataque, un cambio rápido en la contraseña da como resultado un 56% de probabilidad de impedir el robo de una cuenta.
Esto significa que si las víctimas de hackers actúan con suficiente rapidez y cambian su contraseña después de sospechar que su cuenta ha sido comprometida, pueden frustrar a los atacantes.
Si la contraseña que adquirieron en la Dark Web no funciona, las posibilidades de que los hackers seguirán adelante son favorables, según el informe.
“Menos de la mitad de las credenciales filtradas fueron explotadas por atacantes”, dijo el equipo. “Una explicación para esto podría ser que los atacantes tienen acceso a tantos datos que no tienen suficiente tiempo para explorar todo”. Si ese es el caso, los hackers serían propensos a tomar el camino de menor resistencia, atacando solo a las víctimas que pudieran hackear fácilmente y pasar al siguiente objetivo si encuentran resistencia.
“Al estudiar ciberataque, hemos aprendido muchas cosas, incluyendo que la mayoría de los atacantes no se molestan en cubrir sus huellas, lo que significa que dejan evidencia”, dijo Itsik Mantin, jefe de investigación de datos de Imperva.
“Además, si podemos detectar rápidamente un ataque, entonces sabemos que la rápida corrección incluyendo un simple cambio de contraseña reduce significativamente las probabilidades de un ataque exitoso. Esta lección demuestra el valor de incorporar soluciones de inteligencia de amenazas y detección de brechas que detectan rápidamente y ayudan a mitigar este riesgo”.