Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y COMPLIANCE

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Ejemplos de ciberataques (Parte I)

Nadie está libre de sufrir un ciberataque. Para defendernos, primero, hay que estar informados y, segundo, hay que adoptar medidas con carácter preventivo, o sea, hay que estar preparados.  

Hay muchas modalidades de ciberataques. En este artículo vamos a ver algunos ejemplos sencillos.

Los más elementales son los ataques de “fuerza bruta“. Su objetivo es descifrar las contraseñas de acceso al sistema informático. Si logran descifrar la contraseña, o sea, la llave de acceso, entrarán y se adueñaran de toda la información. Muchos usuarios caen en malas prácticas como usar contraseñas débiles, emplear la misma contraseña para distintos servicios, guardarlas en el navegador… todo eso, facilita la tarea a los ciberdelincuentes, que emplean algoritmos a través de los cuales prueban todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

Los ataques de “fuerza bruta” suelen combinarse con “ataques de diccionario”. Consiste en intentar averiguar una contraseña probando todas las palabras del diccionario. Hace tiempo, publiqué un artículo sobre las contraseñas de acceso, como primera barrera de seguridad, que pueden consultar haciendo clic aquí

Otra modalidad son los ataques por “ingeniería social”. Se basan en métodos y técnicas dirigidos a conseguir que la víctima revele información personal útil.

Los tipos más comunes de ataques por “ingeniería social” son:

1.- Phishing

Los atacantes fingen ser empresas reconocidas, o un organismo público, o bien amigos o conocidos de la víctima, a la cual envían un mensaje falso que contiene un vínculo a un sitio web de phishing.

Por ejemplo, un phisher puede presentarse como empleado de su entidad bancaria y pedirle que actualice el número de su tarjeta de crédito en un enlace determinado. Para generar confianza en la víctima, los atacantes copiarán la estética del sitio web oficial del banco y emplearan sus señas de identidad como el logotipo.

2.- Baiting

También conocido como “cebo” se sirve de un medio físico y de nuestra curiosidad.

Utilizando un cebo, los atacantes consiguen que la víctima infecte su equipo, y con ello que comparta información personal. El baiting es diferente a la mayoría de los tipos de ingeniería social online, en el sentido de que requiere un componente físico. Por ejemplo, una memoria USB infectada con malware que el hacker deja deliberadamente en el escritorio de la víctima, con la esperanza de que muerda el anzuelo y lo conecte a su ordenador. Para aumentar las posibilidades de éxito, la memoria USB puede ir etiquetado con términos como “importante” o llevar el logotipo de la empresa, simulando ser un USB corporativo.

3.- Pretexting

El pretexting implica el uso de un “pretexto” diseñado para atraer la atención del objetivo. Por ejemplo, ofertas de trabajo. Una vez están inmersos en la historia, el atacante intentará embaucar a la víctima para que le entregue información valiosa. 

4.- Vishing

Se denomina vishing por la combinación de voice (voz) y phishing. Es un fraude que se realiza a través de una llamada telefónica con el objetivo de conseguir los datos personales de la víctima. Ejemplos de este tipo de ataques:

Alguien, que se identifica como empleado de su banco, le llama para comunicarle que han detectado una operación fraudulenta con su tarjeta de crédito. Para solucionar el problema le solicita los datos de su tarjeta, el número de su documento acreditativo de identidad, etc.

Otro ejemplo: el supuesto empleado de una empresa de servicios (pongamos, de telefonía) le llama para comunicarle que han detectado un error en la última factura y le pide los datos bancarios para cursar la devolución. 

Otros casos, más elaborados, se dirigen a los servicios de atención al cliente de la víctima, para que el teleoperador de turno facilite datos del titular del servicio. La idea es acumular datos de clientes, a los que atacarán después.

Cuando los ataques se realizan a través de mensajes de SMS hablamos de smishing.

5.- Dumpster Diving

Se conoce como el proceso de “buscar en nuestra basura” para obtener información útil. Su objetivo son contactos, documentos, anotaciones y demás información útil que hubiera acabado en la papelera del equipo, por error o por descuido.

Los atacantes también buscan dispositivos electrónicos desechados a los que acceder y sacar toda la información que no haya sido borrada correctamente. De ahí, la importancia de destruir físicamente los discos duros. Muchos equipos de renting acaban en el mercado como “equipos reacondicionados” y en muchos casos el disco duro no se destruye, solo se formatea, y no es suficiente.

6.- Quid Pro Quo

Del latín “un favor por otro favor” es un tipo de ingeniería social que implica el intercambio de favores entre el atacante y su víctima. Frecuentemente, los hackers se presentarán como técnicos del servicio informático y le pedirán sus datos de registro para actualizar el software, a través de un enlace que enviarán por correo electrónico. Además, le pedirán las claves de acceso y que desactive su software antivirus.

7.- Spam

El spam es la forma más extendida y conocida de ingeniería social online.

Los hackers usan este método para enviar mensajes de spam a todos los contactos de sus víctimas. Esos mensajes se enviarán desde la lista de contactos de la víctima, lo que significa que parecerán más realistas a los receptores. 

El método es sencillo. Si Ud. ve un mensaje de correo electrónico que le envía un amigo con un asunto informal (por ejemplo, ¡mira esto!) es posible que lo abra y encuentre un enlace, que normalmente estará acortado. Si hace clic sobre el enlace, una copia exacta del mensaje se enviará a todos sus contactos, de forma que la cadena de spam continua. La mayoría de estos mensajes tienen una finalidad comercial, aunque puede haberlos que contengan algún tipo de malware, ocultos en archivos adjuntos o en enlaces a páginas webs maliciosas.

Para evitar este tipo de ataques nunca utilicen la cuenta de correo electrónico principal para registrarse en ofertas o promociones por Internet. Además, es fundamental configurar el filtro antiSpam para evitar la recepción de este tipo de mensajes.

Si son víctimas de un ataque no duden en denunciarlo a las autoridades. A continuación, les dejo los enlaces a la Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica (UIT) de la Policía y al Grupo de Delitos Telemáticos (GDT) de la Guardia Civil:

https://www.policia.es/_es/denuncias.php

https://www.gdt.guardiacivil.es/webgdt/home_alerta.php

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual (Safe Creative 2202070428830)