Modelado de amenazas: Actores y vectores de ataque
Objetivos: Al terminar este tema, podrás…
- Aplicar la metodología de modelado de amenazas a un sistema
- Categorizar actores maliciosos según capacidades, motivaciones y recursos
- Identificar vectores de ataque comunes y sus contramedidas
- Evaluar el impacto potencial de diferentes amenazas
El modelado de amenazas como disciplina
El modelado de amenazas (threat modeling) es una metodología fundamental de la ingeniería de seguridad. Consiste en responder sistemáticamente cuatro preguntas:
- ¿Qué estamos construyendo? — Entender el sistema y sus activos
- ¿Qué puede salir mal? — Identificar amenazas potenciales
- ¿Qué vamos a hacer al respecto? — Diseñar controles
- ¿Hicimos un buen trabajo? — Validar las defensas
Como ingeniero, el modelado de amenazas será parte de tu trabajo diario. No diseñas controles de seguridad en abstracto: los diseñas contra amenazas específicas de actores específicos.
Taxonomía de actores maliciosos
Categorizar a los atacantes te permite diseñar defensas apropiadas. No inviertes los mismos recursos defendiéndote de un script kiddie que de un APT estatal.
Matriz de capacidades
| Actor | Recursos | Sofisticación | Persistencia | Objetivo típico |
|---|---|---|---|---|
| Script kiddie | Bajo | Baja | Baja | Cualquiera vulnerable |
| Ciberdelincuente | Medio-Alto | Media-Alta | Media | ROI económico |
| Hacktivista | Bajo-Medio | Variable | Variable | Objetivos ideológicos |
| Insider | Variable | Variable | Alta | Organización específica |
| APT / Estado-nación | Muy alto | Muy alta | Muy alta | Objetivos estratégicos |
Script kiddies
Perfil: Atacantes con conocimiento técnico limitado que usan herramientas pre-construidas.
Capacidades:
- Herramientas automatizadas de escaneo
- Exploits públicos sin modificar
- Ataques oportunistas a gran escala
Implicación para el diseño: Controles básicos bien implementados (parches, configuración segura, autenticación fuerte) detienen la mayoría de estos ataques. Son el “ruido de fondo” de Internet.
Ciberdelincuentes organizados
Perfil: Operaciones criminales profesionales con estructura empresarial.
Capacidades:
- Desarrollo de malware personalizado
- Infraestructura distribuida (botnets, C2)
- Operaciones de phishing sofisticadas
- Ransomware-as-a-Service (RaaS)
Economía del cibercrimen:
- Mercados de credenciales robadas
- Venta de accesos comprometidos
- Servicios de lavado de criptomonedas
Implicación para el diseño: Requiere defensa en profundidad. Asume que el perímetro será vulnerado y diseña detección y contención.
Hacktivistas
Perfil: Atacantes motivados por ideología política o social.
Tácticas típicas:
- Defacement de sitios web
- Filtración de documentos (doxing)
- Ataques DDoS coordinados
- Campañas de desinformación
Implicación para el diseño: El perfil de amenaza depende de la visibilidad y postura política de la organización. Organizaciones controversiales requieren defensas adicionales.
Amenazas internas (Insiders)
Perfil: Personas con acceso legítimo que abusan de sus privilegios.
Categorías:
- Maliciosos: Actúan intencionalmente (venganza, lucro)
- Negligentes: Causan daño por descuido
- Comprometidos: Sus credenciales fueron robadas
Implicación para el diseño: El principio de privilegio mínimo es crítico. Monitoreo de comportamiento anómalo, segregación de funciones, y controles de acceso granulares.
APT (Advanced Persistent Threats)
Perfil: Actores altamente sofisticados, generalmente patrocinados por estados.
Características:
- Recursos prácticamente ilimitados
- Persistencia durante meses o años
- Desarrollo de zero-days
- Ataques a cadena de suministro
- Objetivos estratégicos específicos
Ejemplos documentados:
- APT28 (Fancy Bear) — Rusia
- APT41 — China
- Lazarus Group — Corea del Norte
- Equation Group — EE.UU.
Implicación para el diseño: La mayoría de organizaciones no pueden defenderse completamente de APTs estatales. El objetivo es aumentar el costo del ataque y reducir el tiempo de permanencia no detectada.
Vectores de ataque y contramedidas
Un vector de ataque es el método o ruta que un atacante usa para comprometer un sistema.
1. Ingeniería social
Descripción: Manipulación psicológica para obtener acceso o información.
| Técnica | Descripción | Contramedida |
|---|---|---|
| Phishing | Correos fraudulentos | Filtros de correo, entrenamiento, MFA |
| Spear phishing | Phishing dirigido | Verificación de remitentes, políticas de comunicación |
| Vishing | Phishing por teléfono | Protocolos de verificación de identidad |
| Pretexting | Crear escenarios falsos | Concienciación, validación de solicitudes |
2. Explotación de vulnerabilidades
Descripción: Aprovechamiento de fallas en software o configuración.
| Categoría | Ejemplos | Contramedida |
|---|---|---|
| Vulnerabilidades conocidas | CVEs públicos | Gestión de parches, escaneo regular |
| Configuración insegura | Puertos abiertos, credenciales por defecto | Hardening, auditorías de configuración |
| Zero-days | Vulnerabilidades no publicadas | Defensa en profundidad, detección de anomalías |
3. Ataques a aplicaciones web
Descripción: Explotación de fallas en aplicaciones web.
| Ataque | Principio afectado | Contramedida |
|---|---|---|
| SQL Injection | Integridad, Confidencialidad | Consultas parametrizadas, validación de entrada |
| XSS | Integridad, Confidencialidad | Sanitización de salida, CSP |
| CSRF | Integridad | Tokens anti-CSRF |
| Path Traversal | Confidencialidad | Validación de rutas, sandbox |
4. Malware
Descripción: Software diseñado para causar daño.
| Tipo | Comportamiento | Contramedida |
|---|---|---|
| Ransomware | Cifra archivos, exige rescate | Backups offline, segmentación de red |
| Spyware | Exfiltra información | EDR, monitoreo de tráfico |
| Rootkit | Oculta presencia del atacante | Verificación de integridad, arranque seguro |
| Worm | Se propaga automáticamente | Segmentación de red, parches |
5. Ataques de red
Descripción: Explotación de protocolos y arquitectura de red.
| Ataque | Descripción | Contramedida |
|---|---|---|
| Man-in-the-Middle | Intercepta comunicaciones | TLS, certificados válidos |
| DDoS | Sobrecarga el servicio | CDN, rate limiting, scrubbing |
| DNS Spoofing | Redirige tráfico | DNSSEC, validación de certificados |
| ARP Spoofing | Intercepta tráfico local | Segmentación VLAN, 802.1X |
6. Ataques a cadena de suministro
Descripción: Compromiso de componentes o proveedores de software.
Ejemplos:
- SolarWinds (2020): Compromiso de actualización de software
- Codecov (2021): Script de CI/CD modificado
- Log4Shell (2021): Vulnerabilidad en librería ubicua
Contramedidas:
- Verificación de integridad de dependencias
- SBOMs (Software Bill of Materials)
- Revisión de código de terceros críticos
- Monitoreo de comportamiento post-despliegue
Análisis de impacto
Como ingeniero, debes evaluar no solo la probabilidad de un ataque, sino su impacto potencial. Esto guía la priorización de controles.
Dimensiones del impacto
| Dimensión | Preguntas clave |
|---|---|
| Financiero | ¿Cuánto dinero se perdería directamente? ¿Multas regulatorias? |
| Operacional | ¿Se interrumpiría el negocio? ¿Por cuánto tiempo? |
| Reputacional | ¿Afectaría la confianza de clientes o socios? |
| Legal | ¿Hay responsabilidades legales? ¿Incumplimiento normativo? |
| Seguridad física | ¿Podría afectar la vida o seguridad de personas? |
Ejemplo de matriz de riesgos
| Amenaza | Probabilidad | Impacto | Riesgo | Prioridad |
|---|---|---|---|---|
| Phishing → compromiso de credenciales | Alta | Medio | Alto | 1 |
| Ransomware → paralización operativa | Media | Muy Alto | Alto | 1 |
| DDoS → indisponibilidad temporal | Media | Medio | Medio | 2 |
| APT → exfiltración de IP | Baja | Muy Alto | Medio | 2 |
| Insider → robo de datos | Baja | Alto | Medio | 3 |
Casos de estudio desde perspectiva de ingeniería
Caso 1: Colonial Pipeline (2021)
Vector: Credenciales VPN comprometidas (sin MFA) Actor: DarkSide (Ransomware-as-a-Service) Impacto: 5 días de paralización, escasez de combustible, $4.4M pagados
Fallas de ingeniería:
- VPN sin autenticación multifactor
- Segmentación insuficiente entre IT y OT
- Respuesta a incidentes lenta
Lección: Controles básicos (MFA) habrían prevenido el compromiso inicial.
Caso 2: SolarWinds (2020)
Vector: Compromiso de cadena de suministro Actor: APT29 (presuntamente ruso) Impacto: ~18,000 organizaciones afectadas, incluyendo agencias gubernamentales
Fallas de ingeniería:
- Proceso de build sin verificación de integridad
- Firma automática de código sin revisión
- Detección tardía (9+ meses)
Lección: La seguridad de la cadena de suministro es tan importante como la seguridad del código propio.
Conceptos clave
| Término | Definición |
|---|---|
| Modelado de amenazas | Metodología para identificar y priorizar amenazas a un sistema |
| Vector de ataque | Método o ruta que un atacante usa para comprometer un sistema |
| APT | Actor sofisticado con recursos significativos y objetivos estratégicos |
| Insider | Amenaza interna con acceso legítimo al sistema |
| Defensa en profundidad | Estrategia de múltiples capas de controles |
| Zero-day | Vulnerabilidad desconocida para el fabricante |
Ponte a prueba
-
Modelado de amenazas: Para una aplicación bancaria móvil, identifica tres actores probables, sus motivaciones, y un vector de ataque que cada uno podría usar.
-
Diseño de contramedidas: Un insider malicioso tiene acceso legítimo a la base de datos de clientes. ¿Qué controles técnicos diseñarías para detectar o prevenir la exfiltración masiva de datos?
-
Análisis de caso: Investiga el ataque a Uber (2022). ¿Qué vector de ataque se usó? ¿Qué fallas de ingeniería permitieron que el atacante se moviera lateralmente?
-
Priorización: Tienes presupuesto limitado para implementar controles en una startup fintech. ¿Priorizarías defensa contra script kiddies, ciberdelincuentes organizados, o insiders? Justifica tu decisión.
Laboratorio práctico: Reconocimiento pasivo con OSINT
Tiempo estimado: 90 minutos Requisitos: Terminal con acceso a Internet, navegador web Ética: Solo realiza reconocimiento sobre dominios autorizados (tu universidad, o dominios de práctica como
scanme.nmap.org)
Objetivo
Experimentar las técnicas de reconocimiento que un atacante usaría para perfilar una organización, entendiendo así qué información está expuesta públicamente.
Parte 1: Reconocimiento de dominio (30 min)
Usando herramientas de línea de comandos, recopila información sobre un dominio autorizado:
# 1. Información WHOIS del dominio
whois ejemplo.edu.co
# 2. Registros DNS
dig ejemplo.edu.co ANY
dig ejemplo.edu.co MX
dig ejemplo.edu.co TXT
# 3. Subdominios visibles (usando crt.sh - certificados públicos)
curl -s "https://crt.sh/?q=%25.ejemplo.edu.co&output=json" | jq -r '.[].name_value' | sort -u
# 4. Información del servidor web
curl -I https://ejemplo.edu.coDocumenta:
- ¿Qué información del registrante está expuesta?
- ¿Cuántos subdominios encontraste?
- ¿Qué tecnologías revela el servidor (headers)?
Parte 2: Exposición en motores de búsqueda (20 min)
Usa operadores avanzados de Google (Google Dorks) para encontrar información expuesta:
site:ejemplo.edu.co filetype:pdf
site:ejemplo.edu.co "contraseña" OR "password"
site:ejemplo.edu.co inurl:admin
site:ejemplo.edu.co ext:sql OR ext:bak
Documenta:
- ¿Encontraste documentos internos indexados?
- ¿Hay páginas de administración expuestas?
- ¿Qué información sensible podría estar visible?
Parte 3: Exposición de servicios con Shodan (20 min)
Crea una cuenta gratuita en Shodan y busca información sobre el rango IP de la organización:
hostname:ejemplo.edu.co
org:"Universidad Ejemplo"
Documenta:
- ¿Qué servicios están expuestos a Internet?
- ¿Hay versiones de software visibles?
- ¿Detectas servicios que no deberían ser públicos?
Parte 4: Verificación de credenciales filtradas (10 min)
Usa Have I Been Pwned para verificar si correos del dominio han aparecido en filtraciones:
- Verifica dominios, no correos personales específicos
- La API de HIBP permite verificar dominios completos (requiere verificación)
Entregable
Crea un reporte de reconocimiento (1-2 páginas) que incluya:
- Resumen ejecutivo: ¿Qué tan expuesta está la organización?
- Hallazgos por categoría:
- Información de dominio/DNS
- Documentos indexados
- Servicios expuestos
- Credenciales filtradas
- Matriz de riesgos: Clasifica cada hallazgo por probabilidad de explotación e impacto
- Recomendaciones: ¿Qué debería hacer la organización para reducir su superficie de ataque?
Reflexión
Después de completar el laboratorio:
- ¿Qué información te sorprendió encontrar públicamente?
- ¿Cómo usaría un atacante real esta información?
- ¿Qué controles podrían reducir esta exposición?
Navegación: ← Anterior | Inicio | Siguiente: Principios CIAAN →