En el artículo anterior de esta serie, analizamos en profundidad la protección de la capa física (Primero protege tu hardware). En el artículo de hoy hablaremos de las 57 principales amenazas a la seguridad de la información, describiendo en detalle cada una de ellas.
La serie completa consta de 15 artículos:
Publicados – Artículo 1, Artículo 2, Artículo 3, Artículo 4, Artículo 5, Artículo 6, Artículo 7, Artículo 8, Artículo 9, Artículo 10, Artículo 11, Artículo 12, Artículo 13, Artículo 14, Artículo 15.
Ahora más que nunca, la ciberseguridad es esencial para nuestro futuro; es fundamental para proteger todo aquello de lo que dependemos hoy en día. Desde la banca y el comercio online, hasta tramitar nuestras solicitudes con la administración pública, hasta el desarrollo de medicamentos y vacunas que salvan vidas, pasando por cosas más sencillas, como gestionar nuestro email.
Sin embargo, tras las migraciones masivas a la nube y la transformación digital global, muchas organizaciones aún no han alcanzado el nivel máximo de sus operaciones de seguridad debido a algunos retos clave:
1) Un panorama de amenazas en constante evolución que nos enfrenta a actores maliciosos muy creativos y bien financiados.
2) La creciente complejidad de los entornos híbridos y multi-nube.
3) Los equipos de seguridad están inundados por una lista interminable de tareas monótonas y procesos manuales que consumen mucho tiempo.
4) Los silos gigantes de datos causados por la proliferación de herramientas utilizadas dentro de nuestras organizaciones, que crean múltiples ineficiencias y muchos puntos débiles.
5) La falta de profesionales de ciberseguridad en el mercado global para atender a la demanda del sector.
Estos cinco factores se traducen en una única realidad. La seguridad de la información es un problema de datos y de falta de recursos a nivel global.
Los retos a los que nos enfrentamos son mayores que nunca
En PlisQ, trabajamos todos los días para un presente y un futuro más seguro. Pero para conseguirlo, debemos estar preparados. Tenemos que saber a qué nos enfrentamos, incluidas las amenazas que se ciernen sobre nosotros. Por eso hemos preparado este artículo sobre amenazas a la seguridad de la información, para que puedas identificar mejor los distintos tipos de ataques que existen, mitigar los riesgos, hacer que tu empresa sea aún más fuerte y obtener las herramientas para actuar.
Las 57 principales amenazas a la seguridad de la información
1. Apropiación de cuenta (Account Takeover)
La apropiación de cuentas se considera una de las formas más dañinas de acceder a la cuenta de un usuario. Por lo general, el atacante se hace pasar por un cliente, usuario o empleado real, y acaba entrando en las cuentas de la persona a la que suplanta.
Y lo que es aún más grave, las credenciales de usuario pueden obtenerse en la deep web y compararse con las de sitios de comercio electrónico con la ayuda de bots y otras herramientas automatizadas para acceder de forma rápida y sencilla.
En lugar de robar la tarjeta o las credenciales directamente, la adquisición de cuentas es más subrepticia. Esto permite al atacante obtener el máximo uso posible de la tarjeta robada antes de que se detecte una actividad sospechosa.
Los bancos, los principales mercados y los servicios financieros como PayPal son objetivos comunes. Cualquier sitio web que requiera un inicio de sesión es susceptible de sufrir este ataque.
Cómo lo hacen:
Algunos de los métodos más comunes son las aplicaciones «checker» de un solo clic basadas en proxy, los ataques de fuerza bruta a redes de bots, el phishing y el malware.
Otros métodos incluyen la búsqueda en contenedores de basura para encontrar información personal entre la correspondencia desechada, y la compra directa de listas de «Fullz», un término del argot para referirse a paquetes completos de información identificativa que se venden en el mercado negro. Una vez comprado o creado el perfil de la víctima, un ladrón de identidad puede utilizar la información para burlar un sistema de autenticación basado en el conocimiento.
Desde dónde lo hacen:
Un enorme volumen de nuestras transacciones, financieras y de otro tipo, tienen lugar en línea. Para los ciberdelincuentes, adquirir credenciales de cuentas e información personal (como números de la seguridad social, direcciones, números de teléfono, números de tarjetas de crédito y otra información financiera) es un negocio lucrativo, tanto si deciden vender la información adquirida como utilizarla en su propio beneficio. Por ello, este tipo de ataques puede originarse en cualquier parte del mundo.
2. Amenaza persistente avanzada (Advanced Persistent Threat)
Una amenaza persistente avanzada (APT) es un término amplio utilizado para describir una campaña de ataque en la que un intruso, o un equipo de intrusos, establece una presencia ilícita a largo plazo en una red con el fin de extraer datos altamente sensibles.
Es una amenaza encubierta muy avanzada contra un informático o una red en la que el atacante consigue el acceso no autorizado, evitar la detección y obtener información por motivos motivos empresariales o políticos. Suelen llevarla a cabo criminales o estados-nación, el objetivo principal es el beneficio económico o el espionaje político.
Aunque APT se siguen asociando con actores del Estado-nación que quieren robar secretos gubernamentales gobierno o secretos industriales, los ciberdelincuentes sin afiliación particular también utilizan las APT para robar datos o propiedad intelectual.
Los objetivos de estos ataques, que se eligen e investigan con sumo cuidado, suelen ser grandes empresas o redes gubernamentales. Las consecuencias de estas intrusiones son enormes e incluyen:
- Información sensible comprometida (por ejemplo, datos privados de empleados y usuarios).
- Robo de propiedad intelectual (por ejemplo, secretos comerciales o patentes).
- El sabotaje de infraestructuras organizativas críticas (por ejemplo, eliminación de bases de datos).
- La apropiación total del sistema.
Cómo lo hacen:
Un APT suele consistir en tácticas muy avanzadas, incluida una gran cantidad de recopilación de inteligencia, hasta métodos menos sofisticados para introducirse en el sistema (por ejemplo, malware y spear phishing). Se utilizan varias metodologías para comprometer el objetivo y mantener el acceso.
El plan de ataque más habitual consiste en pasar de un único ordenador a toda una red leyendo una base de datos de autenticación, averiguando qué cuentas tienen los permisos adecuados y aprovechándolas para comprometer los activos. Los hackers APT también instalarán programas de puerta trasera (como troyanos) en los equipos comprometidos dentro del entorno explotado. Hacen esto para asegurarse de que pueden volver a entrar, incluso si las credenciales se cambian más tarde.
Desde dónde lo hacen:
La mayoría de los grupos APT están afiliados a gobiernos de estados soberanos o son agentes de los mismos.
Un APT también podría ser un hacker profesional que trabaja a tiempo completo para los estados mencionados. Estas organizaciones patrocinadas por estados suelen disponer de los recursos y la capacidad necesarios para investigar a fondo su objetivo y determinar el mejor punto de infiltración.
3. Ataques a Amazon Web Services (AWS Attacks)
El número de ataques creativos a entornos virtuales se ha disparado con el auge de la computación en nube. Y como uno de los mayores proveedores de servicios en la nube, Amazon Web Services ha tenido su cuota de amenazas.
El modelo de «responsabilidad compartida» de Amazon establece que AWS es responsable del entorno fuera de la máquina virtual, pero el cliente es responsable de la seguridad dentro del contenedor S3.
Esto significa que las amenazas que se aprovechan de las vulnerabilidades creadas por errores de configuración y despliegue se han convertido en un problema mayor, ya que las empresas han adoptado rápidamente las tecnologías en la nube.
Cómo lo hacen:
Un ataque a una instancia de AWS puede producirse de varias maneras. El cambio acelerado a a la nube provocado por la pandemia mundial de COVID-19 pandemia mundial aumentó el número de amenazas proveedores de la nube.
Es importante mantenerse alerta ante actividades que pueden ser tan simples como un comportamiento sospechoso dentro de un entorno AWS. Otras actividades son el acceso a S3 desde ubicaciones desconocidas y por usuarios desconocidos.
También es importante monitorizar y controlar quién tiene acceso a la infraestructura de AWS de una organización. La detección de inicios de sesión sospechosos en infraestructura de AWS proporciona un buen punto de partida para las investigaciones. Acciones como comportamientos abusivos causados por credenciales comprometidas, pueden generar costes monetarios directos porque a los usuarios se les factura por cualquier instancia EC2 creadas por el atacante.
Desde dónde lo hacen:
Debido a la diversidad de servicios alojados en AWS y los nuevos tipos de amenazas en la nube, estos ataques pueden provenir prácticamente de cualquier lugar y de cualquier persona.
4. Token de acceso a la aplicación (Application Access Token)
Algunos grupos de espionaje activos y agresivos utilizan diferentes estrategias para obtener información de sus objetivos.
Un método en particular consiste en abusar de la autenticación abierta (OAuth) en esquemas avanzados de ingeniería social, dirigidos a usuarios de alto perfil de correo web gratuito.
Estos grupos también establecieron agresivos ataques de phishing de credenciales contra muchas organizaciones.
Siguen utilizando varias aplicaciones maliciosas que abusan de los tokens de acceso OAuth para obtener acceso a las cuentas de correo electrónico, incluidas las de Gmail y Yahoo Mail.
Con un token de acceso OAuth, un hacker puede utilizar la API REST concedida al usuario para realizar funciones como la búsqueda de correo electrónico y enumeración de contactos.
Cómo lo hacen:
Los atacantes pueden utilizar tokens de acceso a aplicaciones para saltarse el típico proceso de autenticación y acceder a cuentas, información o servicios restringidos en sistemas remotos.
Estos tokens suelen robarse a los usuarios y utilizarse en lugar de las credenciales de inicio de sesión.
Desde dónde lo hacen:
Los tokens de acceso comprometidos pueden utilizarse como paso inicial para comprometer otros servicios.
Por ejemplo, si un token permite acceder al correo electrónico principal de la víctima, el atacante puede ampliar el acceso a todos los demás servicios a los que esté suscrito el objetivo activando rutinas de pérdida de contraseña.
El acceso directo a la API a través de un token anula la eficacia de un segundo factor de autenticación y puede ser inmune a contramedidas como el cambio de contraseñas.
5. Fraude en procedimientos de pago (Bill Fraud)
El fraude de facturas o fraude de pagos es cualquier tipo de transacción falsa o ilegal en la que el ciberdelincuente desviará fondos de los consumidores. Y estas estafas funcionan: según datos recientes, los consumidores declararon haber perdido más de mil millones de euros en reclamaciones por fraude desde enero de 2021 hasta marzo de 2022.
Cómo lo hacen:
Este ataque engaña a un gran número de usuarios para que paguen repetidamente cantidades de dinero pequeñas o razonables para que no se den cuenta de la estafa. En esta estratagema, los atacantes envían facturas fraudulentas pero de aspecto auténtico en las que ordenan a los clientes que transfieran fondos de sus cuentas.
Sabiendo que la mayoría de los clientes utilizan habitualmente servicios digitales de pago, los ciberdelincuentes confían en que sus víctimas asuman erróneamente que la factura fraudulenta corresponde a un servicio que realmente utilizan. Los consumidores iniciarán entonces una transferencia de fondos o un pago con tarjeta de crédito para abonar la «factura» falsa.
Desde dónde lo hacen:
Las organizaciones de fraude de facturas se originan en todo el mundo, incluidos los EE.UU. Normalmente se dirigen a atacantes con los recursos, ancho de banda y tecnología para crear facturas fraudulentas que parezcan reales. Al igual que el phishing, el fraude de facturas se dirige a una población amplia y aleatoria de individuos.
6. Ataque de fuerza bruta (Brute Force Attack )
Un ataque de fuerza bruta es uno de los ciberataques más peligrosos. Es un ataque que apunta al corazón de la seguridad de un sitio web o de un dispositivo, a la contraseña de acceso o a las claves de cifrado. Utiliza el método continuo de ensayo y error para explorarlas con determinación.
Las formas de ataque de fuerza bruta son variadas, principalmente en:
- Ataques de fuerza bruta híbridos: probando o enviando miles de palabras esperadas y de diccionario, o incluso palabras aleatorias.
- Ataques de fuerza bruta inversa: tratando de obtener la clave de derivación de la contraseña mediante una investigación exhaustiva.
Cómo lo hacen:
El ataque de fuerza bruta más básico es un ataque de diccionario. El atacante trabaja sistemáticamente a través de un diccionario o lista de palabras clave, probando todas y cada una de las entradas hasta que acierta.
Incluso pueden complementar las palabras con símbolos y números, o utilizar diccionarios especiales con contraseñas filtradas o de uso común. También existen varias herramientas automatizadas para operar ataques de diccionario que pueden hacer esta tarea mucho más rápida y menos tediosa.
Desde dónde lo hacen:
Gracias a la facilidad y sencillez de un ataque de fuerza fuerza bruta, los hackers y ciberdelincuentes con poca o ninguna experiencia técnica pueden intentar acceder a la cuenta de cualquier persona. Las personas detrás de estas campañas tienen suficiente tiempo o poder computacional de su lado para lograrlo y desde cualquier lugar del mundo.
7. Fraude en facturas comerciales (Business Invoice Fraud)
El fraude de facturas comerciales intenta engañar a las víctimas para que paguen una factura fraudulenta (pero convincente) dirigida a su organización. En realidad, los fondos van a parar a impostores que se hacen pasar por proveedores.
Estos estafadores suelen facturar una cantidad razonable para no levantar sospechas. Pero ejecutar estas estafas cientos o miles de veces llega a ser muy rentable para el atacante.
Cómo lo hacen:
En este ataque, se envían facturas falsas a las víctimas para intentar robarles dinero con la esperanza de que las marcas no estén prestando atención a sus procesos de cuentas por pagar. Los piratas informáticos eligen objetivos en función del tamaño de su empresa, su ubicación y los proveedores que utilizan, y crean facturas falsas que parecen legítimas. Con la esperanza de que el departamento de cuentas de la víctima este sobrecargado, envían facturas falsas con exigencias elevadas como «90 días de retraso, ¡pague ahora!».
Desde dónde lo hacen:
Aunque hay numerosos estafadores individuales que realizan fraudes de facturas comerciales, muchos proceden de redes de fraude que tienen la organización y los recursos para investigar la entidad bancaria de su víctima y crear una experiencia de facturación que parezca real. Las redes de fraude que realizan estafas con facturas pueden encontrarse en todo el mundo.
8. Gestión de acceso a la nube (Cloud Access Management)
Pasarse a la nube tiene innumerables ventajas, desde fomentar la colaboración hasta permitir a los empleados trabajar desde casi cualquier parte del mundo. La importancia de esta flexibilidad quedó patente cuando se produjo la pandemia mundial de COVID-19.
Pero cambiar a un servicio basado en la nube puede conllevar bastantes riesgos, a menudo debidos a errores humanos.
Gestionar los permisos de tu organización es cada vez más importante para evitar una brecha en la nube. Una seguridad laxa o inexistente y, en este caso, unos controles de seguridad mal configurados pueden poner fácilmente en peligro la seguridad de los datos, exponiendo a la organización a una cantidad innecesaria de riesgos, incluido un daño significativo a la reputación de la marca.
Cómo lo hacen:
Este ataque suele producirse por una comunicación deficiente, falta de protocolo, configuración insegura por defecto y documentación insuficiente.
Una vez que el atacante explota la vulnerabilidad y gana un punto de apoyo en el entorno de la nube, puede aprovechar los privilegios para acceder a otros puntos de entrada remotos, buscando aplicaciones y bases de datos inseguras, o controles de red débiles y pueden extraer datos sin ser detectados.
Desde dónde lo hacen:
La mala gestión y la configuración incorrecta de un entorno de nube no se considera un acto malicioso en sí mismo y, como se ha mencionado, suele producirse debido a un error humano.
9. Criptominería en la nube (Cloud Cryptomining)
La minería de criptomonedas es un negocio que consume muchos recursos. Su complejidad se diseñó para garantizar que el número de bloques minados cada día se mantuviera estable. Por eso, es normal que los mineros ambiciosos, pero sin escrúpulos, tengan como prioridad la captura de la potencia de cálculo de grandes empresas; una práctica conocida como cryptojacking.
Cómo lo hacen:
La minería de criptomonedas ha atraído una creciente cantidad de atención mediática desde su explosión de popularidad en el otoño de 2017. Los ataques han pasado de los exploits en navegadores y teléfonos móviles a los servicios en la nube para empresas, como Amazon Web Services, Google Cloud Platform (GCP) y Microsoft Azure.
Es difícil determinar con exactitud hasta qué punto se ha extendido esta práctica, ya que los hackers evolucionan continuamente su capacidad para eludir la detección, incluyendo el empleo de endpoints no listados, moderando su uso de CPU y ocultando la dirección IP del pool de minería detrás de una red de distribución de contenidos (CDN) gratuita.
Cuando los mineros roban una instancia en la nube, a menudo creando cientos de nuevas instancias, los costes pueden llegar a ser astronómicos para el titular de la cuenta. Por eso es fundamental vigilar los sistemas en busca de actividades sospechosas que puedan indicar que una red ha sido infiltrada.
Desde dónde lo hacen:
Dado que la criptomoneda es una mercancía global, los ataques pueden originarse en cualquier lugar.
Es fundamental vigilar las instancias de computación en la nube para detectar actividades relacionadas con el criptojacking y la minería de criptomonedas, como nuevas instancias en la nube que se originan en regiones desconocidas, usuarios que lanzan un número anormalmente alto de instancias o instancias de computación iniciadas por usuarios desconocidos.
10. Mando y control (Command and Control)
Un ataque de comando y control es cuando un pirata informático se apodera de un ordenador para enviar comandos o malware a otros sistemas de la red. En algunos casos, el atacante realiza
actividades de reconocimiento, moviéndose lateralmente a través de la red para recopilar datos sensibles.
En otros ataques, los hackers pueden utilizar esta infraestructura para lanzar ataques reales. Una de las funciones más importantes de esta infraestructura es establecer servidores que se comunican con implantes en puntos comprometidos. Estos ataques también suelen denominados ataques C2 o C&C.
Cómo lo hacen:
La mayoría de los piratas informáticos se introducen en un sistema mediante correos electrónicos de phishing y luego instalan malware. Esto establece un canal de mando y control que se utiliza para enviar datos entre el endpoint comprometido y el atacante.
Estos canales retransmiten comandos al endpoint comprometido y la salida de esos comandos de vuelta al atacante.
Desde dónde lo hacen:
Se han producido importantes ataques de mando y control originados en Rusia, Irán e incluso los EE.UU. Estos atacantes pueden venir de cualquier lugar y estar en muchas partes.
Dado que la comunicación es fundamental, los hackers utilizan técnicas diseñadas para ocultar su localización. A menudo intentarán realizar sus actividades durante el mayor tiempo posible sin ser detectados, recurriendo a diversas técnicas para comunicarse a través de estos canales y manteniendo siempre un perfil discreto.
11. Credenciales comprometidas (Compromised Credentials)
La mayoría de la gente sigue utilizando la autenticación de un solo factor para identificarse (un no-no bastante grande en el espacio de la ciberseguridad).
Y aunque se están empezando a imponer requisitos más estrictos para las contraseñas (como longitud de caracteres, combinación de símbolos y números, e intervalos de renovación), los usuarios finales siguen repitiendo las credenciales en distintas cuentas, plataformas y aplicaciones, sin actualizarlas periódicamente.
Este tipo de enfoque facilita a los ciberdelincuentes el acceso a la cuenta de un usuario, y muchas de las brechas actuales se deben a estas campañas de recolección de credenciales.
Cómo lo hacen:
Una contraseña, clave u otro identificador descubierto puede ser utilizado por un intruso para obtener acceso no autorizado a información y recursos, y puede abarcar desde una sola cuenta hasta una base de datos completa.
Al aprovechar una cuenta de confianza dentro de una organización objetivo, un atacante puede operar sin ser detectado y filtrar conjuntos de datos confidenciales sin levantar ninguna bandera roja.
Entre los métodos más comunes para obtener credenciales se encuentran el uso de programas de rastreo de contraseñas, campañas de phishing o ataques de malware.
Desde dónde lo hacen:
Las credenciales comprometidas representan un enorme vector de ataque que permite a los delincuentes acceder con relativa facilidad a los dispositivos informáticos, a las cuentas protegidas por contraseña y a la infraestructura de red de una organización.
Estos delincuentes suelen estar organizados y tienen en el punto de mira a una organización o persona concreta.
Y no siempre son ajenos a la organización, sino que bien podrían ser una amenaza interna con cierto nivel de acceso legítimo a los sistemas y datos de la empresa.
12. Descarga de credenciales (Credential Dumping)
El robo de credenciales se refiere simplemente a un ataque que se basa en la captura de credenciales de un sistema objetivo. Aunque las credenciales no estén en texto plano, a menudo están cifradas o con hash, y un atacante puede extraer los datos y descifrarlos fuera de línea en sus propios sistemas. Esta es la razón por la que el ataque se conoce como «dumping».
A menudo, los hackers intentan robar contraseñas de sistemas que ya han comprometido. El problema se agrava cuando los usuarios repiten la misma contraseña en varias cuentas a través de varios sistemas.
Cómo lo hacen:
Las credenciales obtenidas de este modo suelen incluir las de usuarios privilegiados, que pueden proporcionar acceso a información más sensible y operaciones del sistema.
Los hackers suelen dirigirse a variedad de fuentes para extraer las credenciales, incluyendo cuentas como el gestor de cuentas de seguridad de seguridad (SAM), la autoridad de seguridad local (LSA) NTDS de controladores de dominio o los archivos de de grupo (GPP).
Una vez que los atacantes obtienen credenciales válidas las utilizan para moverse por la red objetivo con facilidad, descubriendo nuevos sistemas e identificar activos de interés.
Desde dónde lo hacen:
El dumping de credenciales puede originarse desde cualquier sitio.
…Y como todos somos culpables de reciclar contraseñas, esa información puede ser vendida en la Dark Web, para futuros ataques.
13. Ataque de reutilización de credenciales (Credential Reuse Attack)
La reutilización de credenciales es un problema generalizado en cualquier empresa o base de usuarios. Hoy en día, la mayoría de los usuarios tienen decenas (si no cientos) de cuentas y deben recordar innumerables contraseñas que cumplen todo tipo de requisitos estrictos. Como resultado, recurrirán a reutilizar la misma contraseña una y otra vez, con la esperanza de gestionar y recordar mejor sus credenciales en todas las cuentas. Como era de esperar, esto puede causar graves problemas de seguridad cuando dichas credenciales se ven comprometidas.
Cómo lo hacen:
En teoría, el ataque en sí es sencillo, directo y sorprendentemente sigiloso (si no está activada la autenticación de dos factores).
Una vez robadas las credenciales de un usuario, el culpable puede probar el mismo nombre de usuario y contraseña en otros sitios web de consumo o bancarios hasta que consiga una coincidencia – de ahí el «reutilizar» en «ataque de reutilización de credenciales».
Sin embargo, conseguir entrar en primer lugar es un poco más complicado. Para obtener información privilegiada, los atacantes suelen empezar con un intento de phishing, utilizando correos electrónicos y sitios web que parecen casi legítimos para engañar al usuario y conseguir que entregue sus credenciales.
Desde dónde lo hacen:
Podría tratarse de un ataque dirigido, en el que la persona conoce a la víctima y quiere acceder a sus cuentas por motivos personales, profesionales o financieros.
El ataque también podría proceder de un completo desconocido que compró la información personal del usuario en la clandestinidad de la ciberdelincuencia.
14. Rellenado de credenciales (Credential Stuffing)
Con el relleno de credenciales, los ciberdelincuentes utilizarán credenciales de cuentas robadas, a menudo nombres de usuario y contraseñas obtenidos de una violación de datos, para acceder a cuentas adicionales automatizando miles o millones de solicitudes de inicio de sesión dirigidas contra una aplicación web.
Quieren acceder a cuentas sensibles de la forma más fácil: simplemente iniciando sesión. Funciona porque confían en que la gente reutilice los mismos nombres de usuario y contraseñas en múltiples servicios. Si tienen éxito, una credencial puede desbloquear cuentas que albergan información financiera y privada, dándoles acceso a casi todo.
Cómo lo hacen:
Los hackers sólo necesitan acceder a las credenciales de inicio de sesión, una herramienta automatizada y proxies para llevar a cabo un ataque de relleno de credenciales.
Los atacantes tomarán una caché de nombres de usuario y contraseñas, recogidos de violaciones corporativas masivas, y mediante herramientas automatizadas, esencialmente «rellenan» esas credenciales en los inicios de sesión de otros sitios.
Desde dónde lo hacen:
Los proxies ocultan la ubicación de los atacantes que rellenan credenciales, lo que dificulta su detección. Sin embargo, pueden encontrarse en todo el mundo, especialmente en puntos estratégicos de la ciberdelincuencia organizada.
A menudo, los atacantes son hackers individuales y organizados con acceso a herramientas dedicadas a la comprobación de cuentas y numerosos proxies que impiden que sus direcciones IP sean bloqueadas.
Los agresores menos sofisticados pueden acabar delatándose al intentar infiltrarse en un gran número de cuentas a través de bots, lo que da lugar a un escenario inesperado de ataque de denegación de servicio (DDoS).
15. Secuencias de comandos en sitios cruzados (Cross-Site Scripting)
Los ataques XSS se producen cuando un atacante utiliza una aplicación web para enviar código malicioso, generalmente en forma de script del lado del navegador, a otro usuario final. Los fallos que permiten que estos ataques tengan éxito están muy extendidos y se producen en cualquier lugar donde una aplicación web genere entradas de un usuario sin validarlas o codificarlas. El navegador del usuario final no tiene forma de saber que el script no es de confianza, por lo que lo ejecuta automáticamente. Como cree que el script procede de una fuente de confianza, puede acceder a cookies, identificadores de sesión u otra información sensible conservada por el navegador. Estos scripts pueden incluso reescribir el contenido de la página HTML.
Cómo lo hacen:
Existen dos tipos de ataques XSS: almacenados y reflejados. Los ataques XSS almacenados se producen cuando un script inyectado se almacena en el servidor en una ubicación fija, como un mensaje o un comentario de un foro.
Cada usuario que entre en la página infectada se verá afectado por el ataque XSS. En el XSS reflejado, el script inyectado se sirve a un usuario como respuesta a una solicitud, como una página de resultados de búsqueda.
Desde dónde lo hacen:
Aunque los ataques XSS no son tan comunes como antes debido principalmente a las mejoras en los navegadores y la tecnología de seguridad, siguen siendo lo suficientemente frecuentes como para figurar entre las diez principales amenazas enumeradas por el Open Web Application Security Project.
La base de datos Common Vulnerabilities and Exposures enumera casi 14.000 vulnerabilidades asociadas a ataques XSS.
16. Ataque de criptojacking (Cryptojacking Attack)
El criptojacking es un ataque en el que un hacker ataca y secuestra sistemas informáticos con malware que se oculta en un dispositivo y luego explota su capacidad de procesamiento para minar criptomonedas como Bitcoin o Ethereum.
La misión del hacker es crear una valiosa criptomoneda con los recursos
de otra persona.
Cómo lo hacen:
Una forma habitual de realizar ataques de cryptojacking es enviar un enlace malicioso en un correo electrónico de phishing, incitando a los usuarios a descargar código de cryptominado directamente en su ordenador. Otra forma es incrustar un fragmento de código JavaScript en una página web que el usuario visita, lo que se conoce como ataque drive-by.
Al visitar la página, el código malicioso destinado a minar criptomonedas se descargará automáticamente en la máquina. El código de minería de criptomonedas funciona entonces silenciosamente en segundo plano sin que el usuario lo sepa, y un ordenador más lento de lo habitual puede ser el único indicio de que algo va mal.
Desde dónde lo hacen:
Estos ataques proceden de todo el mundo porque el criptojacking no requiere grandes conocimientos técnicos.
Los kits de cryptojacking están disponibles en la deep web por tan solo 30 dólares. Es un listón muy bajo para los hackers que quieren ganar dinero rápido con un riesgo relativamente bajo.
En un ataque, un banco europeo experimentó algunos patrones de tráfico inusuales en sus servidores, procesos nocturnos más lentos de lo normal y servidores en línea inexplicables, todo ello atribuido a un miembro del personal sin escrúpulos que instaló un sistema de minería de criptomonedas.
17. Datos de los repositorios de información (Data From Information Repositories)
Los repositorios de información son herramientas que permiten almacenar información. Herramientas como Microsoft SharePoint y Atlassian Confluence. Los repositorios de información suelen facilitar la colaboración o el intercambio de información entre usuarios y almacenan una gran variedad de datos que pueden tentar a los atacantes.
Los piratas informáticos pueden aprovechar los repositorios de información para acceder a información valiosa y extraerla.
Cómo lo hacen:
Los repositorios de información suelen tener una gran base de usuarios, y detectar las brechas puede ser difícil.
Los atacantes pueden recopilar información de repositorios de almacenamiento compartido alojados en infraestructuras en la nube o en aplicaciones de software como servicio (SaaS).
Desde dónde lo hacen:
Atacantes como APT28 tienen como objetivo organismos gubernamentales, sitios web de reservas hoteleras, empresas de telecomunicaciones y de TI.
Como mínimo, el acceso a repositorios de información realizado por usuarios con privilegios (por ejemplo, administradores de dominio, empresa o esquema de Active Directory) debe vigilarse rigurosamente y ser objeto de alerta, porque este tipo de cuentas no deberían utilizarse generalmente para acceder información.
18. Ataque DDoS (DDoS Attack)
Un ataque DDoS es un intento por parte de hackers, hacktivistas o ciberespías de derribar sitios web, ralentizar y bloquear los servidores objetivo y hacer que el servicio en línea no esté disponible inundándolos con tráfico procedente de múltiples fuentes. Como su nombre indica, los ataques DDoS son intentos de fuerza bruta ampliamente distribuidos para sembrar el caos y causar destrucción.
Estos ataques a menudo tienden a dirigirse a sitios populares o de alto perfil, como bancos, noticias y sitios web gubernamentales, para frustrar o disuadir a las organizaciones objetivo de publicar información importante o para debilitarlas financieramente.
Cómo lo hacen:
Los actores maliciosos que están detrás de los ataques DDoS pretenden causar estragos en sus objetivos, sabotear propiedades web, dañar la reputación de las marcas y provocar pérdidas económicas al impedir que los usuarios accedan a un sitio web o a un recurso de red. Los DDoS aprovechan cientos o miles de ordenadores «bot» infectados ubicados en todo el mundo. Conocidos como botnets, estos ejércitos de ordenadores comprometidos ejecutarán el ataque al mismo tiempo para lograr una eficacia total.
El hacker o grupo de hackers que controlan estos ordenadores infectados se convierten entonces en botmasters, que infectan los sistemas vulnerables con malware, a menudo virus troyanos. Cuando hay suficientes dispositivos infectados, el botmaster les da la orden de atacar y los servidores y redes objetivo son bombardeados con peticiones de servicio, lo que a su vez los asfixia los recursos de los sistemas atacados.
Desde dónde lo hacen:
Como su nombre indica, los ataques DDoS son distribuidos, lo que significa que la de tráfico entrante dirigido a la red de la víctima se origina en numerosas fuentes. Así, los hackers detrás de estos ataques pueden literalmente estar en cualquier parte del mundo. Además, su naturaleza distribuida hace imposible detener estos ataques simplemente protegiendo o bloqueando una única fuente.
19. Desactivar herramientas de seguridad (Disabling Security Tools)
Los piratas informáticos utilizan diversas técnicas para evitar ser detectados y operar sin barreras. Esto suele implicar modificar la configuración de las herramientas de seguridad, como los cortafuegos, para eludirlos o desactivarlos explícitamente para impedir que se ejecuten en absoluto.
Cómo lo hacen:
Las huellas de este ataque giran en torno a hackers que intentan desactivar diversos mecanismos de seguridad. Pueden intentar acceder a los archivos de registro, donde se encuentra gran parte de la configuración de Windows y otros programas. Los hackers también pueden intentar desconectar servicios relacionados con la seguridad.
Otras veces, los atacantes intentan varios trucos para impedir que se ejecuten programas específicos, como añadir certificados que asignan herramientas de seguridad a una lista negra, impidiendo que esas herramientas de protección se ejecuten por completo.
Desde dónde lo hacen:
Un ataque centrado en desactivar las herramientas de seguridad puede originarse en cualquier tipos de ataques pueden dirigirse a una lista lista de herramientas.
El ataque Nodersok, por ejemplo, atacó mayoritariamente a usuarios de PC en EE.UU. y el REINO UNIDO.
20. Ataques DNS (DNS Attacks) – Amplificación de DNS (DNS Amplification)
Aunque la amplificación de DNS, un tipo de ataque DDoS, existe desde hace mucho tiempo, las técnicas de explotación siguen evolucionando. El ataque es similar al secuestro de DNS en el sentido de que se aprovecha del directorio de Internet desconfigurándolo. Pero la forma en que se producen los ataques es ligeramente diferente.
Un ataque de amplificación de DNS suele implicar el envío de una pequeña cantidad de información a un servicio de red vulnerable que hace que éste responda con una cantidad mucho mayor de datos. Al dirigir esa respuesta a una víctima, un atacante puede realizar un esfuerzo relativamente bajo mientras hace que las máquinas de otras personas hagan todo el trabajo de inundar un objetivo seleccionado.
Cómo lo hacen:
En un ataque de amplificación de DNS, el atacante inunda un sitio web con tantas peticiones de búsqueda DNS falsas que consume el ancho de banda de la red hasta que el sitio falla. Mientras que el pirateo de DNS puede dirigir el tráfico a otro sitio, un ataque de amplificación de DNS impide que el sitio se cargue.
La diferencia entre los dos ataques se ilustra con la palabra «amplificación». En este ataque, los hackers realizan las peticiones DNS de forma que requieran una respuesta más intensa. Por ejemplo, un hacker podría solicitar algo más que el nombre de dominio.
El atacante también podría solicitar el dominio completo, lo que se conoce como un «registro ANY», que solicita el dominio junto con el subdominio, los servidores de correo, los servidores de copia de seguridad, los alias y mucho más. El tráfico amplificado es suficiente para dejar el sitio fuera de línea.
Desde dónde lo hacen:
Similar a un ataque de secuestro de DNS, la naturaleza relativamente primitiva del ataque significa que puede originarse en cualquier parte del mundo, ya sean hackers de un estado-nación o un hacker solitario.
21. Secuestro de DNS (DNS Hijacking)
A menudo se denomina al DNS el talón de Aquiles de Internet, o la guía telefónica de Internet, porque desempeña un papel fundamental en el encaminamiento del tráfico web. El DNS es el protocolo utilizado para asignar nombres de dominio a direcciones IP. Se ha demostrado que funciona bien para su función prevista. Pero el DNS es muy vulnerable a los ataques, en parte debido a su naturaleza distribuida. DNS se basa en conexiones no estructuradas entre millones de clientes y servidores a través de protocolos intrínsecamente inseguros.
La gravedad y el alcance de la importancia de proteger el DNS de los ataques es innegable. Las consecuencias de un DNS comprometido pueden ser desastrosas. Los hackers no solo pueden hacer caer todo un negocio, sino que también pueden interceptar información confidencial, correos electrónicos y credenciales de inicio de sesión.
Cómo lo hacen:
El ataque funciona cuando los hackers explotan la forma en que el DNS se comunica con un navegador de Internet.
El sistema actúa como una guía telefónica, traduciendo un dominio como PlisQ.com en una dirección IP. A continuación, el DNS busca y encuentra el servidor global que aloja ese sitio y dirige el tráfico hacia él.
El ataque se produce cuando un pirata informático es capaz de interrumpir la búsqueda de DNS y desconectar el sitio o redirigir el tráfico a un sitio controlado por el pirata.
Desde dónde lo hacen:
No existe un perfil único de secuestrador de DNS, en gran parte porque el ataque puede producirse tan fácilmente como un ataque de ingeniería social en el que alguien llama a un proveedor de dominios y le engaña para que cambie una entrada DNS. Algunos de los ataques de secuestro de DNS
se han atribuido a colectivos de piratas informáticos como OurMine en el caso de Wikileaks o el Ejército Electrónico Sirio en los ataques a The New York Times y The Washington Post.
22. Tunelización DNS (DNS Tunneling)
El tráfico que pasa por DNS a menudo no se supervisa, ya que no está diseñado para la transferencia de datos, lo que lo hace vulnerable a varios tipos de ataques, incluido el DNS tunneling, que se produce cuando un atacante codifica datos maliciosos en una consulta DNS: una cadena compleja de caracteres al principio de una URL.
Los proveedores de software antivirus lo utilizan, por ejemplo, para enviar perfiles de malware actualizados a sus clientes en segundo plano.
Cómo lo hacen:
Con el tunelado DNS, un atacante puede eludir los sistemas de seguridad redirigiendo el tráfico a su propio servidor, estableciendo una conexión con la red de una organización.
Una vez que la conexión está activa, es posible el mando y control, la filtración de datos y una serie de otros ataques.
Desde dónde lo hacen:
Aunque existen herramientas de tunelización de DNS que se pueden descargar fácilmente, los atacantes que deseen hacer algo más que saltarse el muro de pago de un hotel o una aerolínea para acceder a Internet necesitan conocimientos más sofisticados.
Además, como el DNS se diseñó únicamente para resolver direcciones web, es un sistema muy lento para la transferencia de datos.
23. Ataque de denegación de servicio (DoS Attack)
Los ataques DoS consisten en que los ciberatacantes hacen que una máquina o red sea inaccesible para sus usuarios previstos. Los ataques DoS pueden ejecutarse inundando las redes con tráfico o enviando información que provoque una ralentización del sistema o un bloqueo completo.
Al igual que los ataques DDoS, los ataques DoS tienden a centrarse en organizaciones de alto perfil o con sitios web populares y de cara al público, como la banca, el comercio electrónico, los medios de comunicación o las instituciones gubernamentales.
Los ataques DoS privan a los usuarios legítimos del servicio al que desean acceder y causan grandes daños a la víctima, debido a los costes de seguridad y limpieza, la pérdida de reputación, la pérdida de ingresos y el desgaste de los clientes.
Cómo lo hacen:
Los ataques DoS se producen de dos maneras: inundando o colapsando una red objetivo.
En los ataques por inundación, los ciberdelincuentes bombardean los ordenadores de las víctimas con más tráfico del que pueden soportar, lo que provoca que se ralenticen o se apaguen por completo.
Entre los diversos ataques de inundación se incluyen los ataques de desbordamiento de búfer, los ataques de inundación ICMP y los ataques de inundación SYN.
Otros ataques DoS aprovechan vulnerabilidades que provocan la caída del sistema objetivo. En estos ataques, los delincuentes aprovechan las vulnerabilidades del sistema con programas maliciosos que posteriormente provocan un bloqueo o una grave interrupción del sistema.
Desde dónde lo hacen:
Los ataques DoS pueden originarse en cualquier parte del mundo. Los atacantes pueden ocultar fácilmente su paradero para saturar los ordenadores de las víctimas, ejecutar malware o llevar a cabo otras acciones nefastas con la tranquilidad de que no serán detectados.
24. Ataque de descarga selectiva (Drive-by Download Attack)
Por drive-by download se entiende la descarga involuntaria de código malicioso en un ordenador o dispositivo móvil que expone a los usuarios a distintos tipos de amenazas. Los ciberdelincuentes utilizan estas descargas para robar y recopilar información personal, inyectar troyanos bancarios o introducir kits de exploits u otros programas maliciosos en los dispositivos de los usuarios.
Para estar protegido contra las drive-by downloads, actualice regularmente los sistemas con las últimas versiones de aplicaciones, software, navegadores y sistemas operativos. También se recomienda mantenerse alejado de sitios web inseguros o potencialmente maliciosos.
Cómo lo hacen:
Lo que hace diferentes a las descargas drive-by es que los usuarios no necesitan hacer clic en nada para iniciar la descarga. Basta con acceder a un sitio web o navegar por él para activar la descarga.
El código malicioso está diseñado para descargar archivos maliciosos en el dispositivo de la víctima sin que el usuario lo sepa.
Un drive-by download abusa de aplicaciones, navegadores o sistemas operativos inseguros, vulnerables o anticuados.
Desde dónde lo hacen:
El auge de los kits preempaquetados drive-by download permite a hackers de cualquier nivel lanzar este tipo de ataques.
De hecho, estos kits pueden comprarse y desplegarse sin que el hacker escriba su propio código o establezca su propia infraestructura para la exfiltración de datos u otros abusos.
La facilidad con la que se pueden ejecutar estos ataques significa que pueden provenir prácticamente de cualquier lugar.
25. Amenaza interna (Insider Threat)
Un ataque de amenaza interna es un asalto malicioso llevado a cabo por personas con acceso autorizado al sistema informático, la red y los recursos de una organización.
En este asalto, los atacantes a menudo tienen como objetivo robar información y activos clasificados, protegidos por derechos de propiedad o de otro tipo, ya sea para beneficio personal o para proporcionar información a los competidores.
También pueden intentar sabotear su organización con interrupciones del sistema que supongan una pérdida de productividad, rentabilidad y reputación.
Cómo lo hacen:
Los intrusos malintencionados cuentan con una clara ventaja, pues ya tienen acceso autorizado a la red, la información y los activos de una organización.
Pueden tener cuentas que les den acceso a sistemas o datos críticos, lo que les facilita localizarlos, eludir los controles de seguridad y enviarlos fuera de la organización.
Desde dónde lo hacen:
Los atacantes internos pueden ser empleados de la organización con malas intenciones o ciberespías que se hacen pasar por contratistas, terceros o trabajadores remotos.
Pueden trabajar de forma autónoma o como parte de estados nación, redes criminales u organizaciones competidoras.
También pueden ser proveedores o contratistas remotos situados en todo el mundo, suelen tener cierto nivel de acceso legítimo a los sistemas y datos de la organización.
26. Amenazas IoT (IoT Threats)
Se calcula que hay 13 mil millones de dispositivos IoT conectados en todo el mundo, una cifra que se prevé que aumente hasta los 30 mil millones en 2030.
Estos dispositivos carecen a menudo de infraestructura de seguridad, lo que crea vulnerabilidades evidentes en la red que aumentan exponencialmente la superficie de ataque y la hacen susceptible al malware. Los ataques a través de dispositivos IoT pueden incluir DDoS, ransomware y amenazas de ingeniería social.
Cómo lo hacen:
Los hackers y los Estados nación malintencionados pueden aprovechar las vulnerabilidades de los dispositivos IoT conectados con malware sofisticado para acceder a una red y así poder vigilar a los usuarios o robar propiedad intelectual, datos clasificados o de identificación personal y otra información crítica.
Una vez que se infiltran en un sistema IoT, los hackers también pueden utilizar el acceso recién obtenido para desplazarse lateralmente a otros dispositivos conectados o para entrar en una red mayor con diversos fines maliciosos.
Desde dónde lo hacen:
Los ataques pueden venir de cualquier parte del mundo. Pero como muchos sectores verticales, como la administración pública, la industria y la sanidad, están desplegando infraestructuras IoT sin las protecciones de seguridad adecuadas, estos sistemas son objetivos de ataques por parte de naciones hostiles y sofisticadas organizaciones de ciberdelincuentes.
A diferencia de los ataques contra infraestructuras tecnológicas, los ataques contra sistemas cívicos o sanitarios conectados podrían provocar trastornos generalizados, pánico y poner en peligro a las personas.
27. Amenazas IoMT (IoMT Threats)
El Internet de las Cosas Médicas (IoMT) ha transformado la atención sanitaria tal y como la conocemos, especialmente en la era de la COVID-19. Aprovechar IoMT tiene el poder de desencadenar innumerables oportunidades en el diagnóstico, tratamiento y gestión de la salud y el bienestar de un paciente, y tiene la clave para reducir los costes al tiempo que mejora la calidad de la asistencia. Pero a medida que crece invariablemente el número de dispositivos conectados, también lo hace el riesgo de ciberseguridad. Presentemente, más del 25% de los ciberataques en organizaciones sanitarias están relacionados con IoMT.
Cómo lo hacen:
Dado que las tecnologías digitales envejecen más rápido que sus homólogas físicas, que suelen tener un largo ciclo de vida, los equipos y programas obsoletos crean graves vulnerabilidades de ciberseguridad tanto para los hospitales como para los pacientes.
En la actualidad, los fabricantes no permiten a los clientes solucionar los problemas y aplicar parches a sus propios dispositivos, e incluso llegan a anular las garantías si lo hacen. Además de la falta de cifrado, las credenciales codificadas y los controles de seguridad laxos, las organizaciones sanitarias tienen poco que hacer para mitigar el riesgo en el caso de los dispositivos obsoletos.
Desde dónde lo hacen:
Los atacantes de IoMT tienen la capacidad y los recursos para identificar a los proveedores de atención sanitaria con una propiedad de la seguridad ambigua, así como una visibilidad deficiente de los activos o el inventario, y sistemas y dispositivos obsoletos.
28. Virus de Macros (Macro Viruses)
Un macrovirus es un virus informático escrito en el mismo lenguaje de macros que se utiliza para las aplicaciones informáticas. Algunas aplicaciones, como Microsoft Office, Excel y PowerPoint, permiten incrustar programas de macros en los documentos, de modo que las macros se ejecutan automáticamente al abrir el documento, lo que constituye un mecanismo distinto por el que pueden propagarse instrucciones informáticas maliciosas.
Esta es una de las razones por las que puede ser peligroso abrir archivos adjuntos inesperados en correos electrónicos, o correos electrónicos de remitentes no reconocidos. Muchos programas antivirus pueden detectar los virus, pero el comportamiento de éstos puede seguir siendo difícil de detectar.
Cómo lo hacen:
Los macrovirus se propagan a menudo a través de correos electrónicos de phishing que contienen archivos adjuntos en los que se ha incrustado el virus. Como el correo electrónico parece proceder de una fuente creíble, muchos destinatarios lo abren.
Una vez que se ejecuta una macro infectada, puede saltar a todos los demás documentos del ordenador del usuario e infectarlos. Los virus de macro se propagan cada vez que un usuario abre o cierra un documento infectado. Se ejecutan en aplicaciones y no en sistemas operativos. Los métodos más comunes de propagación de macrovirus son compartir archivos en un disco o red y abrir un archivo adjunto a un correo electrónico.
Desde dónde lo hacen:
Aunque los virus de macros han pasado de moda para los ataques maliciosos principalmente porque el software antivirus es más capaz de detectarlos y desactivarlos, siguen representando una amenaza importante.
Una búsqueda superficial en Google de «macrovirus» arroja instrucciones para crear macrovirus y herramientas que ayudan a los no programadores a crear estos virus.
En teoría, cualquiera con acceso a Internet puede crear un macrovirus con facilidad.
29. PowerShell malicioso (Malicious PowerShell)
PowerShell es una aplicación de comandos y scripts desarrollada por Microsoft y basada en .NET (pronunciado «dot net»), que permite a administradores y usuarios cambiar la configuración del sistema y automatizar tareas.
La interfaz de línea de comandos (CLI) ofrece una amplia gama de herramientas y flexibilidad, lo que la convierte en un lenguaje de shell y scripting muy popular. Los malos actores también han reconocido las ventajas de PowerShell y cómo operar sin ser detectados.
Cómo lo hacen:
Dado que PowerShell es un lenguaje de secuencias de comandos que se ejecuta en la mayoría de los equipos empresariales y que la mayoría de las empresas no supervisan los terminales de código, la lógica detrás de este tipo de ataque es muy clara.
Es fácil obtener acceso, y aún más fácil para los atacantes echar raíces en el sistema. No es necesario instalar malware para ejecutar el script malicioso. Esto significa que el hacker puede eludir sin esfuerzo la detección evitando el análisis de archivos ejecutables para sembrar el caos a su antojo.
Desde dónde lo hacen:
Este tipo de ataque es más sofisticado que otros métodos y suele ser ejecutado por un hacker experto que sabe exactamente lo que está haciendo (frente a un aficionado que podría recurrir a ataques de fuerza bruta). Siempre sigilosos en su enfoque, son expertos en cubrir sus huellas y saben cómo moverse lateralmente a través de una red.
30. Ataque de intermediario (Man-in-the-Middle Attack – MITM)
El ataque MITM, también conocido como adversario en el medio (AiTM), establece un servidor proxy que intercepta la sesión de inicio de sesión de la víctima, de modo que el actor malicioso puede actuar como un relé entre las dos partes o sistemas, obteniendo así acceso y/o robando información sensible.
Este tipo de ataque permite a un actor malicioso interceptar, enviar y recibir datos destinados a otra persona o que no debían enviarse en absoluto, sin que ninguna de las partes externas lo sepa, hasta que es demasiado tarde.
Cómo lo hacen:
Prácticamente cualquiera podría ejecutar un ataque man-in-the-middle. Sin embargo, desde la implantación de HTTPS, este tipo de ataques son más difíciles de ejecutar y, por tanto, más raros.
En un ataque MITM, el hacker se sitúa entre el usuario y el sitio web real (u otro usuario) y pasa los datos entre ellos, extrayendo los datos que desee de la interacción.
Desde dónde lo hacen:
Debido a que las mejoras en las tecnologías de seguridad han hecho que los ataques MITM sean más difíciles de ejecutar, los únicos grupos que los intentan son hackers sofisticados o actores estatales.
En 2018, la policía holandesa encontró a cuatro miembros del grupo de hacking ruso Fancy Bear estacionados fuera de la Organización para la Prohibición de las Armas Químicas en Holanda, intentando una infiltración MITM para robar credenciales de empleados.
Más tarde ese mismo año, los gobiernos de Estados Unidos y Reino Unido publicaron advertencias de que actores rusos patrocinados por el Estado estaban atacando activamente routers en hogares y empresas con el propósito de exfiltración MITM.
31. Ataque enmascarado (Masquerade Attack)
Un ataque de enmascaramiento se produce cuando un actor malintencionado utiliza una identidad falsa o legítima (pero robada) para obtener acceso no autorizado a la máquina de alguien o a la red de una organización a través de una identificación de acceso legítima.
Dependiendo del nivel de acceso que proporcionen los permisos, los ataques de enmascaramiento podrían dar a los atacantes acceso a toda una red.
Cómo lo hacen:
Un ataque enmascarado puede ocurrir tras el robo de las credenciales de los usuarios, o a través de la autenticación en máquinas y dispositivos que tienen acceso a la red objetivo.
Desde dónde lo hacen:
Desde un punto de vista interno, los atacantes pueden obtener acceso suplantando dominios de inicio de sesión o utilizando keyloggers para robar credenciales de autenticación legítimas.
Los ataques también pueden producirse físicamente aprovechándose de objetivos que dejan máquinas sin vigilancia, como un compañero de trabajo que accede al portátil de alguien mientras está fuera.
En general, los métodos de autenticación débiles que pueden ser engañados por partes externas suelen ser el origen del problema.
32. Ataque de fusión y espectros (Meltdown and Spectre Attack)
Los ataques Meltdown y Spectre aprovechan las vulnerabilidades de los procesadores informáticos.
Estas vulnerabilidades permiten a los atacantes robar casi cualquier dato que se esté procesando en el ordenador. Se trata de un ataque que golpea el núcleo de la seguridad informática, que se basa en el aislamiento de la memoria para proteger la información de un usuario.
Un «meltdown» se refiere a la ruptura de cualquier barrera protectora entre un sistema operativo y un programa, mientras que «spectre» indica la ruptura entre dos aplicaciones que guardan información la una de la otra.
Cómo lo hacen:
Los ataques Meltdown y Spectre aprovechan vulnerabilidades críticas de las CPU modernas que permiten el acceso no intencionado a los datos almacenados en la memoria. El ataque rompe la norma de la informática, según la cual los programas no pueden leer datos de otros programas.
El tipo de información que suelen atacar los atacantes son las contraseñas almacenadas en un gestor de contraseñas o un navegador, así como correos electrónicos, registros financieros e información personal como fotos y mensajes instantáneos. Pero este ataque no se limita a los ordenadores personales. Puede dirigirse a casi cualquier dispositivo con procesador, como un teléfono móvil o una tableta.
Desde dónde lo hacen:
El ataque Spectre y Meltdown puede originarse prácticamente en cualquier lugar, y gran parte de la investigación se ha centrado hasta ahora en la naturaleza única de este ataque en lugar de en quién está detrás de él.
33. Escaneado de redes (Network Sniffing)
El rastreo de redes, también conocido como rastreo de paquetes, consiste en capturar, supervisar y analizar en tiempo real los datos que circulan por una red. Ya sea a través de hardware, software o una combinación de ambos, los actores maliciosos utilizan herramientas de sniffing para espiar los datos no cifrados de los paquetes de red, como credenciales, correos electrónicos, contraseñas, mensajes y otra información sensible.
Cómo lo hacen:
De forma muy parecida a las escuchas telefónicas, en las que alguien intercepta las llamadas para obtener información confidencial, el rastreo de redes funciona en segundo plano, escuchando silenciosamente la información que se intercambia entre las entidades de una red.
Esto ocurre cuando los atacantes colocan un sniffer en una red mediante la instalación de software o hardware conectado a un dispositivo que le permite interceptar y registrar el tráfico a través de la red cableada o inalámbrica a la que tiene acceso el dispositivo anfitrión.
Debido a la complejidad inherente a la mayoría de las redes, los sniffers pueden permanecer en la red durante mucho tiempo antes de ser detectados.
Desde dónde lo hacen:
El rastreo de redes suele ser realizado legalmente por organizaciones como ISP, agencias de publicidad, organismos gubernamentales y otros que necesitan verificar el tráfico de red.
Pero también puede ser lanzado por hackers que lo hacen por diversión o por naciones-estado que buscan robar propiedad intelectual.
Al igual que el ransomware, los rastreadores de red pueden introducirse en la red haciendo que la persona adecuada haga clic en el enlace correcto. Las amenazas internas con acceso a hardware sensible también pueden ser un vector de ataque.
34. Redirección abierta (Open Redirection)
Los ataques de redirección de host son muy comunes y cada vez más subversivos, a medida que los hackers se vuelven más creativos sobre cómo atraer a sus objetivos.
Los atacantes utilizan la redirección de URL para ganarse la confianza del usuario antes de atacar inevitablemente.
Normalmente utilizan URL incrustadas, un archivo .htaccess o emplean tácticas de phishing para redirigir el tráfico a un sitio web malicioso.
Cómo lo hacen:
El hacker puede enviar un correo electrónico de phishing que incluya una copia de la URL del sitio web a la víctima desprevenida. Si el sitio web parece legítimo, los usuarios podrían compartir inadvertidamente información personal al rellenar cualquier solicitud o formulario que aparezca. Los atacantes pueden llevar esto al siguiente nivel incrustando falsos dominios de comando y control en el malware y alojando contenidos maliciosos en dominios que imitan fielmente a los servidores corporativos.
Desde dónde lo hacen:
El origen de este ataque no es tan importante como el objetivo. Este ataque suele dirigirse a usuarios de Internet poco sofisticados que no se darán cuenta de que la URL de su dominio favorito tiene una o dos letras de error.
Como este ataque se basa en la simplicidad (puede ser tan fácil como registrar un nombre de dominio), puede originarse en casi cualquier lugar.
35. Phishing
Un ataque de phishing engaña a consumidores, usuarios o empleados para que hagan clic en un enlace malicioso, que a menudo les conduce a un sitio falso donde deben facilitar información personal identificable, como números de cuentas bancarias, datos de tarjetas de crédito o contraseñas, por correo electrónico, mensaje directo u otro medio de comunicación.
Hay que tener mucho cuidado, aunque estos sitios falsos puedan parecer convincentes, los atacantes recopilarán cualquier información que les envíe. O pueden lanzar programas maliciosos destinados a robar fondos de sus cuentas, información personal identificable del cliente u otros activos críticos.
Cómo lo hacen:
Lo más habitual es que le atraiga un correo electrónico haciéndose pasar por alguien conocido, un mensaje que parece proceder de un jefe o compañero de trabajo, por ejemplo, obligándole a abrir archivos adjuntos maliciosos o a hacer clic en enlaces que le llevan a páginas web prácticamente idénticas a sitios legítimos.
Debido a la facilidad y disponibilidad de los conjuntos de herramientas de phishing, incluso los piratas informáticos con conocimientos técnicos mínimos pueden lanzar campañas de phishing.
Desde dónde lo hacen:
Hace apenas unas décadas, un gran número de ataques de phishing tenían su origen en Nigeria en lo que se conocía como estafas 419, debido a su denominación de fraude en el código penal nigeriano. Hoy en día, los ataques de phishing se originan en todo el mundo, y muchos se producen en los países BRIC (Brasil, Rusia, India y China), según el InfoSec Institute.
Los responsables de estas campañas van desde piratas informáticos individuales hasta ciberdelincuentes organizados.
36. carga útil en Phishing (Phishing Payloads)
A pesar de su sencillez, el phishing sigue siendo la ciberamenaza más extendida y peligrosa. De hecho, las investigaciones muestran que hasta el 91% de todos los ataques con éxito se inician a través de un correo electrónico de phishing. Estos correos electrónicos utilizan dominios fraudulentos, técnicas de scraping de correo electrónico, nombres de contactos familiares insertados como remitentes y otras tácticas para atraer a los objetivos y hacerles hacer clic en un enlace malicioso, abrir un archivo adjunto con una carga útil nefasta o introducir información personal confidencial.
La «carga útil» se refiere a los datos transmitidos que constituyen el mensaje deseado. Las cabeceras y los metadatos sólo se envían para permitir la entrega de la carga útil a la persona correcta.
Cómo lo hacen:
Este ataque sigue un patrón típico:
En primer lugar, el atacante envía un correo electrónico de phishing y el destinatario descarga el archivo adjunto, que suele ser un archivo .docx o .zip con un archivo .lnk incrustado. En segundo lugar, el archivo .lnk ejecuta un script de PowerShell y, por último, el script de Powershell ejecuta un shell inverso, con lo que el ataque resulta exitoso.
Desde dónde lo hacen:
Como este ataque no requiere un alto nivel de sofisticación, y como el phishing está en el centro de la mayoría de los ciberataques, puede originarse en cualquier parte del mundo.
37. Phishing Personalizado – con arpón (Spear Phishing)
Un subconjunto del phishing, el spear phishing se produce cuando los ciberdelincuentes se dirigen selectivamente a las víctimas con un mensaje de correo electrónico específico y personalizado para engañar a los objetivos o a los empleados de una empresa objetivo para que entreguen datos financieros o de propiedad, o desbloqueen el acceso a la red. Los spear phishers se dirigen a personas que tienen acceso a información confidencial o que son puntos débiles de la red. Los objetivos de alto valor, como ejecutivos de nivel C, miembros del consejo de administración de la empresa o administradores con privilegios elevados, son especialmente vulnerables, ya que tienen acceso a sistemas críticos e información confidencial.
Cómo lo hacen:
Los spear phishers investigan para identificar a los objetivos y sus cargos profesionales a través de redes sociales como LinkedIn. A partir de ahí, falsifican direcciones para enviar mensajes altamente personalizados y de apariencia auténtica con el fin de infiltrarse en la infraestructura y los sistemas del objetivo.
Una vez que los hackers consiguen acceder al entorno, intentan llevar a cabo esquemas aún más elaborados.
Desde dónde lo hacen:
Detrás de este ataque se encuentran tanto individuos como organizaciones. Sin embargo, muchos intentos de spear phishing de alto perfil tienen su origen en organizaciones de ciberdelincuencia patrocinadas por estados, que disponen de los recursos para investigar a sus objetivos y eludir los filtros de seguridad.
38. Whale Phishing (Whaling)
¿Por qué ir detrás de un pez pequeño cuando puedes pescar una ballena?
Whaling es cuando los hackers van tras un único objetivo de alto valor, como un CEO. El objetivo siempre es alguien concreto, mientras que un correo electrónico de phishing puede ir dirigido a cualquier persona de una empresa. Los hackers también suelen ir tras objetivos de alto perfil porque pueden poseer información importante o sensible.
Cómo lo hacen:
La técnica utilizada en un ataque de whaling es una práctica clásica de phishing. El objetivo recibe un correo electrónico que parece auténtico, en el que normalmente se le pide que haga clic en un enlace que contiene código malicioso o que conduce a un sitio web en el que se solicita información confidencial, como una contraseña.
Desde dónde lo hacen:
El phishing es el punto de entrada más común para un ciberataque, lo que significa que un ataque de este tipo puede originarse en cualquier parte del mundo.
39. Compromiso de usuario privilegiado (Privileged User Compromise)
Es un hecho ampliamente aceptado que muchas filtraciones graves de datos se deben al uso indebido de credenciales privilegiadas. Se trata de cuentas con privilegios elevados, como los usuarios con derechos de administrador de dominio o privilegios de raíz.
Los atacantes utilizan cada vez más credenciales de usuarios privilegiados para acceder a los recursos y la información de una organización y extraer datos confidenciales.
Un atacante que obtiene acceso a credenciales de usuario privilegiadas puede tomar el control de la infraestructura de una organización para modificar la configuración de seguridad, extraer datos, crear cuentas de usuario y mucho más, todo ello aparentando ser legítimo y, por tanto, más difícil de detectar.
Cómo lo hacen:
Los atacantes intentan obtener acceso a cuentas privilegiadas mediante técnicas de ingeniería social, el envío de mensajes de spear-phishing, el uso de malware o ataques «pass the hash».
Las organizaciones han abierto sus redes para hacer frente a una mano de obra cada vez más móvil y remota, y habilitan una compleja red de acceso remoto utilizada por proveedores y prestadores de servicios.
A muchas de estas conexiones, incluidas las de la nube, se accede a través de potentes credenciales de cuentas privilegiadas, y encontrar, controlar y supervisar el acceso a todas ellas es todo un reto, lo que da a los ciberdelincuentes muchas oportunidades.
Una vez armados con las credenciales, los atacantes entran y se apoderan de lo que pueden, como claves SSH, certificados y hashes de administración de dominios. Y basta un solo ataque a una cuenta para que se produzca una importante violación de datos que puede poner de rodillas a una organización.
Desde dónde lo hacen:
Dado que proporciona a los atacantes un acceso amplio y difícil de detectar a todo tipo de datos privilegiados, el secuestro de usuarios resulta muy atractivo y se utiliza habitualmente en ciberataques de diversa índole, ya se trate de ciberespionaje por parte de Estados-nación motivado por ideologías políticas o de sofisticados grupos de ciberdelincuentes con motivaciones financieras.
40. Ransomware
El ransomware es un ataque en el que un host infectado cifra los datos de una víctima, manteniéndola como rehén hasta que pague una cuantía al atacante. Los recientes ataques de ransomware han demostrado que los hackers han empezado a amenazar con filtrar o vender los datos robados, lo que aumenta el daño potencial de este tipo de ataques en órdenes de magnitud.
Existen innumerables tipos de ransomware, pero ciertos grupos son especialmente nefastos. Una banda muy conocida, Blackmatter, ha atacado varias organizaciones críticas para la economía y la infraestructura de Estados Unidos, incluida la industria alimentaria y agrícola.
Ryuk es otro tipo de ransomware con el que hay que tener cuidado. En 2019, Ryuk tenía el rescate más alto registrado con 12,5 millones de dólares.
Cómo lo hacen:
Los atacantes pueden desplegar ransomware a empresas y particulares a través de campañas de spear phishing y drive-by downloads, así como a través de la explotación tradicional basada en servicios remotos. Una vez que el malware se instala en el equipo de la víctima, muestra al usuario una ventana emergente o le dirige a un sitio web, donde se le informa de que sus archivos están cifrados y pueden ser liberados si paga el rescate.
Desde dónde lo hacen:
El ransomware ha sido normalmente obra de grupos avanzados de ciberdelincuentes que permanecen en el anonimato tras extorsionar a gobiernos o grandes empresas que requieren sofisticación tecnológica. Sin embargo, desde la llegada de las criptomonedas, que simplifican las transacciones anónimas, la población general corre un mayor riesgo de sufrir un ataque de ransomware.
41. Ransomware-as-a-Service
RaaS es un modelo de negocio entre
en el que los afiliados pagan por lanzar ataques de ransomware desarrollados por los operadores. Los kits RaaS permiten a los afiliados que carecen de la habilidad o el tiempo para desarrollar su propia variante de ransomware ponerse en marcha de forma rápida y asequible. Un kit RaaS puede incluir asistencia las 24 horas del día, los 7 días de la semana, ofertas incluidas, reseñas de usuarios, foros y otras características idénticas a las que ofrecen los proveedores legítimos de SaaS.
Cómo lo hacen:
El ransomware es un riesgo siempre presente para las empresas, en las que un host infectado cifra los datos críticos para el negocio, manteniéndolos como rehenes hasta que la víctima paga un rescate al atacante. Los atacantes pueden desplegar ransomware en las empresas a través de campañas de spearphishing y drive-by downloads, así como a través de la explotación tradicional basada en servicios remotos.
Desde dónde lo hacen:
Dado que los kits RaaS son relativamente fáciles de usar y muy fáciles de encontrar en la dark web, donde se publicitan ampliamente, este ataque podría provenir de cualquier hacker principiante con el dinero para comprar un kit.
42. Seguridad de routers e infraestructuras (Router and Infrastructure Security)
Los implantes de routers han sido poco frecuentes, y se cree en gran medida que son de naturaleza y uso teóricos.
Sin embargo, recientes avisos de proveedores indican que se han visto en la práctica. El vector de infección inicial no parece aprovechar una vulnerabilidad de día cero. Se cree que las credenciales son predeterminadas o descubiertas por el atacante para instalar la puerta trasera. Sin embargo, la posición del router en la red lo convierte en un objetivo ideal para la reentrada o la infección posterior.
Cómo lo hacen:
Los dispositivos de red, como enrutadores y conmutadores, a menudo no se consideran como recursos que los atacantes pueden aprovechar para infiltrarse en una empresa.
No obstante, los atacantes también pueden comprometer los dispositivos de red y pueden obtener acceso directo a la infraestructura interna de la empresa, aumentando así la superficie de ataque y accediendo a servicios y datos privados.
Desde dónde lo hacen:
Los ciberdelincuentes que se dedican a las amenazas avanzadas se han mostrado propensos a atacar estos activos críticos para desviar y redirigir el tráfico de red, instalar sistemas operativos pirateados e implantar algoritmos criptográficos que permitan descifrar con mayor facilidad el tráfico de red.
43. Ataque con software o hardware no aprobado (Shadow IT)
Las TI en la sombra se refieren a las aplicaciones e infraestructuras de TI que los empleados utilizan sin el conocimiento y/o consentimiento del departamento de TI de su organización. Pueden incluir hardware, software, servicios web, aplicaciones en la nube y otros programas.
En general, los empleados bienintencionados descargan y utilizan inocentemente estas aplicaciones para hacer su trabajo más fácil o más eficiente.
Es un fenómeno tan omnipresente que Gartner había estimado que un tercio de todos los ataques de ciberseguridad empresarial provendrían de recursos de TI en la sombra en 2020. Debido a que los usuarios acceden a estas aplicaciones en gran medida bajo el radar, a menudo están abriendo involuntariamente la puerta a amenazas internas, violaciones de datos y violaciones de cumplimiento.
Cómo lo hacen:
Como su nombre indica, la naturaleza secreta de las TI en la sombra se debe a que los empleados comparten o almacenan datos en servicios en la nube no autorizados, lo que propicia una serie de riesgos para la seguridad y el cumplimiento normativo.
Las infracciones pueden producirse cuando los empleados cargan, comparten o almacenan datos críticos o regulados en aplicaciones de TI en la sombra sin las soluciones de seguridad y prevención de pérdida de datos (DLP) adecuadas.
La información expuesta se convierte entonces en un blanco fácil para las amenazas internas y el robo de datos, y también puede dar lugar a costosas infracciones de la normativa. Además, las propias aplicaciones pueden estar plagadas de vulnerabilidades y lagunas de seguridad.
Desde dónde lo hacen:
En este caso, la amenaza se origina dentro de una organización. Los empleados que utilizan aplicaciones informáticas en la sombra a menudo lo hacen para eludir una política restrictiva o para hacer el trabajo más rápido, no necesariamente para poner en peligro a sus empresas y compañeros de trabajo.
Sin embargo, en última instancia, dejan la puerta abierta a intrusos malintencionados o piratas informáticos externos que buscan explotar las brechas de seguridad de estos sistemas.
44. Simjacking
El SIMjacking (también conocido como SIM swap scam, port-out scam, SIM splitting y SIM swapping) es un tipo de apropiación de cuenta que generalmente tiene como objetivo una debilidad en la autenticación de dos factores y la verificación en dos pasos en la que el segundo factor es un mensaje de texto (SMS) o una llamada realizada a un teléfono móvil.
En pocas palabras, el simjacking se produce cuando un atacante se hace pasar por un usuario ante un proveedor de telefonía móvil con el fin de robar su número de teléfono móvil transfiriéndolo a una tarjeta SIM diferente (que ya está en posesión del hacker).
Cómo lo hacen:
Un pirata informático llama a la línea de asistencia de un proveedor de servicios móviles, haciéndose pasar por el cliente, diciendo que ha perdido su tarjeta SIM.
Puede verificar su identidad porque ha obtenido cierta cantidad de información personal del cliente (dirección, contraseñas o número de seguridad social) a través de uno de los muchos hackeos de bases de datos de la última década.
El empleado del proveedor de servicios, al no tener forma de saber que la persona al otro lado de la línea no es quien dice ser, realiza el cambio.
Al instante, ese número de teléfono, la clave asociada a gran parte de la vida digital, está bajo el control del atacante.
Desde dónde lo hacen:
Por lo general, los secuestradores intentan extorsionar a sus víctimas a cambio de algo de gran valor, como Bitcoin u otras carteras de criptomonedas, o cuentas de redes sociales de gran valor, o para dañar su reputación.
Estos hackers pueden venir de cualquier parte del mundo, y pueden ser miembros de grupos organizados o actores solitarios.
45. Ataque de ingeniería social (Social Engineering Attack)
Ingeniería social es el término utilizado para una amplia gama de actividades maliciosas realizadas a través de la manipulación psicológica para engañar a los usuarios para que cometan errores de seguridad o faciliten información sensible.
Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa en el error humano, más que en las vulnerabilidades del software y los sistemas operativos.
Los errores cometidos por usuarios legítimos son mucho menos predecibles, por lo que son más difíciles de identificar y frustrar que una intrusión basada en malware.
Cómo lo hacen:
Los ataques de ingeniería social adoptan muchas formas diferentes y pueden realizarse en cualquier lugar donde haya interacción humana.
A continuación se describen las formas comunes de ataques digitales de ingeniería social. En primer lugar, un agresor investiga a la víctima prevista para recopilar la información de fondo necesaria, como los posibles puntos de entrada y los protocolos de seguridad débiles necesarios para proceder con el ataque. A continuación, el atacante se gana la confianza de la víctima y proporciona estímulos para acciones posteriores que infringen las prácticas de seguridad, como revelar información sensible o conceder acceso a recursos críticos.
Desde dónde lo hacen:
La ingeniería social puede adoptar muchas formas y proceder de muchas fuentes y motivaciones.
Lo más habitual es que se presente en forma de correos electrónicos de phishing. Otras formas son el pretexting, en el que el atacante crea un buen pretexto para robar datos importantes; el baiting y el quid pro quo, en los que el atacante ofrece a la víctima algo deseable a cambio de que facilite sus credenciales de acceso; y el tailgating o piggybacking, en el que un atacante accede a una zona restringida de una empresa siguiendo a un empleado autenticado a través de puertas seguras.
46. Spyware
No es ningún secreto que los ataques de spyware siguen produciéndose con una frecuencia alarmante. Pero si se trata de una figura de alto perfil, es probable que sea un blanco mayor.
En mayo de 2021, las autoridades anunciaron que unos hackers habían atacado los teléfonos móviles del presidente del Gobierno español, Pedro Sánchez, y de la ministra de Defensa, Margarita Robles, en varios ataques con el programa espía Pegasus, lo que provocó un importante robo de datos de ambos dispositivos y causó estragos en los sistemas administrativos y gubernamentales de España.
El spyware es un tipo de malware cuyo objetivo es recopilar datos personales u organizativos, rastrear o vender la actividad web de una víctima (por ejemplo, búsquedas, historial y descargas), capturar información de cuentas bancarias e incluso robar la identidad de una persona.
Existen múltiples tipos de programas espía, y cada uno emplea una táctica única para rastrear a la víctima. En última instancia, el software espía puede hacerse con el control de un dispositivo, filtrando datos o enviando información personal a otra entidad desconocida sin previo conocimiento o consentimiento.
Cómo lo hacen:
Los programas espía pueden instalarse en el dispositivo de la víctima por diversos medios, pero lo habitual es que se introduzcan en el sistema engañando a la víctima o aprovechando las vulnerabilidades existentes. Esto puede ocurrir cuando un usuario acepta por descuido un aviso o una ventana emergente al azar, descarga software o actualizaciones de una fuente poco fiable, abre archivos adjuntos de correo electrónico de remitentes desconocidos o piratea películas, música o software.
Desde dónde lo hacen:
Gracias a los kits de software de actividades ilegales que ya están disponibles, este tipo de ataque puede provenir de cualquiera y de cualquier lugar.
Pero la mayoría de las veces proceden de organizaciones criminales que buscan vender la información de la víctima a terceros.
47. Inyección SQL (SQL Injection)
El Lenguaje de Consulta Estructurado, o (Structured Query Language – SQL), a veces pronunciado «sequel», es el lenguaje de programación estándar utilizado para comunicarse con bases de datos relacionales, sistemas que soportan todos los sitios web y aplicaciones de Internet basados en datos.
Un atacante puede aprovecharse de este sistema (muy común) introduciendo una consulta SQL específica en el formulario (inyectándola en la base de datos), momento en el que el hacker puede acceder a la base de datos, la red y los servidores. Los ataques de inyección SQL siguen siendo un método de ataque muy popular.
La inyección SQL es un tipo de ataque de inyección utilizado para manipular o destruir bases de datos utilizando sentencias SQL maliciosas. Las sentencias SQL controlan la base de datos de su aplicación web y pueden utilizarse para eludir las medidas de seguridad si las entradas del usuario no se desinfectan correctamente.
Cómo lo hacen:
Un ataque de inyección SQL consiste en la inserción o «inyección» de una consulta SQL a través de los datos de entrada del cliente a la aplicación.
Un exploit de inyección SQL exitoso puede leer datos sensibles de la base de datos, modificar datos de la base de datos, ejecutar operaciones de administración en la base de datos, recuperar el contenido de un archivo determinado presente en el sistema de archivos del SGBD y, en algunos casos, emitir comandos al sistema operativo.
Desde dónde lo hacen:
Dado que gran parte de Internet se basa en bases de datos relacionales, los ataques de inyección SQL son muy frecuentes.
La búsqueda de «inyección» en la base de datos Common Vulnerabilities and Exposures devuelve 15.000 resultados.
48. Ataque a la cadena de suministro (Supply Chain Attack)
Un ataque a la cadena de suministro es un poderoso ciberataque que puede vulnerar incluso las defensas de seguridad más sofisticadas a través de proveedores legítimos.
Dado que los proveedores necesitan acceder a datos confidenciales para integrarse con los sistemas internos de sus clientes, cuando se ven comprometidos en un ciberataque, a menudo también lo están los datos de sus clientes. Y como los proveedores almacenan datos sensibles para numerosos clientes, un solo ataque a la cadena de suministro da a los piratas informáticos acceso a los datos sensibles de muchas organizaciones, en muchos sectores.
No se puede exagerar la gravedad de los ataques a la cadena de suministro. Y la reciente oleada de estos ataques sugiere que este método es ahora el ataque du jour de los actores estatales.
Cómo lo hacen:
Un ataque a la cadena de suministro utiliza procesos legítimos y de confianza para obtener acceso completo a los datos de las organizaciones, atacando el código fuente del software del proveedor, las actualizaciones o los procesos de fabricación. Son difíciles de detectar porque se producen en un punto alejado de la superficie de ataque.
Los proveedores comprometidos transmiten entonces, sin saberlo, programas maliciosos a la red de sus clientes.
Las víctimas pueden ser infectadas a través de actualizaciones de software de terceros, instaladores de aplicaciones y a través de malware en dispositivos conectados.
Una actualización de software puede infectar a miles de organizaciones, con un esfuerzo mínimo del hacker, que ahora tiene acceso «legítimo» para moverse lateralmente a través de miles de organizaciones.
Desde dónde lo hacen:
Los ataques a la cadena de suministro son sofisticados ataques a gran escala perpetrados por grupos de ciberdelincuentes. Son a menudo patrocinados por Estados-nación y motivados ideológicamente, aunque el beneficio económico también es una importante motivación.
49. Actividades sospechosas de autenticación en la nube (Suspicious Cloud Authentication Activities)
Ahora más que nunca, la gestión del acceso a la identidad (IAM) se ha convertido en una parte fundamental de la seguridad en la nube. Solo en 2022, el 84% de las organizaciones fueron víctimas de infracciones relacionadas con la identidad, y el 96% de ellas informaron de que la infracción podría haberse evitado o minimizado aplicando una seguridad centrada en la identidad.
Sin las tecnologías y políticas correctas en su lugar (por ejemplo, cero confianza y gestión de proveedores), la identificación de comportamientos anómalos a través de la autenticación y la autorización puede ser increíblemente difícil.
Como resultado, estos ataques a menudo pasan desapercibidos, ya que la autenticación realizada por un actor malintencionado puede parecer la misma que la de un usuario legítimo, dependiendo de lo expansivo que sea el marco IAM implantado (por no hablar de si siquiera existe).
Las organizaciones necesitan alejarse de la seguridad de red para proteger y autenticar mejor las identidades de los usuarios. Hasta hace poco, sin embargo, era mucho más fácil decirlo que hacerlo.
Ciertas tecnologías simplemente carecían de las capacidades de integración necesarias, lo que limitaba la capacidad de una organización para supervisar de forma centralizada la seguridad general de sus recursos.
Ahora hay innumerables tecnologías disponibles que giran en torno al control de acceso, como la autenticación multifactor (MFA). Para evitar la autenticación ilegítima en las aplicaciones en la nube, no se debe confiar implícitamente en ningún usuario o dispositivo, ya sea interno o externo a la organización, y el acceso a todos los recursos debe autenticarse y autorizarse de forma explícita y continua.
Cómo lo hacen:
La amenaza o el atacante pueden penetrar fácilmente en la red/romper el perímetro cuando hay una clara falta o debilidad del marco de IAM, y cuando una organización sigue confiando en la seguridad de la red/punto final.
En ambos casos, debido a que los controles de acceso de identidad son tan laxos, el atacante puede iniciar sesión fácilmente con las credenciales robadas sin ser detectado, y luego moverse lateralmente a través de la red, así como cualquier sistema conectado, comprometiendo los activos y causando daños irrevocables – en última instancia, dándole rienda suelta.
Desde dónde lo hacen:
Entre el creciente número de ataques de phishing, el número cada vez mayor de identidades de usuario y el continuo crecimiento de la adopción de la nube, este tipo de ataque puede provenir de cualquier parte, incluidos proveedores externos, empleados, trabajadores remotos y consultores.
50. Actividades sospechosas de almacenamiento en la nube (Suspicious Cloud Storage Activities)
Ahora que los datos están muy dispersos en la nube (y, con demasiada frecuencia, de forma desordenada), los atacantes tienen muchas oportunidades de encontrar y explotar vulnerabilidades conocidas y desconocidas. Esto es especialmente cierto cuando las organizaciones se trasladan apresuradamente a la nube, lo que puede comprometer o desconfigurar ciertos controles de seguridad.
Para complicar aún más las cosas, los activos y las aplicaciones deben protegerse según el modelo de responsabilidad compartida, en el que los proveedores de servicios en la nube (CSP) cubren ciertos elementos, procesos y funciones, pero el cliente es responsable de proteger sus datos, código y otros activos importantes, según la alianza de seguridad en la nube (CSA).
Cómo lo hacen:
Un ataque al almacenamiento en la nube se produce cuando un agente malintencionado consigue introducirse en la infraestructura en la nube de la organización debido a una configuración de seguridad incorrecta, laxa o inexistente.
Una vez dentro, empezarán a desactivar ciertos controles, como la supervisión del acceso. Pueden crear nuevas cuentas para continuar accediendo, mientras ejecutan comandos que no son típicos para el tipo de usuario o sistema en cuestión.
También podrían cambiar las políticas de ciertos cubos de almacenamiento, de modo que los archivos de una organización sean accesibles al público, lo que llevaría a la extracción de datos. Afortunadamente, todos estos son eventos llamativos, y serán fáciles de rastrear e identificar en los registros de auditoría del CSP.
Desde dónde lo hacen:
Un ejemplo de cómo puede ocurrir esto es si un desarrollador ejecuta una instancia obsoleta de una función o aplicación en la nube. Esto podría contener vulnerabilidades conocidas que finalmente fueron parcheadas en una versión posterior.
Pero como se está ejecutando un programa antiguo, los atacantes pueden utilizarlo como punto de entrada antes de desplazarse lateralmente por el entorno de la nube.
51. Procesos Hijo sospechosos de Zoom (Suspicious Zoom Child Processes)
Zoom, el gigante de las videoconferencias, se ha convertido en los últimos años en la principal plataforma de videocomunicación empresarial. Su uso ha aumentado drásticamente con el incremento de trabajadores remotos, atribuido en gran medida a los mandatos de refugio en el lugar tras la pandemia COVID-19. Sin embargo, a medida que aumentaba la popularidad de Zoom, los fallos en los sistemas Windows y macOS han sido objeto de un mayor escrutinio por parte de los delincuentes, que han recurrido cada vez más a este vector de ataque para obtener acceso no autorizado y escalar privilegios en los sistemas objetivo, incluido el aprovechamiento de una función de validación de biblioteca local en Zoom para secuestrar completamente la cámara web y el micrófono de un usuario desprevenido.
Los escenarios de ataque plausibles podrían significar que los atacantes utilicen sus privilegios mal obtenidos para espiar a los usuarios objetivo, ya sea en su vida personal o durante reuniones importantes en las que se esté compartiendo información sensible.
Esencialmente, estos fallos de escalada local de privilegios se aprovechan de los diseños de arquitectura de software de Zoom. Estos exploits pueden ser lanzados por un atacante local, en el que el adversario es alguien que ya tiene el control físico de un ordenador vulnerable.
Una vez explotados los fallos, los atacantes pueden obtener y mantener un acceso persistente a diversas funciones del ordenador de la víctima, lo que les permite instalar ransomware, troyanos, spyware y otros numerosos tipos de código malicioso en los sistemas objetivo con fines nefastos.
Cómo lo hacen:
Una de las formas en que puede producirse este ataque es a través del instalador de Zoom, diseñado para instalar la aplicación Zoom MacOS sin ninguna interacción del usuario.
En este escenario, un adversario local con privilegios de usuario de bajo nivel puede inyectar el instalador de Zoom con malware para obtener los privilegios más altos, de nivel raíz, que le permitan acceder al sistema operativo Mac subyacente, facilitando la ejecución de malware o spyware sin el consentimiento o conocimiento del usuario.
Otro fallo aprovecha un defecto en la función de validación de bibliotecas locales de Zoom. Un atacante puede cargar una biblioteca maliciosa de terceros en el espacio de procesos /direcciones de Zoom, que hereda automáticamente todos los derechos de acceso de Zoom, y obtener el control sobre los permisos de la cámara y el micrófono sin el conocimiento o consentimiento del usuario.
Desde dónde lo hacen:
Lo que hace única a esta vulnerabilidad en particular es que un atacante necesita acceso físico al ordenador de la víctima para explotar sus múltiples fallos. Así que este ataque viene desde dentro, o de piratas informáticos que han acceso a un portátil o sistema informático o robado.
Otro escenario de ataque incluye una infección post-malware que podría ser perpetrada por un adversario remoto, pero con acceso previo al sistema objetivo, probablemente a través de un exploit de malware previo.
52. Mala configuración del sistema (System Misconfiguration)
Un pequeño error puede tener consecuencias muy graves.
La desconfiguración de la seguridad es un problema muy extendido que puede poner en peligro a las organizaciones debido a controles de seguridad mal configurados (o a la falta de ellos).
Esto puede ocurrir en casi cualquier nivel de la pila informática y de seguridad, desde la red inalámbrica de la empresa, pasando por las aplicaciones web y de servidor, hasta el código personalizado.
Cómo lo hacen:
Este tipo de ataque suele producirse por la falta de parches, el uso de cuentas por defecto, servicios innecesarios, una configuración por defecto insegura y una documentación deficiente.
Esto puede atribuirse a cualquier cosa, desde un fallo al configurar una cabecera de seguridad en un servidor web, hasta olvidarse de desactivar el acceso administrativo para ciertos niveles de empleados.
Este ataque también puede producirse cuando los piratas informáticos echan raíces en aplicaciones heredadas con errores de configuración inherentes debido a la falta de documentación.
Desde dónde lo hacen:
La configuración incorrecta no se considera un acto malicioso en sí mismo, sino que se debe principalmente a un error humano.
Sin embargo, los atacantes pueden saber dónde buscar si sospechan de un nivel laxo de configuración en la pila de TI de una determinada organización.
53. Ataque por error ortográfico común (Typosquatting)
El typosquatting es un ataque de phishing en el que los atacantes se aprovechan de nombres de dominio comúnmente mal escritos. En otros casos, los criminales crean dominios maliciosos que se parecen mucho a los de marcas legítimas.
Cómo lo hacen:
No se trata de un ataque sofisticado. Puede ser tan
tan sencillo como que un niño de 14 años registre un dominio e instale código malicioso en él.
La forma maliciosa de este ataque suele implicar a un hacker que utiliza dominios falsos para engañar a los usuarios y hacerles interactuar con una infraestructura maliciosa.
Incluso para los usuarios familiarizados con estos riesgos, el error humano es un hecho de la vida, y la mayoría de los adversarios son demasiado conscientes de esta realidad y se aprovecharán de ella siempre que sea posible, como el phishing con direcciones falsas, la incrustación de dominios falsos de comando y control en el malware, y el alojamiento de contenido malicioso en dominios que imitan fielmente a los servidores corporativos.
Desde dónde lo hacen:
El origen de este ataque no es tan importante como el objetivo. Este ataque suele dirigirse a usuarios de Internet poco sofisticados que no se darán cuenta de que la URL de su dominio favorito tiene una o dos letras de error.
Y como este ataque es tan sencillo (puede ser tan fácil como registrar un nombre de dominio), puede originarse desde casi cualquier lugar.
54. Ataque de abrevadero (Watering Hole Attack)
Como un abrevadero literal, un ataque de abrevadero es aquel en el que el ordenador del usuario se ve comprometido al visitar un sitio web infectado con malware diseñado para infiltrarse en su red y robar datos o activos financieros.
La técnica específica es esencialmente un ataque zeroday. El objetivo es infectar el sistema informático para obtener acceso a una red para obtener beneficios financieros o información propietaria.
Cómo lo hacen:
En primer lugar, los atacantes elaboran un perfil de su objetivo para determinar los sitios web que visita con frecuencia y, a partir de ahí, buscan vulnerabilidades.
Aprovechando los fallos identificados, el atacante compromete estos sitios web y luego espera a que el usuario en cuestión los visite.
A su vez, el sitio web comprometido infectará a su red, lo que permitirá a los atacantes desplazarse lateralmente a otros sistemas.
Desde dónde lo hacen:
Aunque proceden de todas partes, muchos de los ciberdelincuentes que están detrás de este ataque son originarios de lugares donde florecen los grupos organizados de amenazas, como Rusia, Europa del Este y China.
55. Robo de cookies de sesión web (Web Session Cookie Theft)
Casi todas las aplicaciones web que utilizamos, desde las redes sociales y las plataformas de streaming hasta los servicios en la nube y las aplicaciones financieras, funcionan con cookies de autenticación.
Aunque las cookies hacen que nuestra experiencia en la web sea mucho más cómoda, también crean una vulnerabilidad de la que se puede abusar con gran efecto.
Cuando un atacante consigue robar una cookie de sesión, puede realizar cualquier acción para la que el usuario original esté autorizado. Un peligro para las organizaciones es que las cookies pueden utilizarse para identificar a usuarios autenticados en sistemas de inicio de sesión único, lo que podría dar al atacante acceso a todas las aplicaciones web que la víctima pueda utilizar, como sistemas financieros, registros de clientes o sistemas de línea de negocio que puedan contener propiedad intelectual confidencial.
Cómo lo hacen:
Después de que un usuario accede a un servicio y valida su identidad, se almacena una cookie en su máquina durante un largo periodo de tiempo para que no tenga que iniciar sesión una y otra vez.
Los cibercriminales pueden robar las cookies de sesión web a través de malware y, a continuación, importar la cookie en un navegador que controlen, lo que les permite utilizar el sitio o la aplicación como el usuario mientras la cookie de sesión esté activa.
Una vez iniciada la sesión en el sitio, un adversario puede acceder a información sensible, leer el correo electrónico o realizar acciones para las que la cuenta de la víctima tiene permisos.
Desde dónde lo hacen:
El robo de cookies se realiza comúnmente a través de malware que copia las cookies víctima y las envía directamente al atacante.
El malware puede llegar a la máquina de la víctima víctima de cualquiera de las formas en este libro, como phishing, virus de macro, cross-site scripting y más.
Muchos hackers que se dedican en el robo de cookies pertenecen a grandes redes con base en Rusia y China.
56. Ataque por cable (Wire Attack)
Los ataques por cable son sofisticados esquemas que envían pagos fraudulentos de gran valor a través de redes internacionales de transferencia por cable. A menudo van más allá del fraude bancario ordinario, los atacantes pueden dirigirse a bancos de mercados emergentes con
ciberseguridad o controles operativos limitados, o atraer a víctimas de alto perfil con sofisticadas y creíbles estafas de phishing. Estos grupos de ciberdelincuentes buscan grandes cantidades de dinero en un solo ataque.
Cómo lo hacen:
En un escenario de ataque, los ciberdelincuentes utilizan un sofisticado malware para burlar los sistemas de seguridad locales.
Desde allí, acceden a una red de mensajería y envían mensajes fraudulentos para iniciar transferencias de efectivo desde cuentas en bancos más grandes. En otro escenario de ataque, los cibercriminales utilizan campañas de spear phishing que parecen auténticas para convencer a las víctimas de que transfieran grandes sumas de dinero.
Desde dónde lo hacen:
Grupos de ciberdelincuentes internacionales y nacionales altamente organizados, como APT 38 y Lazarus Group, han estado históricamente detrás de los ataques electrónicos. Estos grupos disponen de la infraestructura y los recursos necesarios para llevar a cabo con éxito ataques complejos y multidisciplinares.
Aunque no está claro quién está exactamente detrás de estos grupos, algunos informes han indicado que podrían tener vínculos con Corea del Norte. Pero también se ha descubierto que grupos de piratas informáticos de China y Nigeria son el origen de elaborados ataques a transferencias bancarias.
57. Ataque de día cero (Zero-Day Exploit)
Una vulnerabilidad de día cero, en esencia, es un defecto. No es de extrañar que el número de fallos de día cero siga una trayectoria ascendente.
Se trata de un punto débil en un programa o en una red informática que los piratas informáticos aprovechan poco después (o inmediatamente después) de que esté disponible para su uso general. El término «día cero» se refiere a la ventana del mismo día en la que se abusa de estas vulnerabilidades.
Cómo lo hacen:
Un ataque de día cero se produce una vez que se explota la vulnerabilidad. La naturaleza de la vulnerabilidad afectará a la forma en que se implemente el ataque, pero los ataques de día cero siguen un patrón.
En primer lugar, el hacker (o grupos de hackers) escanean el código base en busca de vulnerabilidades.
Una vez que encuentran el fallo, crean un código que explota la vulnerabilidad.
Se infiltran en el sistema (utilizando uno o varios de los métodos descritos en este arículo), lo infectan con su código y lanzan el exploit.
Desde dónde lo hacen:
La prevalencia de la tecnología ha provocado un crecimiento explosivo de los ataques de día cero.
Aunque estos ataques pueden lanzarse aparentemente desde cualquier lugar, a menudo proliferan a través de estados-nación o regiones con amplias redes e infraestructuras cibernéticas.
Según informes recientes, la mayor parte de las amenazas de día cero en 2021 procedían de grupos de piratas informáticos de China.
En el artículo anterior de esta serie, analizamos en profundidad la protección de la capa física (Primero protege tu hardware). En el próximo artículo (Artículo 5) hablaremos del aspecto humano de la ciberseguridad.
La serie completa de “Ciberataque – Geografía e Identidad”:
#1 – «Ciberataque – Geografía e Identidad 1 – Cambio de paradigma«
#2 – «Ciberataque – Geografía e Identidad 2 – Cuando hackear es un asunto de estado«
#3 – «Ciberataque – Geografía e Identidad 3 – Primero protege tu hardware«
#4 – «Ciberataque – Geografía e Identidad 4 – Las 57 principales amenazas«
#5 – «Ciberataque – Geografía e Identidad 5 – El aspecto humano de la ciberseguridad«
#6 – «Ciberataque – Geografía e Identidad 6 – La diferencia entre hackers, ciberdelincuentes y ladrones de identidad«
#7 – «Ciberataque – Geografía e Identidad 7 – Las motivaciones de los ciberdelincuentes«
#8 – «Ciberataque – Geografía e Identidad 8 – Vectores del ransomware y cómo evitar convertirse en víctima«
#9 – «Ciberataque – Geografía e Identidad 9 – Reconoce y evita el phishing«
#10 – «Ciberataque – Geografía e Identidad 10 – IA, un salto de gigante en ciberseguridad«
#11 – «Ciberataque – Geografía e Identidad 11 – ¿Hacking Back?«
#12 – «Ciberataque – Geografía e Identidad 12 – Atrapando a los hackers en el acto«
#13 – «Ciberataque – Geografía e Identidad 13 – La ciberseguridad en el núcleo empresarial«
#14 – «Ciberataque – Geografía e Identidad 14 – Nuevas normativas de ciberseguridad en la Unión Europea«
#15 – «Ciberataque – Geografía e Identidad 15 – Defensa Activa«
Página Infografía del ciberataque.
