Concepto esencial en ciberseguridad y ciberinteligencia, utilizado para describir el comportamiento de un actor o grupo de amenaza.
Para cometer sus delitos, los ciberdelincuentes utilizan una amplia variedad de estrategias. Los expertos en ciberseguridad de empresas e instituciones deben conocer esas metodologías y adaptar sus estrategias para poder hacer frente a su impacto. Aunque las “innovaciones” de los ciberdelincuentes casi siempre van un paso por delante de las medidas de seguridad, hay ciertos patrones y estructuras de ataque que se han ido estudiando a lo largo del tiempo y que dan lugar a determinadas combinaciones de Tácticas, Técnicas y Procedimientos (TTP). Estas combinaciones van indicando las amenazas a vigilar a los defensores de la ciberseguridad, aunque también dan referencias para avanzar y evolucionar a los ciberdelincuentes.
Las tácticas son los comportamientos que los atacantes intentan llevar a cabo, el vector con el que buscan realizar el ataque y lograr su objetivo. Para perpetrar un ciberataque pueden elegir, por ejemplo, entre movimientos laterales, escalado de privilegios o exfiltración. A continuación se listan algunas:
- Acceso inicial: el atacante trata de entrar en una red.
- Ejecución: el atacante intenta ejecutar un código malicioso.
- Persistencia: el atacante trata de mantener su posición.
- Escalada de privilegios: el atacante trata de obtener permisos de nivel superior.
- Evasión de la defensa: el atacante intenta evitar ser detectado.
- Acceso a credenciales: el atacante intenta conseguir nombres de cuentas y contraseñas.
- Descubrimiento: el atacante intenta investigar y averiguar su entorno.
- Movimiento lateral: el atacante intenta moverse entre sistemas.
- Recolección: el atacante trata de recolectar datos de interés para su objetivo.
- Comando y control: el atacante intenta comunicarse con los sistemas comprometidos para controlarlos.
- Exfiltración: el atacante trata de robar datos.
- Impacto: el atacante intenta manipular, interrumpir o destruir sistemas y datos.
Las técnicas son los métodos o tareas que se desarrollarán para conseguir la táctica. Cada táctica está formada por varias técnicas, que pueden ser de muchos tipos: utilización de archivos maliciosos, ficheros ofuscados, PowerShell, borrado de archivos, tareas programadas, transferencia de herramientas de acceso, etc. Por ejemplo, una técnica para obtener acceso inicial podría ser el phishing.
Los procedimientos son los pasos concretos y predefinidos que seguirá un ciberdelincuente para desplegar sus técnicas y conseguir que su ataque tenga éxito. Por ejemplo, los procedimientos de un ataque de phishing incluirían el orden de las operaciones o las fases de la campaña. Esto podría incluir detalles sobre la infraestructura para enviar correos electrónicos maliciosos, a quiénes se dirigen y si utilizan como anzuelo un enlace o un archivo adjunto.
Las TTP elegidas para un ataque pueden estar formadas por diferentes tácticas, técnicas y procedimientos de formas muy variadas para lograr el objetivo. Un ejemplo fue el ciberataque WannaCry (2017). Las tácticas utilizadas fueron una combinación de la evasión de defensas, los movimientos laterales y el impacto, entre otras. Se usaron técnicas como la modificación de permisos de archivos, el cifrado de archivos de los usuarios exigiendo una recompensa para descifrar dichos archivos (ransomware) o la enumeración de sesiones de escritorio remoto para intentar ejecutar el malware en cada sesión.
Un conocimiento más profundo de las TTP permite a los expertos en ciberseguridad ayudar a las organizaciones a entender cómo prepararse, responder y mitigar las amenazas actuales y futuras.
