CiberseguridadProtección de las comunicaciones Tipos de ataques en línea

III.

Tipos de ataques en línea

Hay muchas formas de perder los datos personales. En esta sección, veremos algunos de estos tipos de ataques.

Ingeniería social

¿Has visto la película Atrápame si puedes? En ella aparecen ejemplos concretos de ingeniería social. El personaje que interpreta Leonardo DiCaprio utiliza técnicas de manipulación para aprovecharse de los demás y conseguir lo que quiere. Los ataques de ingeniería social pueden realizarse en un momento, pero también se puede tardar meses en reunir suficiente información sobre el objetivo para poder llevarlo a cabo. Las mismas tácticas se pueden aplicar a una llamada telefónica o un correo electrónico y el ataque puede lograr sus objetivos antes de que te des cuenta.

Los ataques de ingeniería social suelen centrarse en estos aspectos:

  • Tus emociones: aprovechan tu miedo o tu nerviosismo para manipularte y que realices acciones que normalmente no harías. Todas tus emociones se pueden manipular según los objetivos del atacante.

  • La urgencia: se te induce a pensar que debes actuar con urgencia, de manera que no te dé tiempo a pensar en lo que podría ser sospechoso.

  • La confianza: a la mayoría de estos atacantes se les da muy bien parecer personas de confianza. Por ejemplo, es habitual confiar en los compañeros de trabajo. Los ataques de ingeniería social pueden provenir de alguien que crees conocer o que deberías conocer. ¿Abrirías una puerta cerrada a un (posible) compañero de trabajo cargado con una caja llena de papeles? ¿Sospecharías de un obrero que tiene un maletín de herramientas y lleva un chaleco reflectante?

Estas habilidades y tácticas se utilizan a menudo y de muchas maneras, no solo en ataques de ingeniería social, sino también en otros tipos de delitos.

Phishing

El phishing, o suplantación de identidad, consiste en engañar a la víctima para que confíe en el atacante y le proporcione la información necesaria. Este ataque puede llevarse a cabo por cualquier medio, pero lo más habitual es que se realice por correo electrónico. También se puede usar un mensaje de correo, una llamada telefónica, un SMS u otro medio de contacto directo para recopilar información que facilite otros ataques posteriores.

Cualquier dato que proporciones al atacante le ayudará a cometer esas acciones. Los atacantes pueden utilizar hasta el más mínimo fragmento de información recibido junto con las fuentes de información. A partir de esos datos pueden, por ejemplo, llevar a cabo robos de identidad o fraudes, conseguir préstamos o convencer a tus familiares o compañeros de trabajo para que les den más información útil.

El spear phishing es un tipo especial de phishing, más específico. Normalmente, antes de realizar ataques de spear phishing, el delincuente recopila suficiente información. Para ello también puede emplear los mismos métodos de phishing.

Estas son algunas de las técnicas de phishing que se usan más habitualmente para tratar de manipular las reacciones de las víctimas:

  • El mensaje es demasiado bueno para ser verdad. Has ganado algo o tienes muchas posibilidades de ganar. La oferta está redactada de manera que parezca una oportunidad extraordinaria y solo para ti.

  • Urgencia. Se pueden usar diferentes tácticas para intentar que actúes rápidamente y sin pensar. Por ejemplo, una oferta por tiempo limitado o algo especial para las cinco primeras personas en hacer un pedido. Otra opción es aprovecharse del miedo: por ejemplo, el ataque puede basarse en tu miedo a perder los datos privados de tus cuentas bancarias si no actúas enseguida. El texto puede ser algo así como «Acaban de atacar tu cuenta, responde inmediatamente para protegerla».

  • Enlaces. Los enlaces de estos correos electrónicos pueden no ser lo que parecen. Se utilizan métodos que ocultan la URL verdadera. En los correos electrónicos con HTML (es decir, los que no incluyen solamente texto), los enlaces pueden llevarte a cualquier parte, independientemente de lo que aparenten ser. Se pueden sustituir algunos caracteres para que creas que se trata de un determinado sitio web. En esos casos, es mejor que escribas tú la dirección del sitio web, en lugar de hacer clic en el enlace que has recibido.

  • Archivos adjuntos. Los archivos adjuntos pueden contener malware que permita a los atacantes acceder a tu ordenador. Así es como suele propagarse el malware. Si no estabas esperando esos archivos adjuntos, no los abras. Mantén tus programas antivirus actualizados con las últimas definiciones de virus.

  • El remitente es sospechoso. Si el correo electrónico procede de un remitente que conoces, pero el contenido es inusual, ten cuidado: puede ser un mensaje de phishing o de spam. Comprueba que la dirección de correo electrónico es la de esa persona. A menudo, el nombre puede resultarte familiar, pero la dirección de correo está formada por caracteres aleatorios. Si el mensaje procede de un remitente desconocido, es aún más sospechoso.

La típica estafa de phishing, en la que recibes un correo de un príncipe extranjero que te promete grandes sumas de dinero si le facilitas tus datos bancarios, sigue existiendo. Pero también debes tener claro que los estafadores han perfeccionado sus técnicas y a menudo disponen de mucha más información, dado que pasamos más tiempo en Internet.

Note

Veamos un ejemplo de phishing en el que el atacante emplea varias plataformas web y parece actuar con normalidad:

Querías ir a un concierto, pero se han agotado las entradas. Vas a la página de Facebook del evento para ver si alguien vende entradas de segunda mano. ¡Estás de suerte! Hay una mujer que ofrece dos entradas y, según tu cuenta de Facebook, vive cerca de ti. Le envías un mensaje privado y te dice que puedes pagarle por Paypal y que te enviará las entradas en PDF por correo electrónico en cuanto le llegue el dinero. Incluso te da su nombre completo y su dirección de correo electrónico y te envía una imagen de las entradas con el código de barras y el número de serie tapados. Normalmente, Paypal es una forma segura de enviar dinero para comprar productos, que protege a los consumidores en casos de fraude. Pero esta persona te dice que hagas clic en la opción de Paypal para enviar dinero a un «amigo o familiar». Así, ella se ahorra las comisiones y no tiene que cobrártelas. Tú tienes dudas porque no conoces a esta mujer. Pero ella te presiona: dice que hay mucha gente que quiere esas entradas y, si no envías el dinero de esa manera, se las venderá a otra persona. Decides mandarle el dinero. De repente, su cuenta de Facebook ya no existe y ella desaparece, junto con tu dinero.

Virus informáticos saliendo de un caballito balancín
Virus informáticos saliendo de un caballito balancín

Malware

El término malware (del inglés malicious software, software malicioso) engloba todo tipo de software malintencionado. El tipo de malware más conocido son los virus. Estas son algunas de las clases de malware que existen:

  • Los virus suelen propagarse a través de ejecutables (programas) o archivos de Microsoft Office que incluyen programas llamados macros. Intentan extenderse por diferentes medios, normalmente utilizando tus contactos, pero también pueden aprovechar vulnerabilidades conocidas de los sistemas operativos para propagarse. Los virus suelen requerir una activación manual.

  • El ransomware (secuestro de datos) se propaga de diversas maneras. Cuando se activa, cifra algunos de tus archivos y te pide cierta cantidad de dinero a cambio de la clave para descifrar esos archivos y recuperar el acceso.

  • Los gusanos suelen autorreplicarse y propagarse sin que el usuario haga nada. Este tipo de malware puede generar todo tipo de problemas en los sistemas.

  • Varios bots pueden formar una botnet (red de robots) que puede permanecer latente hasta que el atacante decide utilizarla para otros fines, como efectuar un ataque DDoS (distributed denial-of-service). Los ataques DDoS inundan de tráfico un sistema informático para interrumpir su uso normal.

  • Los troyanos son un tipo de programa malicioso que finge ser un programa legítimo. Una vez ejecutado, también puede causar todo tipo de problemas.

  • El adware (software publicitario) se encuentra a medio camino entre el software legítimo y el malicioso: proporciona ciertos tipos de servicios a cambio de mostrarte anuncios. La mayoría de las veces, el adware se instala sin el permiso de los usuarios. Puede ser muy difícil de eliminar y casi siempre ralentiza el ordenador. Además, los anuncios que muestra pueden abrir la puerta a otras acciones maliciosas.

  • El spyware (software espía) vigila el uso del ordenador y puede registrar los números de tus tarjetas de crédito, nombres de usuario y contraseñas cuando escribes estos datos.

Todos los tipos de malware pueden propagarse por las mismas vías, así como operar y cambiar la manera de atacarte empleando diversos métodos. Los atacantes pueden usar la mayoría de estas clases de malware para acceder directamente a tu ordenador.

Actores de Estados-nación y grupos APT

Los actores de Estados-nación o APT (Advanced Persistent Threat, amenaza persistente avanzada) son grupos con «licencia para hackear». Se cree que cuentan con el respaldo de los países a los que sirven. Pueden hackear para el Estado o ser organizaciones de delincuentes financiadas por el Estado. Estos grupos suelen ser imposibles de perseguir por medios judiciales, ya que son difíciles de rastrear y están protegidos por las naciones para las que trabajan.

Emplean métodos innovadores para acceder a sus objetivos y pueden permanecer en los sistemas durante meses o incluso años antes de ser detectados. No tienen prisa por obtener beneficios, ya que suelen operar con fines de inteligencia, no para lucrarse rápidamente.

Hay muchos países que tienen este tipo de grupos o los financian. Aunque la mayoría de los grupos identificados pertenecen a Rusia, China y Corea del Norte, el mundo occidental tiene sus propios grupos, que recopilan información sobre sus adversarios.

Part summary

Al finalizar el capítulo 3, deberías ser capaz de:

  • Entender por qué es importante que nuestras comunicaciones sean privadas.

  • Explicar algunos métodos que utilizamos para mantener en privado diversos tipos de comunicaciones.

  • Explicar qué es el cifrado y cómo puedes saber si la comunicación está cifrada.

You reached the end of Chapter 3

Correct answers

0%

Exercises completed

0/0

Next Chapter
4. Redes y hardware

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Este curso se ha elaborado bajo la iniciativa Digital SkillUp, el nombre comercial de los productos creados en el marco del proyecto European Digital Academy, financiado por la Comisión Europea con el apoyo del Parlamento Europeo. El objetivo de este proyecto es poner a disposición de las pymes y de todos los ciudadanos conocimientos básicos sobre tecnologías emergentes. Aspira a crear un entorno de formación en línea que ofrezca a todo el mundo contenidos y oportunidades de aprendizaje sobre temas como la IA, el blockchain, la robótica, la ciberseguridad y el IoT.

Este proyecto ha recibido financiación de la Unión Europea. 
Esta comunicación refleja únicamente el punto de vista del autor. No representa la opinión de la Comisión Europea y la CE no es responsable de ningún uso que pueda hacerse de la información que contiene.