Ponente
Descripción
En los últimos años, se ha observado un aumento del número e impacto de las acciones maliciosas contra empresas y organizaciones, principalmente relacionado con las amenazas de tipo ransomware pero también por la extensión de la actividad de otras amenazas avanzadas. En paralelo, y en parte gracias a la creciente visibilidad que se disponer gracias a la compartición de información de ciberamenazas, se observa también una mayor sofisticación de las capacidades de los actores maliciosos. En este trabajo, nos centramos en la evolución de la infraestructura empleada por estos actores y, en particular, en la tipología y servicios empleados como orígenes de los accesos remotos a los sistemas, principalmente relacionados, aunque no exclusivamente, con el empleo de técnicas como ‘Valid Accounts’ (T1078) y ‘External Remote Services’ (T1133). Nuestra hipótesis de trabajo es que los atacantes, a lo largo de estos años, han evolucionado de intentar ocultar el verdadero origen de la actividad maliciosa, mediante el empleo de redes de anonimización como Tor y servicios de VPN, a intentar mimetizarse con la actividad común en un sistema, aprovechando servicios existentes o procurándose una infraestructura que les permitiera disponer de orígenes de su actividad similares a los de los usuarios legítimos del sistema. Si bien estos patrones de actividad no son nuevos y han sido documentados en el pasado asociados a APTs, en los últimos años grupos de un menor nivel de sofisticación han aprovechado servicios legítimos, como los conocidos como proxys residenciales para vehicular esa actividad maliciosa. En esto servicio, usuarios, en muchas ocasiones sin ser conscientes de ello, cede la utilización de su conexión a internet para el enrutamiento de tráfico de otros usuarios. Gracias a esquemas de distribución que en ocasiones son poco claros, estos servicios han conseguido un número muy elevado de accesos, que en España se cifraría en varios millones según varios proveedores, que permite a los clientes de estos servicios enrutar el tráfico web que deseen seleccionando orígenes según proveedor de servicios de internet, o ubicación geográfica detallada. En este trabajo, presentamos las principales características de este tipo de servicios, explicaremos algunos escenarios de empleo en campañas reales y plantearemos los principales riesgos que pueden suponer para las organizaciones que forman parte de RedIRIS. Por último, realizaremos una presentación del grado de penetración de este tipo de herramientas en los accesos a Internet en España tanto residenciales como corporativos que es, en nuestro conocimiento, el primero de este tipo que se ha llevado a cabo.
| Línea temática prioritaria | Seguridad y privacidad |
|---|
