HACKERS RUSOS O CHINOS? - Industria Hacker
d
An igniting portfolio theme designed
to help you leave quite a mark.
Back to Top
Image Alt

HACKERS RUSOS O CHINOS?

HACKERS RUSOS O CHINOS?

HACKERS RUSOS O CHINOS?

ATRIBUCION DE ATAQUES

Siempre que ocurre un ciberataque de impacto, los medios salen a decir: “Fue Rusia”, “Fueron hackers chinos”, “Es Irán”. Como si hubiese una firma al final del código que diga “Hecho por Kremlin S.A.”.

Atribuir un ataque es un arte. No es una ciencia exacta. Es como armar un rompecabezas donde algunas piezas faltan, otras están dibujadas a propósito para confundir, y otras directamente fueron puestas ahí por alguien que quiere que mires para otro lado.

Se analiza todo: patrones de comportamiento, herramientas usadas, idiomas en los scripts, horarios de actividad, infraestructura… pero nada de eso te da certeza. Todo puede ser falsificado. Y muchas veces lo es. Porque si hay algo que los buenos atacantes saben hacer, es dejar pistas falsas. Por eso, cuando ves que dicen “este ataque vino de tal país”, hay que entender que en realidad lo que están diciendo es “hay una probabilidad de que haya venido de ahí”. A veces es un 80%, otras un 30%. Nunca es 100%. Y cuando sí es 100%, probablemente haya algo político de fondo que hace que convenga que sea así.

ANALISTA DE INTELIGENCIA

Es uno de los diversos roles relacionados con descubrir y atribuir ataques. Sus tareas por lo general son:

    • Crea reglas de detección (SIGMA, YARA, Snort/Suricata…) para identificar TTPs (Tácticas, Tecnicas y Procedimientos) usados por atacantes usando tecnologías propias de Kaspersky, integrándolas en productos y pipelines internos como SOC, XDR o CTI teams.
    • Investiga actores APT y de Crimeware, generando estudios técnicos y reportes que pueden publicarse
    • Realiza trabajos de Cyber Threat Intelligence a demanda, donde se le solicitan investigaciones puntuales (otra empresa, auditorías, emergencias).
    • Define requisitos y pruebas de aceptación para productos CTI, asegura que las nuevas reglas o funcionalidades cumplan con expectativas de detección y gobernanza.
    • Da soporte y hace demostraciones/entrenamientos sobre soluciones CTI, tanto para colegas internos como clientes externos.
    • Para este trabajo necesitan: Conocimiento profundo de técnicas de ataque (exploits, lateral movement, phishing, etc.), así como indicadores (IoCs) para detectarlos en redes o sistemas. Entender Cyber Kill Chain, MITRE ATT&CK, F3EAD, Pyramid of Pain y procesamiento de incidentes basado en inteligencia (“Intelligence‑Driven IR”). Experiencia real creando reglas en SIGMA, YARA y/o para IDS como Snort/Suricata, detectando malware, exploits o tráfico malicioso.

ANALISTA DE MALWARE

Este no es un rol para “detección de alertas genéricas” o SOC level básico. Es un desafío que combina reverse engineering, investigación de campañas sofisticadas, prototipado técnico y comunicación potente.

  • Malware Reverser:
    • Experiencia sólida en reverse engineering: trabaja con muestras, extrae strings, siguelógica ensambladora, uso de herramientas tipo IDA o Ghidra.
    • Participacipa en análisis de campañas APT o crimeware, la redacción de reports estructurados, y comunicación técnica avanzada.
    • Desarrolla prototipos o pruebas de concepto: por ejemplo extraer IoCs, diseñar detecciones, automatizar tareas o probar nuevas defensas.
    • Análisis de código malicioso en PE, .NET, OLE2, JS, VBS, PDF, SWF, ELF
    • Assembler Intel x86 + WinAPI
    • Manejo avanzado en entornos Windows y uso de IDA o Ghidra
    • Linux a nivel kernel/POSIX
    • Competencia en al menos uno de: C/C++/C#/Java/Python/Go/Rust
    • Entender cómo malware se comunica usando sockets y protocolos estándar
    • Familiaridad con actores APT, TTPs, crimenware, y tendencias globales

ENFOQUE CLASICO DE ANALISIS

En este enfoque se analiza el malware encontrado manualmente (artifacts):

  • Timestamps: tiempos de compilación en archivos PE, permiten estimar persistencia, evolución de toolkits y posible zona horaria del autor (altibajos en compilaciones en horario laboral local) .
  • Strings, rutas de debugging y metadatos: nombres de usuario, rutas de proyectos, comentarios en el idioma del malware. Alertas si el idioma está mal traducido (ruso mal usado) .
  • Infraestructura reutilizada (C2, phishing, staging): los dominios/IPs usados antes en otras campañas son una señal fuerte de continuidad .
  • Exploits 0‑day: el mismo exploit usado en múltiples ataques en un periodo limitado sugiere conexión entre actores .
  • Reutilización de toolbox, código y credenciales: reuse de funciones, backdoors o contraseñas hardcodeadas en familias distintas ayuda a vincular infraestructuras .
  • Perfil de la víctima y contexto geopolítico: el sector atacado, momento y relevancia estratégica puede apuntar hacia ciertos grupos o motivos .

EMPRESAS LIDERES

Por ejemplo Kaspersky, una empresa líder en atribución de ataques tiene una herramienta “Kaspersky Threat Attribution Engine” que ayuda a sus clientes saber de dónde viene un malware y quién podría estar detrás. Usa una base de datos gigante con muestras de APT (Amenazas avanzadas persistentes) recolectadas por Kaspersky en más de 25 años y un motor que compara automáticamente archivos sospechosos con campañas y actores conocidos.

Rastrea más de 1100 grupos y conecta un ataque nuevo con otros anteriores en segundos, con muy baja tasa de falsos positivos. Sirve para entender si estás frente a algo serio o solo un incidente menor.

Y lo mejor: se puede usar en entornos aislados, sin exponer info sensible a terceros.

Más allá de Kaspersky, al menos cinco empresas líderes (Mandiant, CrowdStrike, Unit 42, Recorded Future y ESET) realizan atribución de ataques APT con metodologías probadas. Aunque cada una tiene su estilo (scoring numérico, nomenclaturas, análisis OSINT vs telemetría interna), todas comparten un enfoque probabilístico sólido: pruebas técnicas + contexto objetivo + metodología estructurada.

Si te interesa expandir tu rol en este arte de atribuir ataques, recorda, siempre se trata de probabilidades y niveles de confianza, estos perfiles te dan un marco completo para avanzar desde detección reactiva a inteligencia estratégica.

HERRAMIENTAS OPENSOURCE

Estas son algunas herramientas que te recomiendo descargar y aprender:

1) Ghidra: Suite gratuita de decompilación y análisis binario creada por la NSA. Altamente ampliable con Python, multiplataforma, soporte Git.

2) Cuckoo Sandbox y CAPEv2 : Cuckoo sigue siendo el sandbox libre más instalado; CAPEv2 (fork avanzado con unpacking dinámico, recogida de configs y soporte para Windows) es su evolución moderna

3) Volatility 3: Framework Python para extraer artefactos (procesos, rootkits, inyecciones) desde dumps de RAM: sigue siendo el pilar del memory forensics

4) YARA-X: Reescrita en Rust en 2025, 99 % compatible con YARA original, más segura y rápida. Ya se recomienda como estándar universal

5) Radare2: Alternativa 100 % open‑source a Ghidra/IDA con CLI poderosa y GUI Cutter para análisis de binarios en cualquier OS

Aca te dejo mas herramientas:

👉 Si te resultó útil esta información, te invito a ver el video relacionado y dejar tu comentario. Tu participación ayuda a que este contenido llegue a más personas y siga creciendo esta comunidad.

por
en Ciberguerra
1
Compartir:

Posts Relacionados

por