Destruir datos, interrumpir servicios o causar fallos en procesos críticos para el funcionamiento de una organización. Este es el objetivo de la táctica “Impacto”, utilizada por los cibercriminales para provocar un daño tangible en los sistemas o negocios de una compañía. ¿Cómo? Encriptando datos con ransomware, modificando o eliminado registros, realizando sabotaje digital o vulnerando la disponibilidad de servicios esenciales.
Pasó en 2023, en el Hospital Clinic de Barcelona, donde durante días se suspendieron operaciones y servicios debido a un ataque de ramsonware. También en el 2021, cuando los sistemas del Servicio Público de Empleo Estatal (SEPE) quedaron cifrados y los servicios online y las citas presenciales permanecieron interrumpidas durante días, debido a otro de estos ataques, impactando directamente en la prestación de servicios a la ciudadanía y obligando a trabajar con procedimientos manuales mientras se restauraban los sistemas. Estos dos casos son un claro ejemplo de las graves consecuencias que puede producir este tipo de incidentes y sirven para subrayar la importancia de contar con copias de seguridad offline, planes de contingencia y soluciones de monitorización dedicadas para su detección y respuesta temprana.
El conocimiento práctico de las 15 técnicas de impacto que los cibercriminales utilizan para llevar a cabo sus ataques es esencial para desarrollar planes de negocio y ciberresilencia:
- Data Destruction: borrar o destruir datos importantes para causar la pérdida de información irrecuperable.
- Defacement: modificar o alterar la apariencia visible de un sitio web o sistema para causar daño reputacional o confusión.
- Disk Content Wipe: borrar completamente el contenido de discos duros para impedir la recuperación de los datos almacenados.
- Endpoint Denial of Service: saturar o deshabilitar dispositivos finales para bloquear su uso.
- Firmware Corruption: alterar el firmware para causar fallos que pueden ser permanentes o difíciles de corregir.
- Inhibit System Recovery: bloquear o desactivar las funciones de restauración o recuperación de sistemas o backups para dificultar la recuperación.
- Network Denial of Service: lanzar ataques para hacer inaccesibles servicios o recursos en la red, interrumpiendo la comunicación.
- Resource Hijacking: usar recursos de sistemas comprometidos para propósitos maliciosos, como minería de criptomonedas o ataques DDoS.
- Service Stop: detener servicios o procesos esenciales que mantienen en funcionamiento sistemas o aplicaciones.
- System Blocking: bloquear el sistema operativo para que no se pueda utilizar con normalidad.
- System Shutdown/Reboot: forzar reinicios o apagados inesperados que interrumpen la actividad normal.
- Telephony Denial of Service: interrumpir o saturar servicios telefónicos o comunicaciones de voz.
- Transmitted Data Manipulation: alterar datos transmitidos para manipular la información.
- Manipulation of Control: interferir en sistemas de control industrial o procesos críticos para causar disrupciones.
- Disk Wipe: limpiar discos para eliminar datos y evitar su recuperación.
Recomendaciones
- Mantener copias de seguridad protegidas y fuera de línea.
- Simular escenarios de impacto en ejercicios de respuesta a incidentes.
- Supervisar sistemas críticos con alertas específicas para cambios y encriptación masiva.
- Clasificar activos esenciales y priorizar la defensa de sus accesos y servicios.
La táctica «Impacto» debe ser una prioridad en cualquier estrategia de ciberseguridad por el potencial del daño que puede causar.
Más información en: https://attack.mitre.org/tactics/TA0040/
