SG36

CIBERSEGURIDAD 42 mente detectables ‘a propósito’ (son cargas útiles de sacrificio o señuelos) y otras (las importantes) son extraordina- riamentedifíciles dedetectar. Elmalware inteligente es persistente, ciberresiliente, está basado en inteligencia artificial, es modular, actualizable (de forma subliminar, con el exterior/interior para ganancia de funciones) es altamente no detectable, utiliza ‘técnicas de ocul- tación’ basadas en cibermimetización, esteganografía, cifrado, compresión, uso de side-channels, anti-ciberforensia, se virtualiza, se hace transparente, se sitúa en hardware y lugares inimaginables, etc., puede ser bien autónomo/auto- control o bien guiado por IA y una red distribuida oculta de servidores C&C con o sin bot-masters, etc. El malware inteligente en su evolución, progresión y ciclo de vida pasa por muchas etapas/hitos, por ejemplo: reconocimiento-contacto-posiciona- miento (investigar, explorar, identificar y seleccionar objetivos de actuación/ ocultación así como de elementos de protección en ciberseguridad que pue- dan localizar-dañar al malware ofensivo o bien de elementos ofensivos que el malware defensivo deba inactivar, eli- minar, etc.), armarse (integrar malware de acceso remoto con exploits en una carga útil reubicable y reentregable, por ejemplo, ficheros Office Microsoft, pdf Adobe, etc. contaminados), entrega (transmisión del malware a los objetivos, por ejemplo, utilizando ficheros adjuntos en correos electró- nicos, visitando sitios Web infectados a través de links-botones o códigos QR, dispositivos USB, CDROMs, DVDs, etc. infectados), explotación (una vez entregado el código del malware se dispara explotando sistemas, apli- caciones, objetos IoT/IIoT/IoMT/IAoT, dispositivos vulnerables, etc.), instalación (el malware instala diversos módulos como keyloggers, spyware, etc., en los dispositivos-sistemas objetivos e incluso backdoor para permitir acceso persis- tente), interactúa con servidores C&C (Command&Control) (servidores exter- nos/internos se comunican de forma subliminar y esteganográfica con el malware para pro- porcionar acceso dentro de la red objetivo, para trans- ferir actualizaciones, para transferir datos robados, para ganancia de funcio- nes, etc.), acciones sobre los objetivos (en el malware ofensivo se realizan opera- ciones como exfiltración de datos, destrucción, bloqueo y modificación de datos, intrusiones en otros obje- tivos, sabotajes, etc., en el malware defensivo se neutralizan- inactivan acciones maliciosas del malware ofensivo). El uso de las TTPs (Tácticas, Técnicas y Procedimientos) facilitan la ocultación, el despiste y la ciberresiliencia (permiten al malware su supervivencia, persistencia, tolerancia a fallos a ciberataques, evitan intentos de observación, destrucción, etc., para ello borra rastros, logs de SIEM, datos de ciberforensia, información de trazabilidad y usa ficheros-módulos de sacrificio y desinformación, realiza estrategias de equivocación como desplazamientos multidireccionales y multidominio, pivotaciones,movimientos multilaterales para evitar observación, borra-modifica logs, recursos SIEM, perturba relojes, mecanismos de sin- cronización, registros temporales ocultos, etc.). El malware inteligente utiliza téc- nicas de ‘modificar lo observado’ para que no tenga éxito la monitorización, vigilancia, visualización, seguimiento, trazabilidad, registro, etc., del malware. Según la compañía Riskrecon como media el 33% de las empresas tienen servicios de red inseguros accesibles desde Internet, pero por ejemplo en agricultura es el 45,8% y en fabricación es el 43,4%. Cuanto más avanzado es unmalware inteligentemenos señales de existencia genera para su posible descubrimiento. El malware inteligente integra diferentes elementos para su subsistencia: (predice, infiere y prevé) todo lo que puede detectar con anti- cipación (alertas tempranas); lo que no puede (inferir-prevenir-predecir), anula, inactiva, bloquea, inhabilita, elimina, caza lo que no puede detectar en su contra. Los malware inteligentes capturan credenciales que cruzan la red, las craquean, las utilizan en otros disposi- tivos, crean archivos no autorizados, se mueven lateralmente, escalanprivilegios, infiltran nuevas cargas maliciosas que permiten nuevas acciones, permanecen en silencio (con un nivel de ruido en el ciberataque y en su presencia práctica- mente despreciable) en la redmientras reconocen los activos, buscan lugares para esconderse y vulnerabilidades que sean explotables (0-day y N-day) en ese entorno en concreto o en otros, etc. PROGRESIÓNDEL MALWARE INTELIGENTE AVANZADO En la compleja progresión del malware inteligente se pueden identificar: (a) Vectores de entrada. Son situaciones o puntos de vulnerabilidad como visitar, incluso de forma breve, un sitio Web infectado (se denomina técnicamente drive-by download/ drive-by compromise o simplemente drive-by, esto se puede producir al prestar brevemente nuestromóvil a un desconocido (y este accede a un sitio infectado) o escanear un código QRque nos lleve a un sitio infectado), ejecutar unfichero adjunto infectado, por ejemplo, existente dentro de en un correo electrónico o servicios de mensajería instantánea, hacer