Capitulo

Capítulo 3: amenazas, vulnerabilidades y ataques a la ciberseguridad

Las amenazas, las vulnerabilidades y los ataques son el objetivo central de los paladines de ciberseguridad. Una
amenaza a la ciberseguridad es la posibilidad de que ocurra un evento nocivo, como un ataque.  Una vulnerabilidad
es una debilidad que hace que un objetivo sea susceptible a un ataque. Un ataque es una explotación deliberada de
una debilidad detectadas en sistemas de información de la computadora, ya sea como objetivos específicos o
simplemente como objetivos de la oportunidad. Los delincuentes informáticos pueden tener diferentes motivaciones
para seleccionar un objetivo de un ataque. Los delincuentes cibernéticos tienen éxito al buscar e identificar
continuamente los sistemas con vulnerabilidades evidentes. Las víctimas comunes incluyen sistemas sin parches o
sistemas que no cuentan con detección de virus y de correo no deseado.

En este capítulo se examinan los ataques más comunes a la ciberseguridad. Los hechiceros cibernéticos deben
saber cómo funciona cada ataque, lo que aprovecha y cómo afecta a la víctima. El capítulo comienza explicando la
amenaza de malware y de código malicioso, y luego explica los tipos de trucos involucrados en la ingeniería social.
Un ataque cibernético es un tipo de maniobra ofensiva utilizada por los delincuentes cibernéticos para atacar a los
sistemas de información de la computadora, las redes informáticas u otros dispositivos de la computadora, mediante
un acto malicioso. Los delincuentes cibernéticos lanzan maniobras ofensivas contra redes cableadas e inalámbricas.

¿Qué es el malware?

El software malicioso, o malware, es un término que se utiliza para describir el software diseñado para interrumpir las
operaciones de la computadora u obtener acceso a los sistemas informáticos, sin el conocimiento o el permiso del
usuario. El malware se ha convertido en un término general que se utiliza para describir todo el software hostil o
intruso. El término malware incluye virus, gusanos, troyanos, ransomware, spyware, adware, scareware y otros
programas maliciosos. El malware puede ser obvio y simple de identificar o puede ser muy sigiloso y casi imposible
de detectar.

Virus, gusanos y troyanos

Los delincuentes cibernéticos apuntan a los terminales del usuario mediante la instalación de malware. Haga clic en
Reproducir para ver una animación de los tres tipos más comunes de malware.

Virus

Un virus es un código malicioso ejecutable asociado a otro archivo ejecutable, como un programa legítimo. La
mayoría de los virus requieren la inicialización del usuario final y pueden activarse en un momento o fecha
específica. Los virus informáticos generalmente se propagan en una de tres maneras: desde medios extraíbles;
desde descargas de Internet y desde archivos adjuntos de correo electrónico. Los virus pueden ser inofensivos y
simplemente mostrar una imagen o pueden ser destructivos, como los que modifican o borran datos. Para evitar la
detección, un virus se transforma. El simple acto de abrir un archivo puede activar un virus. Un sector de arranque o
un virus del sistema de archivos, infecta las unidades de memoria flash USB y puede propagarse al disco duro del
sistema. La ejecución de un programa específico puede activar un virus del programa. Una vez que el virus del
programa está activo, infectará generalmente otros programas en la computadora u otras computadoras de la red. El
virus Melissa es un ejemplo de virus que se propaga por correo electrónico. Melissa afectó a decenas de miles de
usuarios y causó daños por una cifra estimada en USD 1,2 mil millones. Haga clic aquí para leer más sobre los virus.

Gusanos

Los gusanos son códigos maliciosos que se replican al explotar de manera independiente las vulnerabilidades en las
redes. Los gusanos, por lo general, ralentizan las redes. Mientras que un virus requiere la ejecución de un programa
del host, los gusanos pueden ejecutarse por sí mismos. A excepción de la infección inicial, los gusanos ya no
requieren la participación del usuario. Después de que un gusano afecta a un host, se puede propagar muy rápido
en la red. Los gusanos comparten patrones similares. Todos tienen una vulnerabilidad de activación, una manera de
propagarse y contienen una carga útil.

Los gusanos son responsables de algunos de los ataques más devastadores en Internet. Por ejemplo, en 2001, el
gusano Code Red infectó a 658 servidores. En 19 horas, el gusano infectó a más de 300 000 servidores.

Troyano

Un troyano es un malware que ejecuta operaciones maliciosas bajo la apariencia de una operación deseada. Este
código malicioso ataca los privilegios de usuario que lo ejecutan. Un troyano se diferencia de un virus debido a que
el troyano está relacionado con los archivos no ejecutables, como archivos de imagen, de audio o juegos.

Bomba lógica

Una bomba lógica es un programa malicioso que utiliza un activador para reactivar el código malicioso. Por ejemplo,
los activadores pueden ser fechas,horas, otros programas en ejecución o la eliminación de una cuenta de usuario.
La bomba lógica permanece inactiva hasta que se produce el evento activador. Una vez activada, una bomba lógica
implementa un código malicioso que provoca daños en una computadora. Una bomba lógica puede sabotear los
registros de bases de datos, borrar los archivos y atacar los sistemas operativos o aplicaciones. Los paladines
cibernéticos descubrieron recientemente las bombas lógicas que atacan y destruyen a los componentes de hardware
de una estación de trabajo o un servidor, como ventiladores de refrigeración, CPU, memorias, unidades de disco
duro y fuentes de alimentación. La bomba lógica abruma estos dispositivos hasta que se sobrecalientan o fallan.

Ransomware

El ransomware mantiene cautivo a un sistema informático o los datos que contiene hasta que el objetivo
haga un pago. El ransomware trabaja generalmente encriptando los datos de la computadora con una
clave desconocida para el usuario. El usuario debe pagar un rescate a los delincuentes para eliminar la
restricción.

Algunas otras versiones de ransomware pueden aprovechar vulnerabilidades específicas del sistema para
bloquearlo. El ransomware se propaga como un troyano y es el resultado de un archivo descargado o de
alguna debilidad del software.

El pago a través de un sistema de pago ilocalizable siempre es el objetivo del delincuente. Una vez que la
víctima paga, los delincuentes proporcionan un programa que descifra los archivos o envían un código de
desbloqueo. Haga clic aquí para leer más sobre el ransomware.

Puertas traseras y rootkits

Una puerta trasera o un rootkit se refiere al programa o al código que genera un delincuente que ha comprometido
un sistema. La puerta trasera omite la autenticación normal que se utiliza para tener acceso a un sistema. Algunos
programas comunes de puerta trasera son Netbus y Back Orifice, que permiten el acceso remoto a los usuarios no
autorizados del sistema. El propósito de la puerta trasera es otorgar a los delincuentes cibernéticos el acceso futuro
al sistema, incluso si la organización arregla la vulnerabilidad original utilizada para atacar al sistema. Por lo general,
los delincuentes logran que los usuarios autorizados ejecuten sin saberlo un programa de troyanos en su máquina
para instalar la puerta trasera.

Un rootkit modifica el sistema operativo para crear una puerta trasera. Los atacantes luego utilizan la puerta trasera
para acceder a la computadora de forma remota. La mayoría de los rootkits aprovecha las vulnerabilidades de
software para realizar el escalamiento de privilegios y modificar los archivos del sistema. El escalamiento de
privilegios aprovecha los errores de programación o las fallas de diseño para otorgar al delincuente el acceso
elevado a los recursos y datos de la red. También es común que los rootkits modifiquen la informática forense del
sistema y las herramientas de supervisión, por lo que es muy difícil detectarlos. A menudo, el usuario debe limpiar y
reinstalar el sistema operativo de una computadora infectada por un rootkit.

Defensa contra malware

Algunos pasos simples pueden ayudar a brindar protección contra todas las formas de malware.

 Programa antivirus: la mayoría de los conjuntos de antivirus adquieren las formas más generalizadas de
malware. Sin embargo, los delincuentes cibernéticos desarrollan e implementan nuevas amenazas a diario.
Por lo tanto, la clave para una solución antivirus eficaz es mantener actualizadas las firmas. Una firma es como
una huella. Identifica las características de un código malicioso.

 Software de actualización: muchas formas de malware alcanzan sus objetivos mediante la explotación de las
vulnerabilidades del software, en el sistema operativo y las aplicaciones. Aunque las vulnerabilidades del
sistema operativo eran la fuente principal de los problemas, las vulnerabilidades actuales a nivel de las
aplicaciones representan el riesgo más grande. Desafortunadamente, aunque los fabricantes de sistemas
operativos son cada vez más receptivos a los parches, la mayoría de los proveedores de aplicaciones no lo
son.

Correo electrónico no deseado

El correo electrónico es un servicio universal utilizado por miles de millones de personas en todo el mundo. Como
uno de los servicios más populares, el correo electrónico se ha convertido en una vulnerabilidad importante para
usuarios y organizaciones. El correo no deseado, también conocido como “correo basura”, es correo electrónico no
solicitado. En la mayoría de los casos, el correo no deseado es un método publicitario. Sin embargo, el correo no
deseado se puede utilizar para enviar enlaces nocivos, malware o contenido engañoso. El objetivo final es obtener
información confidencial, como información de un número de seguro social o de una cuenta bancaria. La mayor
parte del correo no deseado proviene de varias computadoras en redes infectadas por un virus o gusano. Estas
computadoras comprometidas envían la mayor cantidad posible de correo electrónico masivo.

Incluso con la implementación de estas características de seguridad, algunos correos no deseados aún pueden
llegar a la bandeja de entrada. Algunos de los indicadores más comunes de correo no deseado son los siguientes:

 El correo electrónico no tiene asunto.

 El correo electrónico solicita la actualización de una cuenta.

 El texto del correo electrónico tiene palabras mal escritas o puntuación extraña.

 Los enlaces del correo electrónico son largos o crípticos.

 Un correo electrónico se parece a una correspondencia de una empresa legítima.

 El correo electrónico solicita que el usuario abra un archivo adjunto.

Haga clic aquí para obtener más información sobre el correo no deseado.

Si un usuario recibe un correo electrónico que contiene uno o más de estos indicadores, este no debe abrir el correo
electrónico ni los archivos adjuntos. Es muy común que la política de correo electrónico de una organización requiera
que un usuario que recibe este tipo de correo electrónico lo informe al personal de seguridad cibernética. Casi todos
los proveedores de correo electrónico filtran el correo electrónico no deseado. Desafortunadamente, el correo
electrónico no deseado aún consume ancho de banda y el servidor del destinatario debe procesar el mensaje de
igual manera.

Spyware, adware y scareware

El spyware es un software que permite a un delincuente obtener información sobre las actividades informáticas de
un usuario. El spyware incluye a menudo rastreadores de actividades, recopilación de pulsaciones de teclas y
captura de datos. En el intento por superar las medidas de seguridad, el spyware a menudo modifica las
configuraciones de seguridad. El spyware con frecuencia se agrupa con el software legítimo o con troyanos. Muchos
sitios web de shareware están llenos de spyware.

El adware muestra generalmente los elementos emergentes molestos para generar ingresos para sus autores. El
malware puede analizar los intereses del usuario al realizar el seguimiento de los sitios web visitados. Luego puede
enviar la publicidad emergente en relación con esos sitios. Algunas versiones de software instalan automáticamente
el adware. Algunos adwares solo envían anuncios, pero también es común que el adware incluya spyware.

El scareware convence al usuario a realizar acciones específicas según el temor. El scareware falsifica ventanas
emergentes que se asemejan a las ventanas de diálogo del sistema operativo. Estas ventanas transportan los
mensajes falsificados que exponen que el sistema está en riesgo o necesita la ejecución de un programa específico
para volver al funcionamiento normal. En realidad, no existen problemas y si el usuario acepta y permite que el
programa mencionado se ejecute, el malware infectará su sistema.

Falsificación de identidad
La suplantación de identidad es una forma de fraude. Los delincuentes cibernéticos utilizan el correo electrónico, la
mensajería instantánea u otros medios sociales para intentar recopilar información como credenciales de inicio de
sesión o información de la cuenta disfrazándose como una entidad o persona de confianza. La suplantación de
identidad ocurre cuando una parte maliciosa envía un correo electrónico fraudulento disfrazado como fuente legítima
y confiable. El objetivo de este mensaje es engañar al destinatario para que instale malware en su dispositivo o
comparta información personal o financiera. Un ejemplo de suplantación de identidad es un correo electrónico
falsificado similar al que provino de un negocio minorista, que solicita al usuario que haga clic en un enlace para
reclamar un premio. El enlace puede ir a un sitio falso que solicita información personal o puede instalar un virus.

La suplantación de identidad focalizada es un ataque de falsificación de identidad altamente dirigido. Si bien la

suplantación de identidad y la suplantación de identidad focalizada usan correos electrónicos para llegar a las
víctimas, mediante la suplantación de identidad focalizada se envía correos electrónicos personalizados a una
persona específica. El delincuente investiga los intereses del objetivo antes de enviarle el correo electrónico. Por
ejemplo, el delincuente descubre que al objetivo le interesan los automóviles y que está interesado en la compra de
un modelo específico de automóvil. El delincuente se une al mismo foro de debate sobre automóviles donde el
objetivo es miembro, fragua una oferta de venta del automóvil y envía un correo electrónico al objetivo. El correo
electrónico contiene un enlace a imágenes del automóvil. Cuando el objetivo hace clic en el enlace, instala sin
saberlo el malware en la computadora. Haga clic aquí para obtener más información sobre los fraudes de correo
electrónico.

Vishing», «Smishing», «Pharming» y «Whaling»

El «Vishing» es una práctica de suplantación de identidad mediante el uso de la tecnología de comunicación de voz.
Los delincuentes pueden realizar llamadas de suplantación de fuentes legítimas mediante la tecnología de voz sobre
IP (VoIP). Las víctimas también pueden recibir un mensaje grabado que parezca legítimo. Los delincuentes desean
obtener los números de tarjetas de crédito u otra información para robar la identidad de la víctima. El «Vishing»
aprovecha el hecho de que las personas dependen de la red telefónica.

El «Smishing» (suplantación del servicio de mensajes cortos) es una suplantación de identidad mediante la
mensajería de texto en los teléfonos móviles. Los delincuentes se hacen pasar por una fuente legítima en un intento
por ganar la confianza de la víctima. Por ejemplo, un ataque de «smishing» puede enviar a la víctima un enlace de
sitio web. Cuando la víctima visita el sitio web, el malware se instala en el teléfono móvil.

El «Pharming» es la suplantación de un sitio web legítimo en un esfuerzo por engañar a los usuarios al ingresar sus
credenciales. El «Pharming» dirige erróneamente a los usuarios a un sitio web falsas que parece ser oficial. Las
víctimas luego ingresan su información personal pensando que se conectaron a un sitio legítimo.

El «Whaling» es un ataque de suplantación de identidad que apunta a objetivos de alto nivel dentro de una
organización, como ejecutivos sénior. Los objetivos adicionales incluyen políticos o celebridades.

Haga clic aquí para leer un artículo de RSA sobre la suplantación de identidad y las actividades de «smishing»,
«vishing» y «whaling».

Complementos y envenenamiento del navegador

Las infracciones a la seguridad pueden afectar a los navegadores web al mostrar anuncios emergentes, recopilar
información de identificación personal o instalar adware, virus o spyware. Un delincuente puede hackear el archivo
ejecutable de un navegador, los componentes de un navegador o sus complementos.

Complementos

Los complementos de memoria flash y shockwave de Adobe permiten el desarrollo de animaciones interesantes de
gráfico y caricaturas que mejoran considerablemente la apariencia de una página web. Los complementos muestran
el contenido desarrollado mediante el software adecuado.

Hasta hace poco, los complementos tenían un registro notable de seguridad. Si bien el contenido basado en flash
creció y se hizo más popular, los delincuentes examinaron los complementos y el software de Flash, determinaron
las vulnerabilidades y atacaron a Flash Player. El ataque exitoso puede provocar el colapso de un sistema o permitir
que un delincuente tome el control del sistema afectado. Espere el aumento de las pérdidas de datos a medida que
los delincuentes sigan investigando las vulnerabilidades de los complementos y protocolos más populares.

Envenenamiento SEO

Los motores de búsqueda, como Google, funcionan clasificando páginas y presentando resultados relevantes
conforme a las consultas de búsqueda de los usuarios. Según la importancia del contenido del sitio web, puede
aparecer más arriba o más abajo en la lista de resultados de la búsqueda. La SEO (optimización de motores de
búsqueda) es un conjunto de técnicas utilizadas para mejorar la clasificación de un sitio web por un motor de
búsqueda. Aunque muchas empresas legítimas se especializan en la optimización de sitios web para mejorar su
posición, el envenenamiento SEO utiliza la SEO para hacer que un sitio web malicioso aparezca más arriba en los
resultados de la búsqueda.

El objetivo más común del envenenamiento SEO es aumentar el tráfico a sitios maliciosos que puedan alojar
malware o perpetrar la ingeniería social. Para forzar un sitio malicioso para que califique más alto en los resultados
de la búsqueda, los atacantes se aprovechan de los términos de búsqueda populares.

Secuestrador de navegadores

Un secuestrador de navegadores es el malware que altera la configuración del navegador de una computadora para
redirigir al usuario a sitios web que pagan los clientes de los delincuentes cibernéticos. Los secuestradores de
navegadores instalan sin permiso del usuario y generalmente son parte de una descarga desapercibida. Una
descarga desde una unidad es un programa que se descarga automáticamente a la computadora cuando un usuario
visita un sitio web o ve un mensaje de correo electrónico HTML. Siempre lea los acuerdos de usuario detalladamente
al descargar programas de evitar este tipo de malware.

Cómo defenderse de los ataques a correos electrónicos y navegadores

Los métodos para tratar con correo no deseado incluyen el filtrado de correo electrónico, la formación del usuario
sobre las precauciones frente a correos electrónicos desconocidos y el uso de filtros de host y del servidor.

Es difícil detener el correo electrónico no deseado, pero existen maneras de reducir sus efectos. Por ejemplo, la
mayoría de los ISP filtran el correo no deseado antes de que llegue a la bandeja de entrada del usuario. Muchos
antivirus y programas de software de correo electrónico realizan automáticamente el filtrado de correo electrónico.
Esto significa que detectan y eliminan el correo no deseado de la bandeja de entrada del correo electrónico.

Las organizaciones también advierten a los empleados sobre los peligros de abrir archivos adjuntos de correo
electrónico que pueden contener un virus o un gusano. No suponga que los archivos adjuntos de correo electrónico
son seguros, aun cuando provengan de un contacto de confianza. Un virus puede intentar propagarse al usar la
computadora del emisor. Siempre examine los archivos adjuntos de correo electrónico antes de abrirlos.

El Grupo de trabajo contra la suplantación de identidad (APWG) es una asociación del sector que se dedica a
eliminar el robo de identidad y el fraude ocasionado por la suplantación de identidad y la suplantación de correo
electrónico.

Si mantiene todo el software actualizado, esto garantiza que el sistema tenga todos los últimos parches de seguridad
aplicados para remover las vulnerabilidades conocidas. Haga clic aquí para obtener más información sobre cómo
evitar ataques al navegador
Ingeniería social

La ingeniería social es un medio completamente no técnico por el que el delincuente reúne información sobre un
objetivo. La ingeniería social es un ataque que intenta manipular a las personas para que realicen acciones o
divulguen información confidencial.

Los ingenieros sociales con frecuencia dependen de la disposición de las personas para ser útiles, pero también se
aprovechan de sus vulnerabilidades. Por ejemplo, un atacante puede llamar a un empleado autorizado con un
problema urgente que requiere acceso inmediato a la red. El atacante puede atraer la vanidad o la codicia del
empleado o invocar la autoridad mediante técnicas de nombres.

Estos son algunos tipos de ataques de ingeniería social:

Pretexto: esto es cuando un atacante llama a una persona y miente en el intento de obtener acceso a datos
privilegiados. Un ejemplo implica a un atacante que pretende necesitar datos personales o financieros para confirmar
la identidad del destinatario.

Algo por algo (quid pro quo): esto es cuando un atacante solicita información personal de una parte a cambio de
algo, por ejemplo, un obsequio.

Tácticas de ingeniería social

Los ingenieros sociales utilizan varias tácticas. Las tácticas de ingeniería social incluyen las siguientes:
  Autoridad: es más probable que las personas cumplan cuando reciben las instrucciones de “una autoridad”

 Intimidación: los delincuentes hostigan a una víctima para que tome medidas

 Consenso/prueba social: las personas tomarán medidas si sienten que a otras personas les gusta también

 Escasez: las personas tomarán medidas cuando consideren que existe una cantidad limitada

 Urgencia: las personas tomarán medidas cuando consideren que existe un tiempo limitado

 Familiaridad/agrado: los delincuentes desarrollan una buena relación con la víctima para establecer una
relación y confianza

 Confianza: los delincuentes crean una relación de confianza con una víctima la cual puede tomar más tiempo
en establecerse.

Haga clic en cada táctica de la figura para ver un ejemplo.

Los profesionales en ciberseguridad son responsables de formar a otras personas en la organización con respecto a
las tácticas de los ingenieros sociales. Haga clic aquí para obtener más información sobre las tácticas de ingeniería
social.