Corredor de acceso inicial (IAB)

¿Qué es un corredor de acceso inicial?

Un intermediario de acceso inicial (IAB, Initial Access Broker) es un actor de amenazas especializado en infiltrarse en sistemas y redes informáticos, para luego vender ese acceso no autorizado a otros actores maliciosos. Los IAB son expertos en identificar y explotar vulnerabilidades de seguridad, prestando servicios a grupos de ransomware y otros actores maliciosos. Los IAB perpetúan actividades maliciosas y permiten la entrada en sistemas comprometidos actuando como intermediarios.

Cómo funcionan los corredores de acceso inicial

Los IAB son expertos en explotar técnicas comunes de piratería informática para obtener acceso no autorizado a redes, aprovechando ataques de ingeniería social, ataques de fuerza bruta y otros vectores de ataque. El precio de los servicios de los IAB depende de factores como el tamaño y el tipo de objetivo y el tipo de acceso ofrecido. Al vender el acceso en lugar de llevar a cabo ellos mismos los ataques, los IAB mitigan los riesgos asociados a la ejecución de un ataque de ransomware, centrándose en su lugar en penetrar en las redes y sacar provecho de su experiencia.

Los IAB operan principalmente en foros de la web oscura y mercados clandestinos y pueden funcionar como actores individuales o como parte de organizaciones más grandes, como las bandas de ransomware como servicio (RaaS). Su clientela está formada por grupos con intenciones maliciosas que aprovechan el acceso adquirido para lanzar ataques de ransomware, ejecutar violaciones de datos y participar en otras actividades maliciosas, normalmente con fines lucrativos.

Qué venden los corredores de acceso inicial

Los intermediarios de acceso inicial venden varios tipos de acceso a la red.

Protocolo de escritorio remoto (RDP)

RDP es un protocolo de ciberseguridad que permite a los usuarios controlar un ordenador a través de una conexión de red de forma remota. Los IAB venden sistemas comprometidos con acceso RDP habilitado, lo que permite a los compradores explotar los sistemas de forma remota.

VPN

Las VPN se utilizan para establecer conexiones seguras a través de Internet. Si los servidores VPN no están configurados correctamente, los IAB pueden acceder a las cuentas del sistema y vender las credenciales comprometidas.

Ataque Web Shell

En un ataque web shell, los actores de la amenaza se aprovechan de las vulnerabilidades del servidor web e implantan archivos maliciosos dentro de los directorios del servidor web, estableciendo un acceso de puerta trasera al servidor web.

Supervisión y gestión remotas (RMM)

RMM es el conjunto de herramientas y procesos que permiten a los proveedores de servicios de TI supervisar los terminales, redes y ordenadores de los clientes de forma remota y proactiva.

Directorio Activo

El directorio activo es un servicio de directorio que almacena información sobre recursos y elementos de una red, lo que facilita el uso y el control de la información. Los IAB se infiltran en estos almacenes de datos estructurados y los venden a los compradores para acceder a redes privadas.

Peligros de los corredores de acceso inicial

Los IAB suponen un riesgo importante para la seguridad de las redes, ya que perpetúan el aumento de las ciberamenazas, como los ataques de malware y ransomware. Al ayudar a los actores de amenazas que carecen de los conocimientos técnicos o los recursos necesarios para piratear sistemas de forma independiente, las IAB agilizan los ciberataques.

Los IAB también benefician a las bandas RaaS al reducir su carga de trabajo y acelerar sus servicios. A medida que crecen las asociaciones entre los IAB y las bandas de RaaS, ambas partes obtienen acceso a conjuntos de habilidades, clientela y poder más sólidos. Las bandas de RaaS siguen recibiendo una compensación económica, mientras que a otros actores de amenazas se les proporcionan las herramientas necesarias para extorsionar a las organizaciones y sacar provecho de los ciberataques. 

Conocidas bandas de RaaS como LockBit y Conti ransomware han contribuido al aumento de los ataques de ransomware,una tendencia perjudicial que deja a las organizaciones vulnerables al robo de datos sensibles e información financiera.

Cómo protegerse de los intermediarios de acceso inicial

Mantenga la seguridad de la red y defiéndase contra los IAB aplicando las siguientes medidas de ciberseguridad:

Seguridad de puntos finales

La seguridad de puntos finales es una solución cibernética que protege los puntos finales de una organización, incluidos todos los dispositivos de red. Mitiga los ciberataques impidiendo que agentes maliciosos como los IAB se infiltren en los sistemas electrónicos.

Acceso a la red de confianza cero (ZTNA)

La ZTNA es un enfoque de seguridad que establece límites y restricciones para los recursos dentro de una red: para acceder a cualquier información, todos los usuarios deben autenticarse primero. Al validar continuamente las identidades de todos los que intentan entrar en una red, los modelos ZTNA impiden el acceso no autorizado.

Detección y Respuesta Gestionadas (MDR)

MDR es una solución de seguridad que garantiza la supervisión continua y la seguridad de una red. Al combinar la protección de puntos finales con las competencias de expertos en ciberseguridad, las soluciones MDR llevan a cabo sólidas operaciones de caza de amenazas y respuesta a incidentes, salvaguardando los datos de una organización.

Formación sobre sensibilización en materia de seguridad

La formación en concienciación sobre seguridad garantiza que todos los empleados y partes interesadas de la organización estén informados sobre las mejores prácticas de ciberseguridad. Dado que las amenazas se centran en los errores humanos cuando intentan penetrar en las redes, la formación en materia de seguridad es vital para promover la concienciación sobre la ciberseguridad y defenderse de los ciberataques.

CylanceGUARD para la protección contra el ransomware

 Como un servicio XDR Gestionado 24x7x365 basado en suscripción centrado en el ser humano, CylanceGUARD® proporciona la experiencia y el apoyo que las empresas necesitan para prevenir y proteger contra los ataques de ransomware. CylanceGUARD combina la experiencia integral encarnada por BlackBerry® Security Services con Endpoint Protection (EPP) basado en IA y detección de amenazas en el dispositivo y remediación a través de CylanceENDPOINT™. En resumen, CylanceGUARD proporciona a las empresas las personas y la tecnología necesarias para proteger a la empresa del panorama moderno de amenazas. 
SABER MÁS

Recursos relacionados:

Icono de recursos Prevención de pérdida de datos (DLP) Icono de recursos Seguridad de puntos finales Icono de recursos Plataformas de protección de puntos finales (EPP) Icono de recursos Detección y respuesta a puntos finales (EDR) Icono de recursos Detección y respuesta ampliadas (XDR) Icono de recursos Gestión de identidades y accesos (IAM) Icono de recursos Detección y respuesta gestionadas Icono de recursos XDR gestionado Icono de recursos Marco ATT&CK de MITRE Icono de recursos Defensa frente a amenazas móviles (MTD) Icono de recursos Análisis del comportamiento de usuarios y entidades (UEBA) Icono de recursos Arquitectura de confianza cero Icono de recursos Acceso a la red de confianza cero (ZTNA) Icono de recursos Seguridad de confianza cero Icono de recursos Gestión de eventos e información de seguridad (SIEM) Icono de recursos Servicio de Acceso Seguro Edge (SASE)
Más recursos