Cuando el atacante encuentra más de lo que debería

Existe una idea curiosa en seguridad. Nos hemos acostumbrado a pensar que los ataques comienzan cuando alguien explota una vulnerabilidad. Por eso hacemos escaneos. Por eso revisamos CVEs. Por eso medimos exposición. Por eso contamos hallazgos.

Y sin embargo, muchas veces el atacante todavía no está buscando vulnerabilidades. Está buscando otra cosa. Está intentando entender cómo funciona la organización.

• Quién trabaja allí.
• Qué tecnologías utiliza.
• Qué sistemas parecen importantes.
• Qué proveedores participan.
• Qué información vale la pena obtener.

Es una diferencia sutil. Pero cambia completamente la forma de ver un ataque. Hace años que veo penetration tests que, en la práctica, terminan reducidos a un escaneo de vulnerabilidades acompañado de un informe elegante. No digo que eso esté mal. Sería absurdo. Necesitamos conocer nuestras vulnerabilidades.

Lo que me preocupa es otra cosa. La facilidad con la que confundimos vulnerabilidades con ataques. Una vulnerabilidad es una debilidad. Un ataque es un recorrido. Y rara vez comprendemos un recorrido observando únicamente un punto del mapa. El atacante lo entiende perfectamente.

Por eso antes de intentar explotar algo suele invertir tiempo en observar.

• Un Excel publicado por error.
• Un organigrama olvidado. ¿o no?
• Una presentación corporativa.
• Los metadatos de un documento.
• Perfiles en LinkedIn.
• Un perfil técnico.
• Un anuncio laboral.

Por separado parecen detalles menores. Juntos empiezan a revelar una historia. Y los atacantes son extraordinariamente buenos leyendo historias. Mientras nosotros observamos activos individuales, ellos observan relaciones. Mientras nosotros vemos sistemas, ellos ven caminos. Mientras nosotros vemos vulnerabilidades aisladas, ellos ven oportunidades para encadenarlas.

Por eso muchas veces la pregunta importante no es:

¿Qué vulnerabilidades tenemos?

La pregunta realmente incómoda es:

¿Qué puede aprender sobre nosotros alguien que no debería saber absolutamente nada?

La respuesta suele sorprender.

• Nombres de usuarios.
• Convenciones de nomenclatura.
• Estructuras organizativas.
• Relaciones entre áreas.
• Tecnologías utilizadas.
• Proveedores estratégicos.

Información que nadie considera sensible porque, técnicamente, no lo es. Hasta que alguien empieza a conectar los puntos. En MITRE ATT&CK estas actividades aparecen dentro de las fases de reconocimiento y recopilación de información.

Pero incluso esa definición puede quedarse corta. Porque solemos pensar que el reconocimiento ocurre antes del ataque. Como si fuera una preparación.

Como si todavía no hubiera empezado nada. Yo no estoy tan seguro. Para mí el reconocimiento ya es parte del ataque. Es el momento en que alguien comienza a construir un modelo mental de nuestra organización. Y cuanto más preciso sea ese modelo, menos dependerá de la suerte cuando llegue el momento de actuar. Los informes de la industria muestran desde hace años que un atacante puede permanecer dentro de una organización durante semanas o incluso meses antes de ser detectado.

Eso suele interpretarse como una falla de monitoreo. Y muchas veces lo es. Pero también revela otra realidad. Los atacantes tienen mas tiempo que nosotros.Usualmente corremos siempre detras de los problemas, ellos pueden dedicar semanas a entender el terreno.

Nosotros solemos dedicar horas a revisar hallazgos. Ellos buscan caminos. Nosotros buscamos vulnerabilidades. Y esas dos perspectivas no siempre conducen al mismo lugar. Tal vez por eso muchas organizaciones siguen sorprendidas cuando sufren un incidente.

No porque desconocieran una vulnerabilidad. Sino porque nunca entendieron qué historia estaba contando toda la información que dejaron expuesta. Porque muchas veces el ataque comenzó mucho antes del exploit.

Comenzó cuando el atacante encontró más de lo que debería.