Siguiendo la línea del último artículo, vamos a seguir con más tipo de ataques. En este artículo, vamos a ver los ataques a las conexiones.
Sistemas trampa
El caso más habitual es el siguiente:
El atacante crea una red wifi igual a otra red legítima y segura con un nombre igual o similar y con los mismos parámetros que la original, esperando que nos conectemos a ella. Suele darse en lugares con redes wifi públicas con gran afluencia de usuarios, como centros comerciales, de forma que la trampa pueda pasar desapercibida fácilmente.
Spoofing
Consiste en el empleo de técnicas de hacking de forma maliciosa para suplantar nuestra identidad, la de una web o una cuenta de correo electrónico.
Un ejemplo: recibimos un correo electrónico de una red social en uso, informándonos que se ha detectado una actividad sospechosa en nuestra cuenta. El mensaje nos recomienda actualizar, de inmediato, la contraseña y para facilitarnos la labor nos comparten un enlace que nos llevaría directo a nuestro perfil. Accedemos, ingresamos nuestros datos y, como si de un error se tratase, vuelve a llevarnos a la página principal de la red social para que volvamos a ingresar los datos. Sin saberlo hemos dado nuestra contraseña de acceso al atacante, que nos compartió un enlace a una web fraudulenta, que simulaba ser la red social original, pero cuya única función era hacerse con el control de nuestra cuenta.
Al ser un ataque que suele llegar en forma de enlace, en caso de duda, revisen la URL para identificar diferencias con la original y siempre desconfíen de sitios webs sin «https» y sin certificado.
Defacement
Es un tipo de ataque que se realiza contra un sitio web, en el que se modifica su apariencia para llevar a cabo algún tipo de acción fraudulenta o de vandalismo.
Normalmente son causados por hackers que obtuvieron algún tipo de acceso a la web por errores de programación, por algún bug en el propio servidor o por mala administración.
La desfiguración suele ser inofensiva, sin embargo, se puede usar como una distracción para encubrir acciones más siniestras, como cargar malware o eliminar archivos esenciales del servidor.
Robo de Cookies
Las cookies son archivos que un sitio web transfiere al dispositivo por el que se accede a la web para almacenar sus preferencias de navegación o recopilar información estadística (por ejemplo: ubicación, tiempo de conexión, páginas vistas, etc.) y suelen poseer una fecha de caducidad a partir de la cual dejan de ser operativas.
Las cookies tienen una doble función: por un lado, recordar el acceso al sitio web, así, si un usuario introduce su nombre de usuario y contraseña se guarda en la cookie para que no tenga que estar poniéndola cada vez que acceda y, por otro, permite conocer información respecto a nuestros hábitos de navegación o pautas de comportamiento.
Gracias al robo de determinadas cookies se puede obtener información privada de los usuarios, como detalles de sus tarjetas de crédito. Dicha información se puede emplear para apoderarse de la cuenta, realizar actividades ilegales o puede ser vendida en la web oscura.
Para prevenir este tipo de ataques es recomendable cerrar las sesiones de todos los sitios web cuando dejamos de usarlos para que las cookies caduquen, así como eliminar cada cierto tiempo las cookies de nuestro navegador.
DoS o DDoS
Existen dos técnicas de este tipo de ataques: la Denegación de Servicio o DoS (por sus siglas en inglés Denial of Service) y la Denegación de Servicio Distribuido o DDoS (por sus siglas en inglés Destributed Denial of Service). La diferencia está en el número de ordenadores o IP´s que realizan el ataque.
Se utilizan para colapsar un sitio web al sobrecargar la red con solicitudes de acceso desde múltiples ordenadores. El objetivo es provocar la caída del sitio web. Imagínense las consecuencias que pueden acarrear en una tienda online. A cambio de detener el bombardeo, los hackers suelen exigir un pago, generalmente, en criptomonedas o a cuentas en el extranjero. Lo curioso de este tipo de ataques es que, sin saberlo, podemos convertirnos en cómplices si nuestro equipo ha sido infectado para formarte parte de una «Botnet», también conocida como «Red Zombi».
Para prevenir estos ataques es aconsejable contar con supervisiones de red para detectar ataques y crear barreras de seguridad, filtrar y monitorizar todo el tráfico de datos en la web para actuar en caso de un tráfico de datos inusual e invertir en herramientas de prevención DDoS.
Inyección SQL
El SQL («Structured Query Language») es un lenguaje de consulta estructurado que se ha convertido en el lenguaje estándar para la gestión de bases de datos. Cuando un sitio web necesita acceder a la base de datos que tiene en su servidor utiliza SQL para procesar la solicitud.
Los atacantes inyectan líneas de código SQL malicioso, sirviéndose de cualquier canal de entrada como elementos input, cadenas de consultas, cookies y archivos.
Portscan
El ataque de «escaneo de puertos» consiste en analizar los puertos de una máquina (router) conectada a Internet con la finalidad de identificar los puertos abiertos y cerrados o con protocolos de seguridad.
Para prevenir cualquier ataque y, en particular, los de este tipo hemos de configurar correctamente el router, cambiar los valores de fábrica y crear credenciales seguras, restringir las conexiones remotas y los dispositivos conectados por medio de un filtrado MAC y mantener el firewall activado.
Si quieren saber cómo configurar un router vayan al sitio web de su Proveedor de Servicios de Internet y sigan las instrucciones.
Man In The Middle
El ataque MITM (Man In The Middle), o sea, de «Hombre en el medio» o de «Intermediario» es muy popular entre los hackers por la cantidad de información a la que pueden llegar a acceder en caso de que tengan éxito. El ataque se basa en interceptar la comunicación entre dos o más interlocutores, pudiendo suplantar la identidad de uno u otro.
Es difícil detectar cuándo se está sufriendo un ataque de intermediario. Los puntos de acceso wifi públicos o con bajo nivel de seguridad son extremadamente vulnerables, por ello es recomendable evitarlos.
Recomendaciones del INCIBE
Para minimizar el riesgo de convertirse en blanco de un ciberataque, el Instituto Nacional de Ciberseguridad (INCIBE) formula las siguientes recomendaciones:
- Utilizar contraseñas de acceso robustas y siempre que sea posible habilitar la autenticación en dos pasos.
- Tener actualizado el software de nuestros equipos.
- Acceder solo a sitios web seguros, esto es, aquellos que empiezan por https, comprobando que el certificado pertenece a la compañía que corresponde.
- Proteger nuestra red wifi con contraseñas seguras. Si es necesario que los clientes se conecten a una red en nuestra empresa, habilitar una red de cortesia.
- Evitar redes wifi abiertas y en caso de conexión utilizar una red privada virtual o VPN. En caso de no disponer de una VPN, evitar difundir información personal o sensible.
- Evita las VPN gratuitas, ya que se desconoce quién está detrás de ellas.
- Evitar abrir enlaces y descargar archivos procedentes de fuentes desconocidas.
- Emplear software de seguridad, como antivirus, y mantenerlos actualizados, realizando escaneos frecuentemente.
- Proteger la red LAN mediante el uso de hardware específico de seguridad, como «firewalls», mejorando así tanto la seguridad pasiva como la activa de la red corporativa.
- Mantener el firewall por software activado en aquellos sistemas que lo permitan.
- Proteger la página web corporativa mediante un certificado SSL.
- Si hemos sufrido alguna infección en nuestros equipos o sospechamos que podamos tenerla a causa de comportamientos extraños, ventanas emergentes, publicidad, etc., debemos realizar una limpieza del equipo, antes de transmitir cualquier información.
Denuncia ante las FCS
Si son víctimas de un ataque no duden en denunciarlo a las autoridades. A continuación, les dejo los enlaces a la Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica (UIT) de la Policía y al Grupo de Delitos Telemáticos (GDT) de la Guardia Civil: