En Kings Corner centro de formación, seguimos intentando aportar algo de luz sobre esta importante (a la par que desconocida) práctica como es la ciberseguridad. Hoy, queremos explicar con este post, los tipos de amenazas de seguridad que existen en la actualidad y que tantos dolores de cabeza pueden llegar a darnos.
Tipos de amenazas
Malware
El malware, abreviatura de “malicious software”, es una aplicación destinada a causar daños en los sistemas, robar datos, obtener acceso no autorizado a las redes o causar estragos en caso contrario. La infección por malware es el tipo más común de ciberamenaza. Aunque a menudo se emplea para obtener un beneficio económico, el malware también se utiliza como arma por parte de las naciones estado, como forma de protesta por parte de los hacktivistas o para comprobar la seguridad de un sistema.
Malware es un término colectivo y se refiere a una serie de variantes de software malicioso, que incluye:
- Virus: la forma más común de malware. Al igual que su homónimo biológico, los virus se adhieren a archivos limpios, se replican y se propagan a otros archivos. Pueden borrar archivos, forzar reinicios, unir máquinas a una red de bots o permitir el acceso remoto a los sistemas infectados.
- Gusanos: similar a los virus, pero sin la necesidad de un archivo de host. Los gusanos infectan los sistemas directamente y residen en la memoria, donde se autorreplican y se propagan a otros sistemas de la red.
- Puertas traseras: un método sigiloso para eludir la autenticación o el cifrado normales. Las puertas traseras son utilizadas por los atacantes para asegurar el acceso remoto a los sistemas infectados, o para obtener acceso no autorizado a información privilegiada. Aunque muchas puertas traseras son estrictamente maliciosas, pueden incorporarse variantes deliberadas en el hardware o los sistemas operativos con fines legítimos, como restablecer el acceso a un usuario que ha olvidado su contraseña.
- Troyanos: obtienen su nombre por el famoso caballo de madera de la historia de la guerra de Troya. Los troyanos pueden disfrazarse de una aplicación legítima, o simplemente esconderse dentro de una. Abren discretamente puertas traseras para brindar a los atacantes un fácil acceso a los sistemas infectados, permitiendo a menudo la carga de otro malware.
Ransomware
El ransomware también es una forma de malware, aunque merece una atención especial debido a su ubicuidad. Originalmente, el ransomware estaba diseñado para encriptar los datos y bloquear a las víctimas de sus sistemas, es decir, hasta que se pagara a sus atacantes un rescate para restablecer el acceso. Las variantes modernas de ransomware tienden a llevar esto un paso más allá, con atacantes que extraen copias de los datos de la víctima y amenazan con liberarlos públicamente si no se cumplen sus demandas. Esto suele aumentar considerablemente la presión sobre las víctimas, ya que los datos robados suelen contener información personal identificable (PII) de clientes y empleados, detalles financieros sensibles o secretos comerciales.
Las campañas de distribución de ransomware suelen basarse en técnicas de ingeniería social como el phishing, engañando a los usuarios para que descarguen un dropper que recupera e instala la carga útil. Las variantes de ransomware más agresivas, como NotPetya, aprovechan las brechas de seguridad para infectar los sistemas sin necesidad de trucos.
Una vez en el sistema, el ransomware encuentra todos los archivos de un tipo específico localmente y a través de la red, encriptándolos, y con frecuencia procede a robarlos. Los archivos originales, los puntos de recuperación y las copias de seguridad se eliminan para evitar que los usuarios puedan restaurar el sistema por su cuenta. El ransomware suele cambiar la extensión del archivo, (por ejemplo, miArchivo.doc.encriptado) y añade un archivo de “ayuda”, explicando cómo las víctimas pueden pagar para recuperar sus datos.
Phishing
El phishing es una técnica de ataque común, y una forma de ingeniería social: la estrategia de manipular a las personas para que realicen acciones no seguras o divulguen información sensible.
En las campañas de phishing, los atacantes utilizan comunicaciones engañosas (correo electrónico, mensajes instantáneos, SMS y sitios web) para hacerse pasar por una persona u organización de confianza, como una empresa o institución gubernamental legítima. Aprovechando la confianza de los usuarios, los atacantes los engañan para que hagan clic en enlaces maliciosos, descarguen archivos adjuntos cargados de malware o revelen información personal sensible.
Un enfoque más centrado es el “spear phishing”, en el que los atacantes se dirigen a un individuo específico, o a un pequeño grupo de individuos, como los empleados que desempeñan un papel específico en una empresa concreta. Estas ciberamenazas generalmente se adaptan a su objetivo basándose en el conocimiento de información privilegiada o en la información disponible en la web (por ejemplo, a través de las redes sociales). Por ejemplo, un ataque puede dirigirse directamente a la víctima y disfrazarse como un correo electrónico que viene de su jefe directo o del departamento de TI de su empresa. Aunque requieren un esfuerzo adicional para crearlos, los ataques de spear phishing suelen ser bastante convincentes y tienen más probabilidades de éxito.
Ataques de denegación de servicio distribuido (DDoS)
Los ataques de denegación de servicio distribuido se dirigen a servidores, servicios o redes con el fin de interrumpir el flujo de tráfico, impidiendo que los usuarios accedan a estos recursos. Los ataques DDoS suelen tener como objetivo causar un daño financiero o de reputación a una organización u organismo gubernamental.
Estos ataques suelen utilizar grandes redes de sistemas infectados con malware, tanto ordenadores como dispositivos IoT, que el atacante controla. Los dispositivos individuales de estas redes reciben la denominación habitual de “bots” (o “zombis”), y un conjunto de ellos se conoce como “botnet”.
Los atacantes utilizan estas redes de bots contra servidores o redes, haciendo que cada bot envíe repetidas peticiones a la dirección IP del objetivo. Esto acaba provocando que el servidor o la red se sobrecarguen y no estén disponibles para el tráfico normal. La solución suele ser difícil, ya que los bots son dispositivos legítimos de Internet, lo que dificulta separar a los atacantes de los usuarios inocuos.
Inyección SQL (SQLI)
El Lenguaje de Consulta Estructurado (SQL) es un lenguaje estándar para construir y manipular bases de datos, utilizado a menudo en servidores web y de otro tipo. Los ataques de inyección SQL insertan código SQL malicioso en un servidor, manipulándolo para mostrar información de la base de datos a la que el atacante no debería estar autorizado a acceder. Esta información puede incluir datos corporativos sensibles, credenciales de usuario e información personal de empleados y clientes.
Aunque la inyección SQL puede utilizarse para atacar cualquier base de datos basada en SQL, estas técnicas se dirigen principalmente a los sitios web. Un agente malicioso podría llevar a cabo un ataque simplemente enviando un comando SQL en el cuadro de búsqueda de un sitio web vulnerable, recuperando potencialmente todas las cuentas de usuario de la aplicación web.
Ahora ya conoces algo mejor los tipos de ciberseguridad. Ten cuidado siempre con las prácticas y la información de compartes.
¿Te ha gustado? Nos vemos en la próxima.