jueves, 13 de julio de 2023

CIBERDELITOS y CIBERATAQUES

 CIBERDELITOS y CIBERATAQUES 


Un ataque cibernético es una acción delictiva y malintencionada que se realiza para acceder a información privada de una persona, organización o empresa, bien para apropiarse de ella o bien para inutilizarla y pedir un rescate (dinero) a cambio de liberar esa información (datos, archivos etc.)

Estos ataques utilizan códigos maliciosos para alterar la lógica o los datos del ordenador, lo que genera consecuencias perjudiciales que pueden comprometer información y provocar delitos cibernéticos, como el robo de identidad y otros delitos
informáticos.

Cuando los ciberdelincuentes logran explotar las vulnerabilidades; pueden robar información y desarrollar capacidades para interrumpir, destruir o amenazar la prestación de servicios o productos suministrados, por lo que se hace indispensable
identificarlas y controlar esas amenazas.

¿Qué tipos de ciberataques más comunes existen?
● Phishing.
● Spear phishing.
● Whaling.
● Malware o software malicioso.
● Ransomware o secuestro de datos.
● Descargas automáticas.
● Troyano.

Como ya lo expresamos un ataque cibernético es cuando un individuo o una organización intenta deliberada y maliciosamente violar el sistema de información de otro individuo u organización. Los ciberdelincuentes buscan rescates u otro tipo de beneficios económicos, pero los ataques pueden ser hechos por diferentes motivos, incluidos los propósitos de índole político y de ataque a Naciones a Estados, sus instalaciones críticas etc.
Los tipos más comunes de ataques cibernéticos.

Malware
El término «malware» abarca varios tipos de ataques, incluyendo spyware, virus y gusanos. El malware utiliza una vulnerabilidad para romper una red cuando “un usuario hace clic en un enlace o archivo adjunto de correo electrónico peligroso «plantado», que se utiliza para instalar software malintencionado en el sistema.

El malware y los archivos maliciosos dentro de un sistema informático pueden hacerlo:

  • Denegar el acceso a los componentes críticos de la red
  • Obtener información recuperando datos del disco duro
  • Interrumpir el sistema o incluso inutilizarlo
El malware es tan común que existe una gran variedad de modus operandi.
Los tipos más comunes son:

  • Virus: infectan aplicaciones que se adjuntan a la secuencia de inicialización. El virus se replica a sí mismo, infectando otro código en el sistema informático. Los virus también pueden adjuntarse al código ejecutable o asociarse a un archivo creando un archivo de virus con el mismo nombre pero con la extensión.exe, creando así un señuelo que transporta el virus.
  • Troyanos: un programa que se esconde dentro de un programa útil con fines maliciosos. A diferencia de los virus, un troyano no se replica a sí mismo y se utiliza comúnmente para establecer una puerta trasera para ser explotada por los atacantes.
  • Gusanos: a diferencia de los virus, no atacan al host, ya que son programas autónomos que se propagan a través de redes y equipos. Los gusanos a menudo se instalan a través de archivos adjuntos de correo electrónico, enviando una copia de sí mismos a cada contacto de la lista de correo electrónico del equipo infectado. Se utilizan comúnmente para sobrecargar un servidor de correo electrónico y lograr un ataque de denegación de servicio.
  • Ransomware: un tipo de malware que niega el acceso a los datos de las víctimas, amenazando con publicarlos o eliminarlos a menos que se pague un rescate. El software de rescate avanzado utiliza la extorsión criptoviral, cifrando los datos de la víctima para que sea imposible descifrarlos sin la clave de descifrado.
  • Spyware-un tipo de programa instalado para recopilar información sobre los usuarios, sus sistemas o hábitos de navegación, enviando los datos a un usuario remoto. El atacante puede utilizar la información con fines de chantaje o descargar e instalar otros programas maliciosos desde la Web.

Suplantación de identidad (phishing)
Los ataques de phishing son extremadamente comunes e implican el envío masivo de correos electrónicos fraudulentos a usuarios desprevenidos. Los correos electrónicos fraudulentos a menudo tienen la apariencia de ser legítimos, pero vinculan al destinatario a un archivo o script malicioso diseñado para permitir a los atacantes el acceso a su dispositivo para controlarlo o recopilar información, instalar archivos o scripts maliciosos, o extraer datos como información de usuario, información financiera y más.

Los ataques de phishing también pueden tener lugar a través de redes sociales y otras comunidades en línea, a través de mensajes directos de otros usuarios con una intención oculta. Los phishers a menudo aprovechan la ingeniería social y otras fuentes de información pública para recopilar información sobre su trabajo, intereses y actividades, lo que les da a los atacantes una ventaja para convencerles de que no son quienes dicen ser.

Hay varios tipos diferentes de ataques de phishing:

  • Spear Phishing: ataques dirigidos a empresas y/o individuos específicos.
  • Ataques dirigidos a altos ejecutivos y grupos de interés dentro de una organización.
  • Pharming: lleva a cabo el envenenamiento de la caché del DNS para capturar las credenciales de usuario a través de una página de inicio de sesión falsa.

Los ataques de phishing también pueden tener lugar a través de llamadas telefónicas (phishing de voz) y a través de mensajes de texto (phishing de SMS).Ataques de intermediario (MitM)
Un ataque de intermediario ​ (en inglés, man-in-the-middle attack, MitM o Janus) es un ataque en el que se adquiere la capacidad de leer, insertar y modificar a voluntad. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas y procurar que ninguna de las víctimas conozca que el enlace entre ellos ha sido violado.
Este tipo de ataque suele explotar las vulnerabilidades de seguridad de una red, como una red WiFi pública no segura, para insertarse entre el dispositivo de un visitante y la red. El problema con este tipo de ataque es que es muy difícil de detectar, ya que la víctima piensa que la información va a un destino legítimo. Los ataques de phishing o malware a menudo se aprovechan para llevar a cabo un ataque MitM.

Ataque de Denegación de Servicio (DOS)
Los ataques (DOS) funcionan inundando sistemas, servidores y/o redes con tráfico para sobrecargar recursos y ancho de banda. Este resultado hace que el sistema sea incapaz de procesar y satisfacer las solicitudes legítimas.
Además de los ataques de denegación de servicio (DoS), también hay ataques de denegación de servicio distribuidos (DDoS).
Los ataques DoS saturan los recursos del sistema con el objetivo de impedir la respuesta a las solicitudes de servicio. Por otro lado, se lanza un ataque DDoS desde varios equipos host infectados con el objetivo de lograr la denegación de servicio y desconectar un sistema, allanando así el camino para que otro ataque entre en la red o en el entorno.

Inyecciones SQL
Esto ocurre cuando un atacante inserta código malicioso en un servidor utilizando el lenguaje de consulta del servidor (SQL), forzando al servidor a entregar información protegida. Este tipo de ataque suele consistir en enviar código malicioso a un comentario o cuadro de búsqueda del sitio web no protegido. Las prácticas de codificación segura, como el uso de sentencias preparadas con consultas parametrizadas, son una forma eficaz de evitar las inyecciones de SQL.
Cuando un comando SQL utiliza un parámetro en lugar de insertar los valores directamente, puede permitir que el módulo de servicio ejecute consultas maliciosas.
Además, el intérprete SQL utiliza el parámetro sólo como datos, sin ejecutarlo como código.

Explotación de día cero
Una vulnerabilidad de día cero se refiere a la explotación de una vulnerabilidad de red cuando es nueva y recientemente anunciada,
antes de que un parche sea liberado y/o implementado.
Los atacantes de día cero saltan a la vulnerabilidad revelada en la pequeña ventana de tiempo en la que no existe ninguna solución o medida preventiva. Por lo tanto, la prevención de los ataques de día cero requiere una supervisión constante, detección proactiva y prácticas ágiles de gestión de amenazas.

Ataque de contraseña
Las contraseñas son el método más extendido para autentificar el acceso a un sistema de información seguro, lo que las convierte en un objetivo atractivo para los ciberataques. Al acceder a la contraseña de una persona, un atacante puede acceder a datos y sistemas confidenciales o críticos, incluida la capacidad de actualizar y controla dichos datos y sistemas.

Los atacantes de contraseñas utilizan varios métodos para identificar una contraseña individual, incluyendo el uso de ingeniería social, obtener acceso a una base de datos de contraseñas, probar la conexión de red para obtener contraseñas no cifradas, o simplemente adivinando.
El último método mencionado se ejecuta de una manera sistemática conocida como «ataque de fuerza bruta». 

Un ataque por fuerza bruta emplea un programa para probar todas las variantes y combinaciones posibles de información para adivinar la contraseña.
Otro método común es el ataque con diccionario, cuando el atacante utiliza una lista de contraseñas comunes para intentar acceder al equipo y la red de un usuario. Las mejores prácticas de bloqueo de cuentas y la autenticación de dos factores son muy útiles para evitar un ataque de contraseña. 

Las funciones de bloqueo de cuentas pueden congelar la cuenta después de varios intentos de contraseñas no válidas y la autenticación de dos factores añade una capa adicional de seguridad, lo que requiere que el usuario inicie sesión para introducir un código secundario sólo disponible en su(s) dispositivo(s) 2FA.

Secuencias de comandos entre sitios. Un ataque de secuencias de comandos entre sitios envía secuencias de comandos maliciosas al contenido de sitios web fiables. El código malicioso se une al contenido dinámico que se envía al navegador de la víctima.
Normalmente, este código malicioso consiste en código Javascript ejecutado por el navegador de la víctima, pero puede incluir Flash, HTML y XSS.

Rootkits
El rootkit es un sigiloso y peligroso tipo de malware que permite a los hackers acceder a su equipo sin su conocimiento. Un rootkit es un programa de software que suele ser de naturaleza maliciosa, que le da a un actor de amenazas acceso remoto a nivel de raíz y controla un ordenador mientras oculta su presencia en esa máquina.
Los rootkits se instalan dentro de un software legítimo, donde pueden obtener control remoto y acceso a nivel de administración a través de un sistema. El atacante utiliza el rootkit para robar contraseñas, claves, credenciales y recuperar datos críticos. Dado que los rootkits se esconden en software legítimo, una vez que permite que el programa realice cambios en su sistema operativo, el rootkit se instala en el sistema (host, ordenador, servidor, etc.) y permanece inactivo hasta que el atacante lo activa o se activa a través de un mecanismo de persistencia. Los rootkits se propagan normalmente a través de archivos adjuntos de correo electrónico y descargas de sitios web inseguros.

Internet de los objetos (IO) Ataques
Mientras que la conectividad a Internet a través de casi todos los dispositivos imaginables crea comodidad y facilidad para los individuos, también presenta un número creciente -casi ilimitado- de puntos de acceso para que los atacantes los exploten y causen estragos. La interconexión de las cosas hace posible que los atacantes rompan un punto de entrada y lo utilicen como puerta para explotar otros dispositivos de la red.

Los ataques de IO son cada vez más populares debido al rápido crecimiento de los dispositivos de IO y en general a la baja prioridad que se da a la seguridad integrada en estos dispositivos y en sus sistemas operativos.
Las mejores prácticas para ayudar a prevenir un ataque, incluyen la actualización del sistema operativo y el mantenimiento de una contraseña segura para todos los dispositivos de la red, así como el cambio frecuente de contraseñas.


La complejidad y variedad de los ataques cibernéticos son cada vez mayor, con un tipo de ataque diferente para cada propósito. Aunque las medidas de prevención de la ciberseguridad difieren para cada tipo de ataque, las buenas prácticas de seguridad, son generalmente fundamentales para mitigar estos ataques.

Las buenas prácticas de ciberseguridad en su organización debe ejercer prácticas de codificación segura, mantener actualizados los sistemas y el software de seguridad, provechar los cortafuegos y las herramientas y soluciones de gestión de amenazas, instalar software antivirus en todos los sistemas, controlar el acceso y los privilegios de los usuarios, realizar copias de seguridad con frecuencia y buscar proactivamente amenazas desconocidas, riesgos y vulnerabilidades.

Edward Holfman 


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)