¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Island hopping, una nueva tendencia en ciberataques

En este artículo vamos a hablar del denominado ataque island hopping, una técnica empleada por los cibercriminales para llevar a cabo sus ataques sobre todo a grandes empresas e instituciones públicas.

¿Qué es un ataque island hopping?

El island hopping es un tipo de ciberataque en el que los cibercriminales no atacan directamente a su objetivo principal, sino que se concentran en infiltrarse en empresas u organizaciones que mantienen una relación con él, sea comercial o de otra índole, como proveedores o clientes, puesto que este tipo de organizaciones de menor tamaño suelen disponer de medidas de seguridad más débiles.

El island hopping attack recibe su nombre de una estrategia militar empleada por EE. UU. durante la Segunda Guerra Mundial, en que fueron avanzando de isla en isla en su camino hacia el ataque en Japón. El concepto en informática es el mismo, vulnerar las defensas de empresas u organizaciones más pequeñas, para llegar hasta el objetivo final, una gran empresa o institución.

Si bien, el ataque island hopping requiere una mayor planificación y tiempo para llevarlo a cabo, es una de las estrategias de ataque que más ha aumentado en la actualidad, especialmente con la mayor implantación del teletrabajo, que ha provocado que la seguridad en entornos híbridos no esté todavía bien implementada en medianas y pequeñas empresas. Además, las grandes empresas cuentan con sistemas de defensa y ciberseguridad más eficientes y difíciles de vulnerar, mientras que las pequeñas y medianas empresas cuentan con una infraestructura de seguridad menos potente.

Básicamente se trata de realizar ataques sobre la cadena de suministro (no confundir con ataques de cadena de suministro, aunque en cierto sentido están relacionados y pueden compartir el mismo objetivo final), saltando de una empresa a otra, hasta alcanzar el objetivo final.

¿Cómo funciona un ataque island hopping?

El ataque island hopping es la estrategia utilizada para conseguir llegar al objetivo final y desplegar en él ataque planeado, por ejemplo, se puede emplear para llevar a cabo ataques de ransomware, como el que sufrió el estado de Texas, que en agosto de 2019 vio como 22 de sus gobiernos locales caían víctimas de un ataque coordinado de ransomware, utilizando para ello la estrategia del island hopping.

Con el island hopping los cibercriminales enfocan sus esfuerzos en infiltrarse en las redes de empresas más pequeñas con las que el objetivo final tiene alguna clase de relación, como pueden ser empresas de marketing, de recursos humanos, de SaaS o de cualquier servicio que tenga externalizado, y desde ellas, conseguir acceder a su objetivo final.

Para ello pueden recurrir a diferentes métodos, como vulnerar Endpoints con acceso remoto a la red interna del objetivo principal, explotar vulnerabilidades de dispositivos conectados a la red interna (como las impresoras) para ganar acceso a esta, comprometer el servidor de correo y recurrir a distintos tipos de phishing, etc.

Al final, de lo que se trata es de poder conseguir sobrepasar las defensas y atacar el objetivo principal explotando la confianza entre este y las empresas de su cadena de suministro. Por ejemplo, si los cibercriminales consiguen comprometer el correo electrónico de un proveedor, pueden aprovecharlo para enviar un email con archivos infectados adjuntos.

Tipos de ataque island hopping

Existen tres tipos de ataque island hopping:

  • Basado en red: Es el más común y consiste en invadir la red interna de empresas dentro de la cadena de suministro del objetivo principal y desde ella, saltar a la red de este.
  • Basado en sitio web: Consiste en insertar malware en la web de una empresa proveedora o cliente del objetivo principal y que este visite o utilice con regularidad. Se puede emplear para desplegar malware desde ella o robar credenciales de miembros de la empresa u organización objetivo final.
  • Basado en el compromiso de correo electrónico comercial: Es el más usado contra el sector financiero, consiste en comprometer el servidor de correo de una empresa asociada al objetivo final y desde este enviar malware empleando una cuenta de correo en la que el objetivo confiará.

Objetivos del ataque island hopping

Los objetivos del ataque island hopping suelen ser grandes empresas y corporaciones, así como instituciones y organismos públicos, primero, porque pueden «conseguir» de ellas más dinero en concepto de rescate (es bastante habitual que esta estrategia se use para llevar a cabo ataques de ransomware o exfiltración de datos, para luego proceder a extorsionar a la víctima a cambio de no publicar o vender dicha información) y segundo, por lo que ya hemos comentado, las empresas más pequeñas tienen medidas de seguridad menos robustas y, por tanto, son generalmente más fáciles de vulnerar.

¿Cómo evitar ser víctima de un ataque island hopping?

El peligro del ataque island hopping reside precisamente en que los cibercriminales pueden aprovechar la relación de confianza entre empresas para alcanzar su objetivo final con más facilidad que si intentaran un «ataque frontal».

Quizás, un primer paso para evitar ser víctimas de este tipo de estrategias es asegurarnos de que las empresas con las que mantenemos cualquier tipo de relación y que puedan tener acceso, de alguna manera, a nuestra red interna, cuentan con las medidas e infraestructura de seguridad necesarias para reducir las posibilidades de ser usadas como puertas de entrada a nuestra organización.

Un segundo paso, sería comprobar y saber con certeza a qué tipo de datos pueden acceder nuestros proveedores, para protegerlos de la manera debida, como recurriendo al cifrado de datos, la conexión a la red interna a través de un DNS privado o una VPN o el uso de autenticación multifactor.

Monitorear las redes y dispositivos con sistemas SIEM, UEBA y contar con soluciones de seguridad Endpoint, también ayudará a detectar intentos de acceso no autorizados, así como movimientos laterales y acciones sospechosas de los usuarios (por ejemplo, conexiones fuera del horario habitual, descarga masiva de archivos, etc.).

Así mismo, contar con un entorno de sandboxing puede ayudar a evitar la instalación involuntaria de malware de correos electrónicos aparentemente lícitos.

Finalmente, aunque la prevención es esencial, también lo es estar preparados para poder responder ante un ciberataque lo más rápidamente posible y para ello la empresa debe contar con un sistema y protocolo de respuesta a incidentes bien planificado e implantado de antemano, de manera que se pueda frenar el ataque nada más detectarse, impidiendo así que toda la empresa y su red interna y equipos puedan verse comprometidos.