Una intrusión en un sistema es un ataque cibernético que busca acceder de forma no autorizada a un sistema informático, aprovechando alguna vulnerabilidad o debilidad del mismo. El objetivo de una intrusión puede variar según el tipo de atacante, el sistema afectado y la información comprometida, pero en general suele ser obtener algún beneficio, causar algún daño o realizar algún espionaje.
Los niveles de profundidad de una intrusión se refieren al grado de acceso o control que el atacante logra sobre el sistema, así como al impacto o riesgo que supone para la seguridad del mismo. Estos niveles pueden ser:
- Realizar operaciones sin una cuenta: Este nivel implica que el atacante puede ejecutar algunas acciones sobre el sistema sin necesidad de autenticarse o identificarse, aprovechando alguna vulnerabilidad o configuración insegura del mismo. Por ejemplo, el atacante puede enviar peticiones HTTP maliciosas a un servidor web para provocar una denegación de servicio, o puede explotar un desbordamiento de búfer para ejecutar código arbitrario en el sistema. Este nivel supone un riesgo bajo o moderado, dependiendo de la naturaleza y el alcance de las operaciones que se puedan realizar.
- Acceder como usuario sin privilegios: Este nivel implica que el atacante puede acceder al sistema con una cuenta de usuario que tiene permisos limitados o restringidos, ya sea porque ha obtenido las credenciales de algún modo (por ejemplo, mediante phishing o fuerza bruta) o porque ha creado una cuenta propia aprovechando alguna vulnerabilidad o configuración insegura del sistema. Por ejemplo, el atacante puede acceder a un sistema Linux con una cuenta de usuario normal y ver o modificar algunos archivos o directorios a los que tenga acceso. Este nivel supone un riesgo moderado o alto, dependiendo de la información y los recursos a los que pueda acceder el usuario sin privilegios.
- Acceder como usuario con privilegios: Este nivel implica que el atacante puede acceder al sistema con una cuenta de usuario que tiene permisos especiales o elevados, pero no los mismos que un administrador o un superusuario. Por ejemplo, el atacante puede acceder a un sistema con una cuenta de usuario que pertenece a un grupo de seguridad o a un rol de aplicación que le otorga ciertos privilegios sobre el sistema o sus recursos. Este nivel supone un riesgo alto, ya que el atacante puede realizar acciones que podrían afectar al sistema o a la información, pero no tiene control total sobre el mismo.
- Ganar privilegios de administrador: Este nivel implica que el atacante puede elevar sus privilegios en el sistema hasta obtener los mismos que un administrador o un superusuario, ya sea porque ha obtenido las credenciales de algún modo (por ejemplo, mediante phishing o fuerza bruta) o porque ha explotado alguna vulnerabilidad o configuración insegura del sistema que le permita escalar privilegios. Por ejemplo, el atacante puede acceder a un sistema Windows con una cuenta de usuario normal y aprovechar una vulnerabilidad del servicio UAC para obtener privilegios de administrador. Este nivel supone un riesgo alto o crítico, ya que el atacante puede tener acceso y control total sobre el sistema y sus recursos.
- Ganar privilegios de dominio o red: Este nivel implica que el atacante puede elevar sus privilegios en el sistema hasta obtener los mismos que un administrador de dominio o de red, que son los usuarios con más privilegios y autoridad en una red de sistemas informáticos. Estos usuarios pueden realizar cualquier acción sobre los sistemas y los recursos de la red, incluso modificar su configuración o su funcionamiento. Para lograr este nivel, el atacante debe explotar alguna vulnerabilidad o configuración insegura del sistema o de la red que le permita escalar privilegios desde una cuenta de administrador o superusuario. Por ejemplo, el atacante puede acceder a un sistema Windows con una cuenta de administrador y aprovechar una vulnerabilidad del servicio Active Directory para obtener privilegios de administrador de dominio. Este nivel supone un riesgo crítico, ya que el atacante puede comprometer la integridad, la disponibilidad y la confidencialidad de todos los sistemas y los datos de la red.
- Ganar privilegios system o root: Este nivel implica que el atacante puede elevar sus privilegios en el sistema hasta obtener los mismos que el usuario system en Windows o el usuario root en Linux, que son los usuarios con más privilegios y autoridad en estos sistemas operativos. Estos usuarios pueden realizar cualquier acción sobre el sistema, incluso modificar su configuración interna o su funcionamiento. Para lograr este nivel, el atacante debe explotar alguna vulnerabilidad o configuración insegura del sistema que le permita escalar privilegios desde una cuenta de administrador o superusuario. Por ejemplo, el atacante puede acceder a un sistema Linux con una cuenta de superusuario y aprovechar una vulnerabilidad del kernel para obtener privilegios de root. Este nivel supone un riesgo crítico, ya que el atacante puede comprometer la integridad, la disponibilidad y la confidencialidad del sistema y sus datos.
Como se puede observar, los niveles de profundidad de una intrusión están relacionados con los objetivos y las capacidades del atacante, así como con las medidas de seguridad del sistema. Por ello, es importante adoptar estrategias de defensa en profundidad que protejan el sistema desde diferentes ángulos y capas, utilizando controles físicos, técnicos y administrativos. Así, se puede dificultar o impedir que el atacante acceda al sistema o eleve sus privilegios, reduciendo el impacto y el riesgo de una intrusión.
SparkBit 