Uno de los métodos más utilizados por los ciberdelincuentes para llevar a cabo ataques es la recopilación de información sobre los dispositivos de sus posibles víctimas. Ordenadores, servidores, switches y cualquier otro equipo conectado a una red contienen datos administrativos y de configuración que, en las manos equivocadas, pueden ser valiosos para explotar vulnerabilidades. Entre estos datos se encuentran el nombre del dispositivo, sistema operativo, dirección IP, idioma, entre otros.
Métodos empleados por los atacantes
Para obtener esta información, los atacantes utilizan diferentes estrategias. Algunas de ellas son directas y agresivas, como el escaneo activo, el phishing o la inserción de software malicioso en sitios web. Otras, en cambio, se basan en la recolección pasiva de datos a través de redes sociales, páginas web de las víctimas, facturas, ofertas de empleo o incluso cabeceras HTTP.
Subtécnicas según la matriz MITRE
La matriz MITRE clasifica esta técnica en cuatro categorías principales:
- Hardware: los atacantes buscan información sobre el tipo de hardware utilizado, su versión y componentes adicionales, lo que puede revelar medidas de seguridad como lectores biométricos o hardware de cifrado.
- Software: se enfocan en identificar programas instalados, versiones de navegadores, antivirus y otros elementos que puedan indicar posibles brechas de seguridad.
- Firmware: recopilan detalles sobre configuraciones, actualizaciones y parches de seguridad aplicados, lo que les permite determinar la antigüedad y posibles debilidades del sistema.
- Configuración del cliente: analizan aspectos como el sistema operativo, arquitectura, entornos de virtualización, zona horaria e idioma, información clave para personalizar un ataque.
¿Cómo mitigar este riesgo?
Dado que esta técnica implica la recopilación de datos fuera del control directo de la empresa, no existen medidas preventivas completamente eficaces. La mejor estrategia es minimizar la cantidad de información expuesta y restringir el acceso a datos sensibles.
Detección y medidas de protección
Para identificar este tipo de actividad, es recomendable analizar el tráfico web en busca de patrones asociados con software malicioso diseñado para extraer información del host. Sin embargo, esta detección puede generar una alta tasa de falsos positivos y, en muchos casos, ocurre fuera del alcance de la organización afectada. Por ello, los esfuerzos deben concentrarse en prevenir fases críticas del ataque, como el acceso inicial a los sistemas.