Riesgos remotos y redes vecinas: la anatomía de un ataque de vecino más cercano

En febrero de 2022, el grupo de amenaza estatal ruso APT28, también conocido como Fancy Bear, Forest Blizzard y GrusomeLarch, realizó un ataque a una empresa estadounidense con vínculos a Ucrania. 

El motivo era familiar: recopilación de inteligencia. El método, sin embargo, era innovador: un nuevo enfoque que combinaba los riesgos remotos con las redes locales. Conocido como un ataque de proximidad, es una llamada de atención para las empresas que cierran las puertas digitales pero dejan las ventanas de Wi-Fi abiertas. 

En este artículo, desglosaremos los conceptos básicos de un ataque de vecino más cercano, exploraremos el compromiso de APT28 y ofreceremos consejos para ayudar a las empresas a mantenerse seguras. 

¿Qué es un ataque de vecino más cercano?

Un ataque de vecino más cercano no apunta directamente a las víctimas previstas. En lugar de eso, los actores maliciosos comprometen la seguridad digital de las empresas cercanas y luego utilizan dispositivos habilitados para Wi-Fi para detectar y conectarse a las redes objetivo. 

Este tipo de ataque funciona porque el Wi-Fi es intrínsecamente local, con señales que solo alcanzan una corta distancia más allá de las fronteras físicas de una empresa, lo justo para ser detectadas por dispositivos cercanos. Y aunque las empresas son cada vez más diligentes con la protección de cara al público, a menudo se preocupan menos por las redes Wi-Fi debido a su menor huella digital. Como resultado, muchas redes Wi-Fi requieren únicamente credenciales de inicio de sesión y contraseña para acceder.

El resultado es una oportunidad para los atacantes. En lugar de intentar comprometer redes corporativas bien protegidas, utilizan ataques de fuerza bruta para abrirse paso hasta vecinos mal defendidos. Una vez dentro, encuentran un dispositivo de doble conexión —uno que tiene conexiones cableadas e inalámbricas— y lo utilizan para buscar la red Wi-Fi de su objetivo. Desde allí, aprovechan las credenciales robadas para obtener acceso y exfiltrar datos protegidos.

Desde la perspectiva de las posibles víctimas, el ataque es difícil de detectar y más difícil de rastrear. Debido a que se accedió a las redes Wi-Fi utilizando credenciales legítimas y no hay evidencia de manipulación física o digital, los equipos de TI deben esperar hasta que los ataques estén en curso para capturar los datos de la señal y determinar el punto de origen. 

Anatomía del ataque APT28

Como la mayoría de los atacantes, los actores estatales rusos prefieren el camino más sencillo para comprometer: comprar o robar credenciales de acceso. Si esto no funciona —en el ataque de 2022, la red objetivo estaba protegida por la autenticación multifactorial (MFA)—, a menudo pasan a comprometer el Wi-Fi local. Los agentes han sido sorprendidos en el acto con antenas ocultas mientras intentaban realizar hackeos in situ.  

Para reducir su riesgo y cubrir sus huellas, APT28 intentó un enfoque diferente. En lugar de esconderse en coches o merodear por parques cercanos, los atacantes buscaron redes cercanas que no usaran MFA. Luego, emplearon ataques de relleno de credenciales para comprometer estas redes, localizar dispositivos de doble conexión y acceder a Wi-Fi objetivo que no estaba protegido por MFA. Esto permitió a APT28 utilizar credenciales robadas anteriormente sin preocuparse por los controles de seguridad adicionales. 

Como señaló Dark Reading, los atacantes adoptaron un enfoque de vivir de la tierra para evitar la detección. Crearon un script de PowerShell personalizado para encontrar y examinar las redes Wi-Fi disponibles, y utilizaron herramientas de Windows como Cipher.exe para desplazarse lateralmente a través de las redes. El resultado fue un ataque que aparentemente se originó desde dentro del edificio, pero que se ejecutó a miles de kilómetros de distancia.

Tres maneras de reducir el riesgo del vecino

Los ataques de vecinos más cercanos secuestran las redes Wi-Fi adyacentes para despistar a los defensores. Cuanto más tiempo tarden los equipos de seguridad en identificar la fuente de la vulnerabilidad, más tiempo tendrán los actores maliciosos para buscar en las bases de datos y robar datos críticos. 

Aquí tiene tres maneras de reducir el riesgo de interacciones negativas con los vecinos:

1. Use mejores contraseñas

Como se ha indicado anteriormente, los atacantes rusos emplearon el relleno de credenciales para comprometer negocios cercanos. Al utilizar contraseñas más seguras —la CISA sugiere contraseñas que contengan al menos 16 caracteres, sean aleatorias y únicas para una cuenta— y cambiándolas regularmente, las empresas pueden reducir el riesgo de ser un mal vecino. 

2. Implementar MFA en toda la red.

El Wi-Fi sin MFA proporcionó a los actores malicioso/a el punto de acceso necesario para utilizar las credenciales robadas. Al implementar la autenticación multifactorial en las redes corporativas, las empresas pueden frustrar los esfuerzos de los atacantes.

Sin embargo, según CISA, algunos tipos de MFA son mejores que otros. Por ejemplo, aunque la autenticación multifactor (MFA) mediante mensajes de texto (SMS) proporciona más protección a los usuarios, estos mensajes pueden ser interceptados por atacantes. Mientras tanto, las notificaciones push basadas en aplicaciones o las contraseñas de un solo uso (OTPs) ofrecen una defensa mejorada. Las herramientas resistentes al phishing, como FIDO, que utilizan la infraestructura de clave pública, se consideran las más seguras. 

3. Cree redes separadas

Las redes Wi-Fi pueden actuar como trampolines laterales para que los atacantes accedan a conexiones cableadas, lo que a su vez podría permitir el acceso a recursos protegidos. Para mitigar este riesgo, las empresas pueden construir entornos de red separados. Esto significa que comprometer la Wi-Fi no será suficiente — los atacantes aún tendrán que pasar las comprobaciones de MFA si quieren acceder a las redes cableadas. 

Ahí va el vecindario

Los buenos vecinos son educados, respetuosos y no intentan robar secretos de la empresa. Sin embargo, los actores maliciosos ahora pueden secuestrar redes vecinas mal protegidas para comprometer las conexiones Wi-Fi y evadir las defensas digitales, lo que añade un elemento de riesgo a los barrios que, de otro modo, serían tranquilos.

Mantener las calles digitales seguras significa reconocer los posibles puntos de compromiso, como el Wi-Fi no protegido por MFA o las contraseñas fáciles de adivinar que se pueden utilizar en ataques de relleno de credenciales. Al adoptar un enfoque de seguridad de red completo que trate todos los componentes como igualmente y potencialmente inseguros, las empresas pueden crear entornos consistentes que mantengan a los atacantes fuera, observando desde el exterior.