En la guerra tradicional la acción de mantener una posición que ha sido conquistada es clave a la hora de llevar a cabo muchas estrategias. Conservar una posición física puede ser una tarea compleja, mantener la posición "informática" es incluso más complejo.
¿Por qué? Porque una vez el enemigo ha detectado que sus sistemas han sido comprometidos, puede llevar a cabo una serie de medidas correctivas para expulsar al invasor, por ejemplo:
- Cortar la conexión de red de los sistemas.
- Recuperar una copia de seguridad de los sistemas.
- Apagar los sistemas afectados.
- Reemplazar o reinstalar los sistemas.
El atacante raramente podrá mantener el control de los sistemas ante estas medidas defensivas. Aunque podría llevar a cabo una serie de acciones para retrasar su expulsión:
1) Evitar ser detectado: Si la intrusión no ha sido detectada por el enemigo, este no podrá tomar medidas correctivas y sería posible mantener la posición.
Aunque en un contexto de ciber-conflicto debemos suponer que los sistemas están estrictamente vigilados, de forma que pasar desapercibido no es sencillo.
El dilema para el invasor es que para pasar desapercibido debe mantener un perfil bajo y no realizar acciones que delaten su presencia en los sistemas. De forma que aunque haya tomado la posición no puede aprovecharse de la misma para dañar al enemigo de forma apreciable (ya que esto delataría su actividad).
Aunque su posición siempre podría ser usada para labores de inteligencia que pasasen desapercibidas.
2) Ocultar troyanos que funcionen de forma autónoma: Si el equipo es desconectado de la red o es monitorizado para detectar la presencia de intrusos, el atacante no podrá interactuar con el sistema. Sin embargo si hubiese ocultado previamente un troyano preparado para actuar de forma autónoma, sería mucho más difícil de detectar y eliminar de los sistemas y podría ser utilizarlo para realizar ataques en momentos posteriores.
3) Infectar los sistemas de backup: En entornos informáticos críticos es habitual la existencia de mecanismos de backup que permiten sustituir rápidamente un sistema defectuoso o comprometido.
Si el atacante consigue manipular estos sistemas de backup antes de ser detectado o de que se tomen las medidas correctivas, podría mantener la posición conquistada durante mayor tiempo y dificultar su expulsión. Aunque a medio plazo el enemigo siempre podría recurrir a la sustitución o reinstalación completa del sistema.
La principal idea que intento transmitir es que las estrategias clásicas basadas en mantener posiciones deben ser replanteadas para adaptarlas a este nuevo escenario. Por ejemplo dando prioridad a las tácticas basadas en acciones rápidas y de duración corta.
Muy interesante!!¡¡ Nunca me lo había planteado. Muchas gracias
ResponderEliminar