{"id":1300838,"date":"2024-08-01T21:18:29","date_gmt":"2024-08-01T21:18:29","guid":{"rendered":"https:\/\/teknomers.com\/es\/ofuscacion-todo-tiene-dos-caras\/"},"modified":"2024-08-01T21:18:34","modified_gmt":"2024-08-01T21:18:34","slug":"ofuscacion-todo-tiene-dos-caras","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ofuscacion-todo-tiene-dos-caras\/","title":{"rendered":"Ofuscaci\u00f3n: todo tiene dos caras"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Ofuscacion-todo-tiene-dos-caras.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<h2 style=\"text-align: left;\"><span style=\"font-weight: normal;\">C\u00f3mo detectar y evitar que los atacantes utilicen estas diversas t\u00e9cnicas<\/span><\/h2>\n<p>La ofuscaci\u00f3n es una t\u00e9cnica importante para proteger el software que tambi\u00e9n conlleva riesgos, especialmente cuando la utilizan los autores de malware. En este art\u00edculo, analizamos la ofuscaci\u00f3n, sus efectos y las respuestas a ella.<\/p>\n<h2 style=\"text-align: left;\">\u00bfQu\u00e9 es la ofuscaci\u00f3n?<\/h2>\n<p>La ofuscaci\u00f3n es una t\u00e9cnica que consiste en dificultar intencionalmente la lectura de informaci\u00f3n, especialmente en la codificaci\u00f3n inform\u00e1tica. Un caso de uso importante es la ofuscaci\u00f3n de datos, en la que se hace que los datos confidenciales sean irreconocibles para protegerlos del acceso no autorizado. Para ello se utilizan varios m\u00e9todos. <\/p>\n<p>Por ejemplo, en el caso de una tarjeta de cr\u00e9dito, por lo general solo se muestran los \u00faltimos cuatro d\u00edgitos, mientras que los d\u00edgitos restantes se reemplazan por equis o asteriscos. En cambio, el cifrado implica convertir los datos en un formato ilegible que solo se puede descifrar utilizando una clave especial.<\/p>\n<h2 style=\"text-align: left;\">Ofuscaci\u00f3n en el c\u00f3digo<\/h2>\n<p>Cuando se ofusca un c\u00f3digo inform\u00e1tico, se utiliza un lenguaje complejo y una l\u00f3gica redundante para dificultar la comprensi\u00f3n del c\u00f3digo. \u00bfEl objetivo? Enga\u00f1ar tanto a los lectores humanos como a los programas, como los descompiladores. Para ello, se cifran partes del c\u00f3digo, se eliminan metadatos o se sustituyen los nombres significativos por otros que no lo tienen. Insertar c\u00f3digo no utilizado o sin sentido tambi\u00e9n es una pr\u00e1ctica habitual para disfrazar el c\u00f3digo real. <\/p>\n<p>Un llamado ofuscador puede automatizar estos procesos y modificar el c\u00f3digo fuente para que a\u00fan funcione pero sea m\u00e1s dif\u00edcil de entender. <\/p>\n<p>Otros m\u00e9todos de ofuscaci\u00f3n incluyen comprimir todo el programa, hacer que el c\u00f3digo sea ilegible y cambiar el flujo de control para crear una l\u00f3gica no estructurada y dif\u00edcil de mantener. <\/p>\n<p>Tambi\u00e9n es com\u00fan insertar c\u00f3digo ficticio que no afecta la l\u00f3gica ni el resultado del programa. <\/p>\n<p>A menudo se combinan varias t\u00e9cnicas para lograr un efecto de m\u00faltiples capas y aumentar la seguridad.<\/p>\n<h2 style=\"text-align: left;\">La otra cara<\/h2>\n<p>Lamentablemente, la ofuscaci\u00f3n no es solo una protecci\u00f3n, sino tambi\u00e9n un desaf\u00edo. La ofuscaci\u00f3n no solo la utilizan los desarrolladores de software leg\u00edtimos, sino tambi\u00e9n los autores de software malicioso. El objetivo de la ofuscaci\u00f3n es anonimizar a los atacantes cibern\u00e9ticos, reducir el riesgo de detecci\u00f3n y ocultar el malware modificando la firma general y la huella digital del c\u00f3digo malicioso, incluso si la carga \u00fatil es una amenaza conocida. La firma es un hash, una representaci\u00f3n alfanum\u00e9rica \u00fanica de un elemento de malware. Las firmas suelen estar en formato hash, pero tambi\u00e9n pueden ser otra representaci\u00f3n breve de un c\u00f3digo \u00fanico dentro de un elemento de malware. <\/p>\n<p>En lugar de intentar crear una nueva firma modificando el malware en s\u00ed, la ofuscaci\u00f3n se centra en mecanismos de implementaci\u00f3n para enga\u00f1ar a las soluciones antivirus que se basan en firmas. Comparemos esto con el uso del aprendizaje autom\u00e1tico, el an\u00e1lisis predictivo y la inteligencia artificial para mejorar las defensas.<\/p>\n<p>La ofuscaci\u00f3n, o el disfraz del c\u00f3digo, puede ser tanto &#8220;buena&#8221; como &#8220;mala&#8221;. En el caso de la ofuscaci\u00f3n &#8220;mala&#8221;, los piratas inform\u00e1ticos combinan varias t\u00e9cnicas para ocultar el malware y crear m\u00faltiples capas de disfraz. Una de estas t\u00e9cnicas son los empaquetadores, que son paquetes de software que comprimen el malware para ocultar su presencia y hacer que el c\u00f3digo original sea ilegible. Luego est\u00e1n los cript\u00f3grafos que cifran el malware o partes del software para restringir el acceso al c\u00f3digo que podr\u00eda alertar a los programas antivirus. <\/p>\n<p>Otro m\u00e9todo es la inserci\u00f3n de c\u00f3digo muerto, que consiste en insertar c\u00f3digo in\u00fatil en el malware para camuflar la apariencia del programa. Los atacantes tambi\u00e9n pueden utilizar la modificaci\u00f3n de comandos, que consiste en cambiar los c\u00f3digos de comando en los programas de malware. Esto cambia la apariencia del c\u00f3digo, pero no su comportamiento.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1722547105_883_Ofuscacion-todo-tiene-dos-caras.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1722547105_883_Ofuscacion-todo-tiene-dos-caras.png\" alt=\"Ofuscaci\u00f3n\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Ofuscaci\u00f3n\"\/><\/a><\/div>\n<p>Como hemos visto, la ofuscaci\u00f3n del c\u00f3digo es s\u00f3lo el primer paso, ya que, por mucho trabajo que ponga el hacker en ofuscar el c\u00f3digo para eludir el EDR, el malware debe comunicarse dentro de la red y con el mundo exterior para tener &#8220;\u00e9xito&#8221;. Esto significa que la comunicaci\u00f3n tambi\u00e9n debe estar ofuscada. A diferencia del pasado, cuando las redes se escaneaban r\u00e1pidamente y se intentaba extraer datos del orden de terabytes de una sola vez, los atacantes de hoy se comunican de forma m\u00e1s silenciosa para que los sensores e interruptores de las herramientas de monitorizaci\u00f3n no ataquen. <\/p>\n<p>El objetivo de obtener direcciones IP mediante escaneo, por ejemplo, ahora se sigue m\u00e1s lentamente para pasar desapercibido. El reconocimiento, en el que los actores de amenazas intentan recopilar datos sobre sus v\u00edctimas objetivo, por ejemplo a trav\u00e9s de su arquitectura de red, tambi\u00e9n se est\u00e1 volviendo m\u00e1s lento y menos claro.<\/p>\n<p>Un m\u00e9todo de ofuscaci\u00f3n com\u00fan es el OR exclusivo (XOR). Este m\u00e9todo oculta los datos de tal manera que solo pueden ser le\u00eddos por personas que vinculen el c\u00f3digo con 0x55 XOR. ROT13 es otro truco en el que se reemplazan las letras por un c\u00f3digo.<\/p>\n<h3 style=\"text-align: left;\"><strong>Explosiones del pasado:<\/strong><\/h3>\n<ul>\n<li>Un ejemplo conocido de ofuscaci\u00f3n es el ataque a SolarWinds en 2020. Los piratas inform\u00e1ticos utilizaron la ofuscaci\u00f3n para eludir las defensas y ocultar sus ataques. <\/li>\n<li>Otro ejemplo interesante es PowerShell, una herramienta de Microsoft Windows que los atacantes est\u00e1n utilizando de forma abusiva. El malware que utiliza PowerShell oculta sus actividades mediante t\u00e9cnicas como la codificaci\u00f3n de cadenas, la ofuscaci\u00f3n de comandos, la ejecuci\u00f3n din\u00e1mica de c\u00f3digo y m\u00e1s. <\/li>\n<li>Otro ejemplo es el ataque XLS.HTML. En este caso, los piratas inform\u00e1ticos utilizaron elaboradas t\u00e9cnicas de ofuscaci\u00f3n para ocultar sus actividades maliciosas. Cambiaron sus m\u00e9todos de cifrado al menos diez veces en un a\u00f1o para evitar ser detectados. Sus t\u00e1cticas inclu\u00edan texto sin formato, codificaci\u00f3n de escape, codificaci\u00f3n Base64 e incluso c\u00f3digo Morse.<\/li>\n<li>En otra amenaza, los atacantes aprovecharon vulnerabilidades en ThinkPHP para ejecutar c\u00f3digo remoto en servidores. Instalaron un shell web encubierto llamado &#8220;Dama&#8221; que permit\u00eda el acceso permanente y otros ataques.<\/li>\n<\/ul>\n<h2 style=\"text-align: left;\">Por qu\u00e9 no deber\u00edas confiar solo en las firmas<\/h2>\n<p>La detecci\u00f3n basada en firmas es como un viejo amigo: es confiable cuando se trata de amenazas conocidas. Pero cuando se trata de amenazas nuevas y desconocidas, a veces puede resultar un misterio. A continuaci\u00f3n, se indican algunas razones por las que no deber\u00eda confiar \u00fanicamente en las firmas: <\/p>\n<ol>\n<li>Los autores de malware son verdaderos maestros del escondite. Utilizan diversas t\u00e9cnicas para camuflar sus programas maliciosos. Incluso peque\u00f1os cambios en el c\u00f3digo pueden provocar que la detecci\u00f3n de firmas falle. <\/li>\n<li>En el caso del malware polim\u00f3rfico, este se comporta como un camale\u00f3n: cambia constantemente su estructura para evitar ser detectado. Cada vez que se ejecuta, el c\u00f3digo tiene un aspecto diferente. <\/li>\n<li>\u00bfFirmas est\u00e1ticas? \u00a1Ni hablar! El malware metam\u00f3rfico es a\u00fan m\u00e1s complicado. Se adapta durante la ejecuci\u00f3n y cambia su c\u00f3digo de forma din\u00e1mica, lo que hace que sea casi imposible detectarlo con firmas est\u00e1ticas. <\/li>\n<li>Adem\u00e1s, los exploits de d\u00eda cero se comportan como el &#8220;nuevo chico del barrio&#8221;: son nuevos y desconocidos, y los sistemas basados \u200b\u200ben firmas no tienen posibilidad de reconocerlos. <\/li>\n<li>Adem\u00e1s, cuando una soluci\u00f3n basada en firmas arroja demasiados falsos positivos, se vuelve ineficiente. Demasiadas alertas falsas en las actividades diarias afectan a su equipo de seguridad y desperdician recursos valiosos.<\/li>\n<\/ol>\n<p>En resumen, la detecci\u00f3n de firmas, por ejemplo en un EDR, es una herramienta \u00fatil, pero no es suficiente por s\u00ed sola para evitar todas las amenazas. Es esencial una estrategia de seguridad m\u00e1s integral que tambi\u00e9n incluya an\u00e1lisis de comportamiento, aprendizaje autom\u00e1tico y otras t\u00e9cnicas modernas. <\/p>\n<h2 style=\"text-align: left;\">Por qu\u00e9 son tan importantes las herramientas NDR<\/h2>\n<p>Las soluciones de detecci\u00f3n de intrusos basadas en anomal\u00edas son como detectives que vigilan el comportamiento normal de un sistema y hacen sonar la alarma cuando detectan una actividad inusual. <a rel=\"nofollow noopener\" href=\"https:\/\/exeon.com\/product\/ndr?utm_source=THN&amp;utm_medium=obfuscation\" target=\"_blank\">Herramientas de detecci\u00f3n y respuesta de red (NDR)<\/a> Incluso van un paso m\u00e1s all\u00e1: se adaptan constantemente para mantenerse un paso por delante del cambiante panorama de las amenazas cibern\u00e9ticas y ofrecen un nivel de seguridad significativamente mayor que los enfoques tradicionales basados \u200b\u200ben firmas a trav\u00e9s de su an\u00e1lisis e integraci\u00f3n avanzados. Son capaces de detectar y defenderse tanto de amenazas conocidas como desconocidas.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1722547106_232_Ofuscacion-todo-tiene-dos-caras.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1722547106_232_Ofuscacion-todo-tiene-dos-caras.png\" alt=\"Ofuscaci\u00f3n\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Ofuscaci\u00f3n\"\/><\/a><\/div>\n<h3 style=\"text-align: left;\"><strong>As\u00ed es como lo hacen: <\/strong><\/h3>\n<ul style=\"text-align: left;\">\n<li><b>An\u00e1lisis del comportamiento:<\/b> <a rel=\"nofollow noopener\" href=\"https:\/\/exeon.com\/product\/ndr?utm_source=THN&amp;utm_medium=obfuscation\" target=\"_blank\">Herramientas NDR<\/a> Monitorean el tr\u00e1fico de la red y analizan el comportamiento. Detectan patrones inusuales que podr\u00edan indicar una comunicaci\u00f3n de comando y control (C&#038;C), como transferencias de datos irregulares.<\/li>\n<li><b>Monitoreo de protocolo: <\/b>Examinan solicitudes HTTP, tr\u00e1fico DNS y otros protocolos para detectar comportamientos o comunicaciones sospechosas que puedan estar asociadas con malware ofuscado.<\/li>\n<li><b>An\u00e1lisis de metadatos: <\/b>Las herramientas NDR analizan metadatos para detectar patrones inusuales que indiquen actividad sospechosa. Los modelos de aprendizaje autom\u00e1tico ayudan a identificar t\u00e9cnicas de ofuscaci\u00f3n t\u00edpicas que son visibles a trav\u00e9s de comportamientos sospechosos en el tr\u00e1fico de la red.<\/li>\n<li><b>Monitoreo de la comunicaci\u00f3n a largo plazo: <\/b>Como la ofuscaci\u00f3n de las comunicaciones es ahora crucial para los piratas inform\u00e1ticos, ya que adoptan t\u00e9cnicas m\u00e1s lentas y sigilosas para evadir la detecci\u00f3n y recopilar datos dentro y fuera de las redes, es \u00fatil que NDR tambi\u00e9n tenga en cuenta per\u00edodos de tiempo m\u00e1s largos, por ejemplo, 3 d\u00edas, adem\u00e1s de su capacidad para realizar ejecuciones por lotes, por ejemplo, en minutos, para tener valores comparativos y monitorear y detectar irregularidades, y la alerta en tiempo real dar\u00eda lugar a una gran cantidad de alertas si se detecta un escaneo con un ping cada minuto aproximadamente. Pero, \u00bfcada ping es un ataque? \u00a1Por supuesto que no!<\/li>\n<li><b>Mitre ATT&#038;CK y ZEEK<\/b>:Estos protocolos brindan informaci\u00f3n valiosa sobre las amenazas que utilizan la ofuscaci\u00f3n. Su integraci\u00f3n con herramientas NDR mejora significativamente las capacidades de detecci\u00f3n de amenazas.<\/li>\n<li><b>Intercambio de datos sobre amenazas:<\/b> Las herramientas NDR comparten datos sobre amenazas con otras soluciones de seguridad. Esto permite una detecci\u00f3n m\u00e1s r\u00e1pida de t\u00e9cnicas de ofuscaci\u00f3n conocidas y comportamientos sospechosos. La integraci\u00f3n con herramientas EDR les permite correlacionar la actividad sospechosa en los endpoints con el tr\u00e1fico de la red, lo que mejora significativamente el an\u00e1lisis de seguridad.<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both; \"><a rel=\"nofollow noopener\" href=\"https:\/\/exeon.com\/downloads\/apt-whitepaper?utm_source=THN&amp;utm_medium=obfuscation\" style=\"clear: left; display: block; float: left; text-align: center;\" target=\"_blank\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1722547107_213_Ofuscacion-todo-tiene-dos-caras.png\" alt=\"Por qu\u00e9 el NDR es una herramienta de seguridad crucial\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" style=\"cursor: pointer;\" title=\"Por qu\u00e9 el NDR es una herramienta de seguridad crucial\"\/><\/a><\/div>\n<p>Para m\u00e1s informaci\u00f3n sobre <strong>Por qu\u00e9 el NDR es una herramienta de seguridad crucial<\/strong> y c\u00f3mo detecta incluso las amenazas m\u00e1s avanzadas y formas complejas de ofuscaci\u00f3n, <a rel=\"nofollow noopener\" href=\"https:\/\/exeon.com\/downloads\/apt-whitepaper?utm_source=THN&amp;utm_medium=obfuscation\" target=\"_blank\">Descargue nuestro informe t\u00e9cnico<\/a> sobre la detecci\u00f3n de amenazas persistentes avanzadas (APT).<\/p>\n<p>Para ver c\u00f3mo act\u00faa NDR en su red corporativa y exactamente c\u00f3mo detecta y responde a las APT, <a rel=\"nofollow noopener\" href=\"https:\/\/exeon.com\/recorded-demos?utm_source=THN&amp;utm_medium=obfuscation\" target=\"_blank\">Mire nuestro video grabado de detecci\u00f3n de APT<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/exeon.com\/recorded-demos?utm_source=THN&amp;utm_medium=obfuscation\" style=\"clear: left; display: block; float: left; text-align: center;\" target=\"_blank\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1722547108_517_Ofuscacion-todo-tiene-dos-caras.png\" alt=\"V\u00eddeo de detecci\u00f3n de APT\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" style=\"cursor: pointer;\" title=\"V\u00eddeo de detecci\u00f3n de APT\"\/><\/a><\/div>\n<p><noscript><br \/>\n<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Ofuscacion-todo-tiene-dos-caras.gif\" alt=\"\" height=\"1\" style=\"display:none;\" width=\"1\"\/><br \/>\n<\/noscript><br \/>\n<\/p>\n<div class=\"cf note-b\">\u00bfTe result\u00f3 interesante este art\u00edculo? <span class=\"\">Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/obfuscation-there-are-two-sides-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>C\u00f3mo detectar y evitar que los atacantes utilicen estas diversas t\u00e9cnicas La ofuscaci\u00f3n es una t\u00e9cnica importante para<\/p>\n","protected":false},"author":1,"featured_media":1300839,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,12374,4664,740,4662,4668,4667,239182,4654,239508,4658,4659,4653,38611,4666,4665,324,339,239484],"class_list":["post-1300838","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-caras","tag-como-hackear","tag-dos","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-ofuscacion","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-tiene","tag-todo","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1300838","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1300838"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1300838\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1300839"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1300838"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1300838"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1300838"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}