Acceso transitivo y ataques del lado del cliente: definición, ejemplos y prevención

Contrarrestar los ataques informáticos a través del conocimiento

Una de las mejores formas de contrarrestar la explotación informática es conocer el campo de juego, lo que permite anticipar ataques utilizando inteligencia previa.

Echemos un vistazo a un método de ataque comúnmente llamado acceso transitivo.

¿Qué es el acceso transitivo?

El acceso transitivo es un mal uso de la confianza que causa problemas para asegurar la información o el control. Si el sistema A confía en B y el sistema B confía en C, entonces es posible que el sistema A confíe inadvertidamente en el sistema C, lo que podría conducir a la explotación por parte de un operador infame en el sistema C.

Un ejemplo de este comportamiento se puede observar en un escenario de seguridad corporativa. Una empresa desea proteger su propiedad intelectual (PI) contra el robo, pero también permitir que los empleados utilicen la tecnología para investigaciones o entretenimiento ocasional fuera de servicio. Luego, la empresa obtendría un dispositivo de seguridad de red diseñado para detectar el intercambio ilegal de IP y al mismo tiempo permitiría la recreación. Si bien el dispositivo de seguridad cumple fielmente su misión, en realidad permite el acceso transitivo a las computadoras de la empresa por su propio diseño.

Gran parte de la seguridad de Internet se basa en la reputación y la confianza; el comercio electrónico y la banca, por ejemplo, dependen de certificados para cifrar y autenticar cualquier interacción. Los certificados se basan en el intercambio de claves de datos públicas, generadas por claves privadas ultrasecretas, para garantizar comunicaciones seguras. Como el dispositivo de seguridad de la red se encuentra entre las computadoras de la empresa e Internet, esta cadena de confianza se rompe ya que todos los datos deben pasar a través de ella.

La empresa utiliza este dispositivo de seguridad para interceptar y escanear todas las comunicaciones en busca de uso indebido de IP. Esto hace que la verificación del certificado sea imposible, porque el dispositivo también tiene que descifrar y luego volver a cifrar las transmisiones seguras. Utiliza sus propias claves privadas, en las que confía cada una de sus computadoras protegidas, para reemplazar el certificado de identificación del sitio de Internet por uno proporcionado por el dispositivo de seguridad.

Esta falla de seguridad también hace que los ataques del lado del cliente dirigidos por el usuario sean más difíciles de detectar. La siguiente sección examina estos tipos de ataques con más detalle.

¿Qué son los ataques del lado del cliente?

Los ataques del lado del cliente (CSA) son una clase de ataques en los que un usuario de computadora, sin saberlo, descarga datos maliciosos en su computadora, que luego infecta el dispositivo al ejecutarse. El punto de origen de la infección y la carga útil del exploit pueden diferir según los requisitos del atacante.

Imagine que un día está revisando su correo electrónico y supuestamente hay un mensaje de su banco pidiéndole que revise y verifique una transacción. El incumplimiento significa naturalmente que se rechaza la transacción. Proporcionaron un enlace útil a su sitio web en el mensaje para demostrar la legitimidad de la solicitud y usted hace clic en él para revisar sus estados de cuenta. Al visitar este sitio web, verá que se parece exactamente al sitio web de su banco, hasta el logotipo corporativo y la información de contacto. Los detalles son tan completos que la situación parece normal y usted se siente cómodo al proporcionar su nombre de usuario y contraseña.

Sin embargo, sin que usted lo sepa, todo lo relacionado con la apariencia del sitio está diseñado para explotar su confianza y lograr que ofrezca sus credenciales bancarias. Todo lo que ingrese en la página se copiará en la computadora del atacante y luego se usará para robar su dinero.

Sin embargo, el atacante no quedará satisfecho sólo con su identidad o su dinero; Seguirán cavando en busca de más. La página incluye elementos invisibles que descargan código a su computadora, y su navegador ejecuta este código automáticamente. Este código, un ataque de virus, puede diseñarse para recopilar datos de la computadora, enviar más mensajes maliciosos a sus contactos o simplemente causar daños a su sistema sin ningún motivo.

Este tipo de ataque se conoce como ataque del lado del cliente porque usted visita una página web y es procesado como víctima de un ataque. El vector de explotación inicial fue el correo electrónico entrante que conducía a una página web similar, robando primero la identidad de la víctima. Luego, la computadora se infecta con un virus dañino, incluso si la víctima no escribió nada.

Existen otros tipos de CSA, como los que operan únicamente a través de correo electrónico (archivos adjuntos maliciosos) y los que dependen de estar adjuntos a otros sitios (publicidad maliciosa). Los archivos adjuntos maliciosos son difíciles de detectar, ya que la interfaz fácil de usar de la computadora puede oscurecer el ataque al ocultar las extensiones finales y mostrar un ícono que no coincide con el tipo de archivo real. Por ejemplo, los atacantes usan extensiones dobles (p. ej., PurchaseReceipt2019.doc.exe) y el ícono de documento común de la computadora, y la configuración predeterminada de la computadora solo muestra el nombre del archivo y su extensión declarada.doc.

Incluso existe un CSA que sólo afecta al servidor que gestiona un sitio web, lo que se conoce como ataque de inyección SQL.

Los ataques de inyección SQL (SQLI) ocurren cuando se ejecuta una declaración SQL maliciosa en una base de datos al obligar al formulario de entrada de datos del sitio web a aceptar datos para los que no fue diseñado. El envío rompe las limitaciones normales impuestas al formulario para enviar comandos al servidor de la base de datos, que luego se ejecutan mediante las credenciales confiables del servidor web. Este ataque puede modificar o destruir la información de la base de datos e incluso eliminar toda la base de datos. No requiere que se pueda acceder a la base de datos desde Internet, ya que depende de la conexión ya existente entre el sitio web y los servidores de la base de datos.

Prevención de ataques

Protección contra el acceso transitivo: las conexiones de red privada virtual (VPN) pueden cifrar el tráfico directamente desde un dispositivo a Internet. Las VPN no interceptan ningún dato, por lo que se mantiene la confianza bidireccional.

Protección contra CSA: mantenga habilitado un programa antivirus actualizado, mantenga el firewall del dispositivo o de la red y no haga clic en enlaces sospechosos. Escanee la computadora con regularidad en busca de virus y otro malware. Habilite la opción para mostrar todas las extensiones de archivos en el Explorador de archivos de Windows, para que pueda detectar programas sospechosos que intentan hacerse pasar por documentos comunes utilizando extensiones dobles e íconos personalizados. No ingrese datos en formularios web sospechosos. Para sitios web importantes como bancos, escriba la URL manualmente o búsquela en línea. Utilice el sentido común y el pensamiento crítico para detectar correos electrónicos maliciosos y otros vectores de infección.

Resumen de la lección

En esta lección, aprendió sobre diferentes tipos de ataques y ejemplos de cómo funcionan. En particular:

• El acceso transitivo es un estado de confianza en el que el sistema A confía involuntariamente en el sistema C porque ambos confían en B. Un atacante que ejecute una computadora C maliciosa y aproveche esta confianza puede romper el cifrado e interrumpir el flujo seguro de las comunicaciones.
• Los ataques del lado del cliente son una clase de ataques en los que una computadora, un servicio o una identidad se ven perjudicados en función de las acciones del usuario, como visitar o proporcionar información a un sitio web falso. Los correos electrónicos y la publicidad también proporcionan un vector potencial de CSA.
• Los ataques de inyección SQL se producen cuando un envío de datos maliciosos ejecuta una interrupción intencional del servidor de base de datos del sitio web objetivo.

Puede protegerse contra el acceso transitivo utilizando VPN y CSA manteniendo una vigilancia de seguridad constante, como un programa antivirus actualizado y habilitado y un firewall seguro, y vigilando contenido web o de correo electrónico sospechoso. Si bien solo los operadores de sitios web pueden protegerse contra exploits SQLI, el sentido común y las habilidades de pensamiento crítico son cruciales para la prevención de muchos ataques.