Nadie está libre de sufrir un ciberataque. Para defendernos, primero, hay que estar informados y, segundo, hay que adoptar medidas con carácter preventivo, o sea, hay que estar preparados.
Hay muchas modalidades de ciberataques. En este artículo vamos a ver algunos ejemplos sencillos.
1.- Fuerza bruta
Los más elementales son los ataques de «fuerza bruta». Su objetivo es descifrar las contraseñas de acceso al sistema informático. Muchos usuarios caen en malas prácticas como usar contraseñas débiles, emplear la misma contraseña para distintos servicios, guardarlas en el navegador… todo eso, facilita la tarea a los ciberdelincuentes, que emplean algoritmos a través de los cuales prueban todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
Los ataques de fuerza bruta se basan en aplicar el método de prueba y error con la esperanza de dar con la combinación correcta finalmente. Se trata de antiguo método, pero sigue siendo eficaz y goza de popularidad entre los hackers.
Los ataques de «fuerza bruta» suelen combinarse con «ataques de diccionario» que consisten en intentar averiguar una contraseña probando todas las palabras del diccionario. Hace tiempo, publiqué un artículo sobre la seguridad de las contraseñas de acceso que pueden consultar haciendo clic aquí.
También existen los llamados ataques de fuerza bruta inversa que consisten en invertir la estrategia de ataque, es decir, partiendo de una contraseña conocida o habitual, se trata de buscar entre los millones de usuarios hasta que se encuentre una coincidencia.
2.- Ingeniería social
Los ataques por «ingeniería social» se basan en métodos y técnicas dirigidos a conseguir que la víctima revele información personal útil. Los más comunes son:
Spam
Conocido como «correo basura» es la forma más extendida y conocida de ingeniería social online. Se emplea para enviar publicidad no deseada, promociones, descuentos, etc. Estos mensajes no siempre sin simple publicidad, pues pueden esconder malware en sus archivos adjuntos. El problema es que saturan los canales de comunicación y sobrecargan los sistemas y sus infraestructuras (servidores, routers, firewalls, etc.)
Para luchar contra el spam se recomienda la instalación de «filtros antispam». Entre otros, podemos encontrar los siguientes filtros:
- Filtros bayesianos: Necesitan de la intervención de los usuarios para ser efectivos. El usuario marca el mensaje como spam y el filtro lo identifica como tal. De forma que, los mensajes que se reciban en adelante se derivan por el filtro a la lista de spam. Determinadas palabras hacen que los mensajes se incluyan en dicha lista.
- Listas negras o black list: Se trata de un compendio o lista de direcciones IP que han sido identificadas por proveedores de servicios por Internet como responsables del envío de correo basura. No sólo las direcciones IP pueden formar parte de una lista negra, también pueden hacerlo los nombres de dominio.
- Lista Robinson: Se trata de un fichero de exclusión publicitaria que es gestionado por la Asociación Española de Economía Digital. La inscripción es gratuita y eficaz a partir del tercer mes desde la fecha en que registre sus datos. Filtran tanto llamadas como mensajes de correo electrónico. Enviar mensajes publicitarios a números o cuentas de correo electrónico inscritos en la Lista Robinson se sanciona con multas que pueden ser de 600 € por el envío de un solo correo (PS-00138-2018) hasta 30.001 € por el envío de tres correos en el periodo de un año (PS-00193-2011).
- Firewalls o cortafuegos: Pueden ser implementados como hardware o software. Los mensajes son filtrados en base a una serie de condicionantes. Se muestran eficaces cuando la configuración es la adecuada.
Cuando los ataques se realizan a través de aplicaciones de mensajería instantánea como WhatsApp, Telegram o Signal, se habla de SPIM (SPam over Internet Messaging).
Phishing
Los atacantes suplantan la identidad de otro, fingiendo ser empresas conocidas, un organismo público o amigos de la víctima. El objetivo es conseguir que la persona revele información personal suya como contraseñas, datos de tarjetas de crédito y números de cuentas bancarias.
Para conseguir el objetivo, el atacante enviará a la víctima correos electrónicos fraudulentos que parecerán provenir de organizaciones legítimas, por ejemplo, una entidad bancaria. En los correos solicitará a la víctima que actualice, valide o confirme la información, por ejemplo, de una tarjeta o cuenta bancaria, sugiriendo que hay un problema. Entonces se le redirige a una página web falsa y se le embaucada para que facilite información sobre su tarjeta o cuenta bancaria. Para generar confianza en la víctima, los atacantes copiarán la estética del sitio web oficial de la entidad bancaria y emplearán sus señas de identidad. En ocasiones, estos mensajes son fáciles de detectar porque los logotipos no son iguales al original, los mensajes contienen errores ortográficos o gramaticales, etc.
Vishing
Se denomina «vishing» por la combinación de «voice» (voz) y «phishing». Es un fraude que se realiza a través de una llamada telefónica con el objetivo de conseguir los datos personales de la víctima. Este tipo de engaños es muy frecuente.
Ejemplos de este tipo de ataques:
Alguien, que se identifica como empleado de su banco, le llama para comunicarle que han detectado una operación fraudulenta con su tarjeta de crédito. Para solucionar el problema le solicita los datos de su tarjeta, el número de su documento acreditativo de identidad, etc.
Otro ejemplo: el supuesto empleado de una empresa de servicios (pongamos, de telefonía) le llama para comunicarle que han detectado un error en la última factura y le pide los datos bancarios para cursar la devolución.
Cuando los ataques van dirigidos a una persona o grupo de personas concreto hablamos de «spear phishing» y de «whaling» cuando la víctima es un alto cargo dentro de la organización, como los CEO, directores generales o altos ejecutivos.
Si el ataque se realiza a través de SMS o por mensajería instantánea hablamos de de «smishing».
Baiting
También conocido como «cebo» o «gancho». Los atacantes, emplean un cebo, por ejemplo, descargas gratuitas de películas, libros electrónicos, música, etc., recompensas y otras ofertas tentadoras, para lograr atraer la atención de la víctima. Cuando la víctima pica el cebo hace clic en un enlace, descarga un archivo o un programa que infecta su dispositivo como algún tipo de malware. Objetivo logrado.
No todos los ataques de baiting tienen su origen online. Los atacantes pueden servirse, también, de medios físicos para cometer el ataque como unidades de almacenamiento externo (memorias USB, discos duros externos, CD´s o tarjetas de memoria, entre otros). El atacante deja deliberadamente una de estas unidades cerca de la víctima con la esperanza de que muerda el anzuelo y lo conecte a su ordenador. Para aumentar las posibilidades de éxito, las unidades pueden ir etiquetadas con términos como «importante» o llevar el logotipo de la empresa, simulando ser un dispositivo corporativo.
No conectar unidades de almacenamiento externas desconocidas, deshabilitar la ejecución automática de programas, verificar la fuente y actuar con prudencia son algunos consejos para evitar este tipo de ataques.
Pretexting
El pretexting implica el uso de un pretexto, mediante el diseño de un escenario o historia ficticia, diseñada para atraer la atención del objetivo. Por ejemplo, ofertas de trabajo. Una vez esté inmersa en la historia, el atacante intentará embaucar a la víctima para que le entregue información personal valiosa.
El pretexting también puede ir dirigido al servicio de atención al cliente de compañías que manejan datos personales y confidenciales de los usuarios (telefonía, luz, gas, seguros, etc.) para hacerse con ellos. Con algún pretexto, el atacante tratará de hacer creer al teleoperador que está hablando con el titular de los datos.
Quid Pro Quo
Del latín «un favor por otro favor» es un tipo de ingeniería social que implica el intercambio de favores entre el atacante y la víctima. Mediante esta técnica, el atacante, habiendo investigado previamente algún fallo o carencia sobre algún sistema de uso diario en la organización, se pone en contacto con el usuario, haciéndose pasar, por ejemplo, por personal de soporte técnico para solucionar el problema, si bien requiere a la víctima que le facilite cierta información como las contraseñas de acceso y credenciales de inicio. De esta forma podrá acceder a información confidencial de la empresa o del usuario mismo.
Tailgating
El atacante, que pretende acceder a información restringida de la organización, a la que sólo puede acceder el personal autorizado, tratará de persuadir a alguna de las personas autorizadas, ya sea valiéndose de su solidaridad o ingenuidad, o haciéndose pasar por algún integrante de la organización, con el fin de lograr las contraseñas de acceso.
Dumpster Diving
Se conoce como el proceso de «buscar en nuestra basura» para obtener información útil. Su objetivo son contactos, documentos, anotaciones y demás información útil que hubiera acabado en la papelera del equipo por error o por descuido.
Los atacantes también buscan dispositivos electrónicos desechados a los que acceder y sacar toda la información que no haya sido borrada correctamente. De ahí, la importancia de destruir físicamente los discos duros. Muchos equipos de renting acaban en el mercado como «equipos reacondicionados» y en muchos casos el disco duro no se destruye, solo se formatea, y no es suficiente.
Doxing
La cultura hacker de la década de los 90 del siglo pasado acortó el término «documents» a «docs» y luego a «dox», en referencia a la recopilación de documentos o información personal y su posterior publicación en Internet (exponer dox). También puede aplicarse a descubrir la identidad real detrás de un nombre de usuario anónimo y exponerla en Internet.
Las atacantes suelen buscar información de la víctima en la red que luego unen como si de un puzzle se tratará. Estas piezas que aportan información pueden ser el nombre, el domicilio, la dirección de trabajo, el correo electrónico o el número de teléfono.
Para conseguir dicha información los atacantes suelen revisar todos los perfiles de redes sociales de la víctima. Por ello, se aconseja hacer privadas todas las redes sociales, utilizar distintas plataformas con nombres de usuario y contraseñas diferentes.
Otra fuente para los atacantes son los corredores de datos que recopilan información de registros de acceso público, tarjetas de fidelización de clientes, historiales de búsqueda, etc.
Denuncia ante las FCS
Si son víctimas de un ataque no duden en denunciarlo a las autoridades. A continuación, les dejo los enlaces a la Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica (UIT) de la Policía y al Grupo de Delitos Telemáticos (GDT) de la Guardia Civil:
