Al igual que las empresas legales de todo el mundo tratan de mejorar la seguridad de su información y proteger su infraestructura de red, los negocios cibercriminales deben tomar precauciones similares.
Los delincuentes operan dentro de un mercado especializado en la clandestinidad respaldados por una infraestructura detrás del ciberdelito. Trend Micro Research ha indagado en los aspectos técnicos de este mercado, en cómo los delincuentes compran y venden servicios de hosting y en qué protecciones confían para asegurar sus negocios.
Índice de temas
Comprender las operaciones cibercriminales
Los negocios cibercriminales actualmente se sustentan sobre hosters clandestinos para evitar cierres o interrupciones. Los proveedores de hosting clandestino hacen todo lo posible por mantenerse activos en un panorama empresarial competitivo, atrayendo y reteniendo a tantos clientes (delincuentes) como puedan.
Dado que los alojamientos clandestinos son la raíz de la infraestructura de los ciberdelincuentes, esta investigación también comparte algunos métodos que los investigadores – ya sean equipos internos o las fuerzas del orden- pueden utilizar para identificarlos. Los conocimientos sobre las operaciones de los ciberdelincuentes deberían ser procesables, especialmente cuando se combinan con la funcionalidad técnica de XDR.
Visibilidad integral de los ataques a empresas
Muchas grandes corporaciones están añadiendo centros de operaciones de seguridad (SOC) para monitorizar la postura de seguridad de su organización. Estos SOC requieren herramientas como XDR que permitan conectar todos sus datos y correlacionar la inteligencia de amenazas a través de endpoints, infraestructura cloud híbrida y correo electrónico para tener alertas claras y procesables. Esto aporta la visibilidad y comprensión de los ciberataques que se necesita no solo para evitar que un malware se desborde, sino también para parchear el agujero por donde entró, comprobar que no se infectó nada más y asegurarse de que el atacante no sigue acechando en algún lugar.
De esta forma, los defensores actuales han llevado más allá su labor para convertirse también en investigadores. En ese nivel de sofisticación de la seguridad, también hay que entender cómo operan los delincuentes para defenderse estratégicamente de ellos y detenerlos en su camino.
Conocimiento técnico + Conocimiento de la gente = detención de los atacantes
Entre los métodos para identificar a hosters a prueba de balas (BPH) están:
- Identificar ciertos rangos de IP en listas de denegación y un alto número de solicitudes de abuso público para un segmento de IP particular.
- Análisis del comportamiento del sistema autónomo e información de peering. Muchos proveedores legítimos de upstream que se asocian con hosters a prueba de balas (BPH) usan sistemas autónomos para manejar solicitudes de abuso sin desconectar el BPH de Internet.
- Una vez detectado un host BPH, se utilizan las huellas digitales de la máquina para detectar otros que pueden estar vinculados al mismo proveedor.
Las tácticas anteriores refuerzan el argumento de por qué para una defensa eficaz es clave contar con una vista única de las detecciones de amenazas correlacionadas en el entorno empresarial.
Tener todas las piezas de información conectadas ayuda a tomar mejores decisiones sobre cómo manejar la amenaza. Y conocer las razones por las que los delincuentes alojan servidores en un país determinado podría explicar las motivaciones que tienen para apuntar a su negocio.
En última instancia, esta comprensión, la correlación avanzada y la mejora de las investigaciones conducen a que las empresas cibercriminales pierdan beneficios y a que no puedan mantener sus operaciones actuales.
La misión de Trend Micro es hacer que el mundo digital sea más seguro para el intercambio de información. Interrumpir el ciberdelito a través de Trend Micro Research y XDR es una de las formas en las que trabajamos para cumplir esa misión cada día.
