¿Qué es una bomba lógica?

Muchos ataques cibernéticos se lanzan instantáneamente en el momento elegido por el atacante. Estos se lanzan a través de la red y pueden ser una campaña única o continua. Algunas clases de ataques, sin embargo, son acciones retrasadas y están a la espera de algún tipo de desencadenante. Los más obvios son los ataques que necesitan la interacción del usuario. Los ataques de phishing y XSS son excelentes ejemplos de esto. Ambos están preparados y lanzados por el atacante, pero solo surten efecto cuando el usuario activa la trampa.

Algunos ataques son acciones retrasadas pero requieren un conjunto especial de circunstancias para activarse. Pueden ser completamente seguros hasta que se activen. Estas circunstancias pueden ser totalmente automáticas en lugar de activadas por humanos. Este tipo de ataques se denominan bombas lógicas.

Los fundamentos de una bomba lógica

El concepto clásico de una bomba lógica es un disparador de fecha simple. En este caso, la bomba lógica no hará nada hasta que la fecha y la hora sean correctas. En ese momento, la bomba lógica se "detona" y provoca cualquier acción dañina que se supone que debe hacer.

La eliminación de datos es el recurso estándar de las bombas lógicas. Borrar dispositivos o un subconjunto más limitado de datos es relativamente fácil y puede causar mucho caos, principalmente si se trata de sistemas de misión crítica.

Algunas bombas lógicas pueden tener varias capas. Por ejemplo, puede haber dos bombas lógicas, una configurada para estallar en un momento determinado y otra que se dispara si la otra es manipulada. Alternativamente, ambos pueden verificar si el otro está en su lugar y dispararse si el otro es manipulado. Esto proporciona cierta redundancia para que la bomba explote, pero duplica la posibilidad de que la bomba lógica sea capturada con anticipación. Tampoco reduce la posibilidad de que el atacante sea identificado.

Amenaza interna

Las amenazas internas utilizan casi exclusivamente bombas lógicas. Un pirata informático externo podría eliminar cosas, pero también puede beneficiarse directamente robando y vendiendo los datos. Una persona con información privilegiada suele estar motivada por la frustración, la ira o la venganza y está desilusionada. El ejemplo clásico de una amenaza interna es un empleado informado recientemente que perderá su trabajo en breve.

Como era de esperar, la motivación caerá y, probablemente, el desempeño laboral. Otra posible reacción es un impulso de venganza. A veces, se tratará de cosas insignificantes como tomar descansos innecesariamente largos, imprimir muchas copias de un currículum en la impresora de la oficina o ser disruptivo, poco cooperativo y desagradable. En algunos casos, el impulso de venganza puede ir más allá del sabotaje activo.

Sugerencia: otra fuente de amenazas internas pueden ser los contratistas. Por ejemplo, un contratista puede implementar una bomba lógica como una póliza de seguro a la que se le llamará para solucionar el problema.

En este escenario, una bomba lógica es un resultado posible. Algunos intentos de sabotaje pueden ser bastante inmediatos. Estos, sin embargo, a menudo son algo fáciles de vincular con el perpetrador. Por ejemplo, el atacante podría romper la pared de vidrio de la oficina del jefe. El atacante podría ir a la sala de servidores y arrancar todos los cables de los servidores. Podrían estrellar su auto contra el vestíbulo o contra el auto del jefe.

El problema es que las oficinas generalmente tienen muchas personas que pueden notar tales acciones. También pueden incluir CCTV para grabar al atacante cometiendo el acto. Muchas salas de servidores requieren una tarjeta inteligente para acceder, registrando exactamente quién entró, salió y cuándo. El caos basado en automóviles también puede capturarse en CCTV; si se usa el automóvil del atacante, impacta activamente negativamente al atacante.

dentro de la red

Una amenaza interna podría darse cuenta de que todas sus posibles opciones de sabotaje físico son defectuosas, tienen una alta probabilidad de ser identificadas o ambas cosas. En este caso, podrían darse por vencidos o elegir hacer algo en las computadoras. Para alguien con conocimientos técnicos, especialmente si está familiarizado con el sistema, el sabotaje basado en computadora es relativamente fácil. También tiene el atractivo de parecer desafiante para atribuirlo al atacante.

El atractivo de ser difícil de atrapar al atacante proviene de algunos factores. En primer lugar , nadie busca bombas lógicas, por lo que es fácil pasarlas por alto antes de que estalle.

En segundo lugar , el atacante puede sincronizar deliberadamente la bomba lógica para que estalle cuando no esté cerca. Esto significa que no solo no tienen que lidiar con las consecuencias inmediatas, sino que “no pueden ser ellos” porque no estaban allí para hacerlo.

En tercer lugar , especialmente con las bombas lógicas que borran datos o el sistema, la bomba puede borrarse a sí misma en el proceso, lo que podría hacer que sea imposible atribuirla.

Hay un número desconocido de incidentes en los que esto ha funcionado para la amenaza interna. Al menos tres casos documentados de personas con información privilegiada que detonaron con éxito la bomba lógica pero fueron identificados y condenados. Hay al menos otros cuatro casos de intento de uso en los que la bomba lógica fue identificada y "desarmada" de manera segura antes de que estallara, lo que resultó nuevamente en la identificación y condena del informante.

Conclusión

Una bomba lógica es un incidente de seguridad en el que un atacante establece una acción retrasada. Las bombas lógicas son utilizadas casi exclusivamente por amenazas internas, principalmente como venganza o como una “póliza de seguro”. Por lo general, se basan en el tiempo, aunque se pueden configurar para que se activen mediante una acción específica. Un resultado típico es que eliminan datos o incluso limpian computadoras.

Las amenazas internas son una de las razones por las que cuando se despide a los empleados, su acceso se desactiva inmediatamente, incluso si tienen un período de preaviso. Esto asegura que no puedan hacer mal uso de su acceso para colocar una bomba lógica, aunque no proporciona ninguna protección si el empleado ha "visto la escritura en la pared" y ya colocó la bomba lógica.