Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Tipos y ejemplos de ciberataques (Parte I)

Nadie está libre de sufrir un ciberataque. Para defendernos, primero, hay que estar informados y, segundo, hay que adoptar medidas con carácter preventivo, o sea, hay que estar preparados.  

Hay muchas modalidades de ciberataques. En este artículo vamos a ver algunos ejemplos sencillos.

1.- Fuerza bruta

Los más elementales son los ataques de «fuerza bruta». Su objetivo es descifrar las contraseñas de acceso al sistema informático. Muchos usuarios caen en malas prácticas como usar contraseñas débiles, emplear la misma contraseña para distintos servicios, guardarlas en el navegador… todo eso, facilita la tarea a los ciberdelincuentes, que emplean algoritmos a través de los cuales prueban todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

Los ataques de fuerza bruta se basan en aplicar el método de prueba y error con la esperanza de dar con la combinación correcta finalmente. Se trata de antiguo método, pero sigue siendo eficaz y goza de popularidad entre los hackers.

Los ataques de «fuerza bruta» suelen combinarse con «ataques de diccionario» que consisten en intentar averiguar una contraseña probando todas las palabras del diccionario. Hace tiempo, publiqué un artículo sobre la seguridad de las contraseñas de acceso que pueden consultar haciendo clic aquí

También existen los llamados ataques de fuerza bruta inversa que consisten en invertir la estrategia de ataque, es decir, partiendo de una contraseña conocida o habitual, se trata de buscar entre los millones de usuarios hasta que se encuentre una coincidencia.

2.- Ingeniería social

Los ataques por «ingeniería social» se basan en métodos y técnicas dirigidos a conseguir que la víctima revele información personal útil. Los más comunes son:

Spam

El «spam» es la forma más extendida y conocida de ingeniería social online. Es el correo basura online.

El método es sencillo. Si uno ve un mensaje de correo electrónico que le envía un amigo con un asunto informal (por ejemplo, ¡mira esto!) es posible que lo abra y encuentre un enlace. Si hace clic sobre el enlace, una copia del mensaje se enviará a todos los contactos de agenda, de forma que la cadena de spam continua. La mayoría de estos mensajes tienen una finalidad comercial, aunque puede haberlos que contengan algún tipo de malware.

Para evitar este tipo de ataques nunca utilicen su cuenta de correo electrónico personal o principal para registrarse en ofertas o promociones por Internet. Además, es fundamental configurar el filtro antispam para evitar la recepción de este tipo de mensajes.

Phishing

Los atacantes suplantan la identidad de otro, fingiendo ser empresas conocidas, un organismo público o amigos de la víctima. El objetivo es conseguir que la persona revele información personal suya como contraseñas, datos de tarjetas de crédito y números de cuentas bancarias.

Para conseguir el objetivo, el atacante envía correos electrónicos fraudulentos que parecen provenir de organizaciones legítimas, por ejemplo, una entidad bancaria. En los correos se solicita a la víctima que actualice, valide o confirme la información, por ejemplo, de una cuenta bancaria, sugiriendo que hay un problema. Entonces se le redirige a una página web falsa y se le embaucada para que facilite información sobre su cuenta. Para generar confianza en la víctima, los atacantes copiarán la estética del sitio web oficial de la entidad bancaria y emplearán sus señas de identidad. En ocasiones, estos mensajes son fáciles de detectar porque suelen contener errores ortográficos, los logotipos no son iguales al original, etc.  

Baiting

También conocido como «cebo» o «gancho» se sirve de un medio físico y de nuestra curiosidad.

Utilizando un cebo, los atacantes consiguen que la víctima infecte su equipo y con ello que comparta información personal. El baiting es diferente a la mayoría de los tipos de ingeniería social online, en el sentido de que requiere un componente físico. Por ejemplo, una memoria USB infectada con malware que el hacker deja deliberadamente en el escritorio de la víctima, con la esperanza de que muerda el anzuelo y lo conecte a su ordenador. Para aumentar las posibilidades de éxito, la memoria USB puede ir etiquetada con términos como «importante» o llevar el logotipo de la empresa, simulando ser un USB corporativo.

Pretexting

El pretexting implica el uso de un pretexto, mediante el diseño de un escenario o historia ficticia, diseñada para atraer la atención del objetivo. Por ejemplo, ofertas de trabajo. Una vez están inmersos en la historia, el atacante intentará embaucar a la víctima para que le entregue información valiosa. 

Vishing

Se denomina «vishing» por la combinación de «voice» (voz) y «phishing». Es un fraude que se realiza a través de una llamada telefónica con el objetivo de conseguir los datos personales de la víctima. Este tipo de engaños es muy frecuente.

Ejemplos de este tipo de ataques:

Alguien, que se identifica como empleado de su banco, le llama para comunicarle que han detectado una operación fraudulenta con su tarjeta de crédito. Para solucionar el problema le solicita los datos de su tarjeta, el número de su documento acreditativo de identidad, etc.

Otro ejemplo: el supuesto empleado de una empresa de servicios (pongamos, de telefonía) le llama para comunicarle que han detectado un error en la última factura y le pide los datos bancarios para cursar la devolución. 

Otros casos, más elaborados, se dirigen a los servicios de atención al cliente de la víctima, para que el teleoperador de turno facilite datos del titular del servicio. La idea es acumular datos de clientes a los que atacarán después.

Cuando los ataques se realizan a través de mensajes de SMS o mensajería instantánea hablamos de «smishing».

Dumpster Diving

Se conoce como el proceso de «buscar en nuestra basura» para obtener información útil. Su objetivo son contactos, documentos, anotaciones y demás información útil que hubiera acabado en la papelera del equipo por error o por descuido.

Los atacantes también buscan dispositivos electrónicos desechados a los que acceder y sacar toda la información que no haya sido borrada correctamente. De ahí, la importancia de destruir físicamente los discos duros. Muchos equipos de renting acaban en el mercado como «equipos reacondicionados» y en muchos casos el disco duro no se destruye, solo se formatea, y no es suficiente.

Quid Pro Quo

Del latín «un favor por otro favor» es un tipo de ingeniería social que implica el intercambio de favores entre el atacante y su víctima. Frecuentemente, los hackers se presentarán como técnicos del servicio informático y le pedirán sus datos de registro para actualizar el software a través de un enlace que enviarán por correo electrónico. Además, le pedirán las claves de acceso y que desactive su software antivirus.

Doxing

La cultura hacker de la década de los 90 del siglo pasado acortó el término «documents» a «docs» y luego a «dox», en referencia a la recopilación de documentos o información personal y su posterior publicación en Internet (exponer dox). También puede aplicarse a descubrir la identidad real detrás de un nombre de usuario anónimo y exponerla en Internet.

Las atacantes suelen buscar información de la víctima en la red que luego unen como si de un puzle se tratará. Estas piezas que aportan información pueden ser el nombre, el domicilio, la dirección de trabajo, el correo electrónico o el número de teléfono.

Para conseguir dicha información los atacantes suelen revisar todos los perfiles de redes sociales de la víctima. Por ello, se aconseja hacer privadas todas las redes sociales, utilizar distintas plataformas con nombres de usuario y contraseñas diferentes. 

Otra fuente para los atacantes son los corredores de datos que recopilan información de registros de acceso público, tarjetas de fidelización de clientes, historiales de búsqueda, etc.

Denuncia ante las FCS

Si son víctimas de un ataque no duden en denunciarlo a las autoridades. A continuación, les dejo los enlaces a la Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica (UIT) de la Policía y al Grupo de Delitos Telemáticos (GDT) de la Guardia Civil:

https://www.policia.es/_es/denuncias.php

https://www.gdt.guardiacivil.es/webgdt/home_alerta.php

EuskaraCatalàGalegoPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).