Capítulo 3: amenazas, vulnerabilidades y ataques a la ciberseguridad

Las amenazas, las vulnerabilidades y los ataques son el objetivo central de los paladines de
ciberseguridad. Una amenaza a la ciberseguridad es la posibilidad de que ocurra un evento
nocivo, como un ataque. Una vulnerabilidad es una debilidad que hace que un objetivo sea
susceptible a un ataque. Un ataque es una explotación deliberada de una debilidad detectadas
en sistemas de información de la computadora, ya sea como objetivos específicos o
simplemente como objetivos de la oportunidad. Los delincuentes informáticos pueden tener
diferentes motivaciones para seleccionar un objetivo de un ataque. Los delincuentes
cibernéticos tienen éxito al buscar e identificar continuamente los sistemas con
vulnerabilidades evidentes. Las víctimas comunes incluyen sistemas sin parches o sistemas que
no cuentan con detección de virus y de correo no deseado.

En este capítulo se examinan los ataques más comunes a la ciberseguridad. Los hechiceros
cibernéticos deben saber cómo funciona cada ataque, lo que aprovecha y cómo afecta a la
víctima. El capítulo comienza explicando la amenaza de malware y de código malicioso, y luego
explica los tipos de trucos involucrados en la ingeniería social. Un ataque cibernético es un tipo
de maniobra ofensiva utilizada por los delincuentes cibernéticos para atacar a los sistemas de
información de la computadora, las redes informáticas u otros dispositivos de la computadora,
mediante un acto malicioso. Los delincuentes cibernéticos lanzan maniobras ofensivas contra
redes cableadas e inalámbricas.

Qué es el malware?

El software malicioso, o malware, es un término que se utiliza para describir el software diseñado para
interrumpir las operaciones de la computadora u obtener acceso a los sistemas informáticos, sin el
conocimiento o el permiso del usuario. El malware se ha convertido en un término general que se utiliza
para describir todo el software hostil o intruso. El término malware incluye virus, gusanos, troyanos,
ransomware, spyware, adware, scareware y otros programas maliciosos. El malware puede ser obvio y
simple de identificar o puede ser muy sigiloso y casi imposible de detectar.

Virus, gusanos y troyanos

Los delincuentes cibernéticos apuntan a los terminales del usuario mediante la instalación de malware.
Haga clic en Reproducir para ver una animación de los tres tipos más comunes de malware.

Virus

Un virus es un código malicioso ejecutable asociado a otro archivo ejecutable, como un programa
legítimo. La mayoría de los virus requieren la inicialización del usuario final y pueden activarse en un
momento o fecha específica. Los virus informáticos generalmente se propagan en una de tres maneras:
desde medios extraíbles; desde descargas de Internet y desde archivos adjuntos de correo electrónico.
Los virus pueden ser inofensivos y simplemente mostrar una imagen o pueden ser destructivos, como los
que modifican o borran datos. Para evitar la detección, un virus se transforma. El simple acto de abrir un
archivo puede activar un virus. Un sector de arranque o un virus del sistema de archivos, infecta las
unidades de memoria flash USB y puede propagarse al disco duro del sistema. La ejecución de un
programa específico puede activar un virus del programa. Una vez que el virus del programa está activo,
infectará generalmente otros programas en la computadora u otras computadoras de la red. El virus
Melissa es un ejemplo de virus que se propaga por correo electrónico. Melissa afectó a decenas de miles
de usuarios y causó daños por una cifra estimada en USD 1,2 mil millones. Haga clic aquí para leer más
sobre los virus.

Gusanos
Los gusanos son códigos maliciosos que se replican al explotar de manera independiente las
vulnerabilidades en las redes. Los gusanos, por lo general, ralentizan las redes. Mientras que un virus
requiere la ejecución de un programa del host, los gusanos pueden ejecutarse por sí mismos. A excepción
de la infección inicial, los gusanos ya no requieren la participación del usuario. Después de que un gusano
afecta a un host, se puede propagar muy rápido en la red. Los gusanos comparten patrones similares.
Todos tienen una vulnerabilidad de activación, una manera de propagarse y contienen una carga útil.

Los gusanos son responsables de algunos de los ataques más devastadores en Internet. Por ejemplo, en
2001, el gusano Code Red infectó a 658 servidores. En 19 horas, el gusano infectó a más de 300 000
servidores.

Troyano

Un troyano es un malware que ejecuta operaciones maliciosas bajo la apariencia de una operación
deseada. Este código malicioso ataca los privilegios de usuario que lo ejecutan. Un troyano se diferencia
de un virus debido a que el troyano está relacionado con los archivos no ejecutables, como archivos de
imagen, de audio o juegos.

Bomba lógica

Una bomba lógica es un programa malicioso que utiliza un activador para reactivar el código malicioso.
Por ejemplo, los activadores pueden ser fechas,horas, otros programas en ejecución o la eliminación de
una cuenta de usuario. La bomba lógica permanece inactiva hasta que se produce el evento activador.
Una vez activada, una bomba lógica implementa un código malicioso que provoca daños en una
computadora. Una bomba lógica puede sabotear los registros de bases de datos, borrar los archivos y
atacar los sistemas operativos o aplicaciones. Los paladines cibernéticos descubrieron recientemente las
bombas lógicas que atacan y destruyen a los componentes de hardware de una estación de trabajo o un
servidor, como ventiladores de refrigeración, CPU, memorias, unidades de disco duro y fuentes de
alimentación. La bomba lógica abruma estos dispositivos hasta que se sobrecalientan o fallan.

Ransomware

El ransomware mantiene cautivo a un sistema informático o los datos que contiene hasta que el objetivo
haga un pago. El ransomware trabaja generalmente encriptando los datos de la computadora con una
clave desconocida para el usuario. El usuario debe pagar un rescate a los delincuentes para eliminar la
restricción.

Algunas otras versiones de ransomware pueden aprovechar vulnerabilidades específicas del sistema para
bloquearlo. El ransomware se propaga como un troyano y es el resultado de un archivo descargado o de
alguna debilidad del software.

El pago a través de un sistema de pago ilocalizable siempre es el objetivo del delincuente. Una vez que la
víctima paga, los delincuentes proporcionan un programa que descifra los archivos o envían un código de
desbloqueo. Haga clic aquí para leer más sobre el ransomware.

Defensa contra malware

Algunos pasos simples pueden ayudar a brindar protección contra todas las formas de malware.

 Programa antivirus: la mayoría de los conjuntos de antivirus adquieren las formas más
generalizadas de malware. Sin embargo, los delincuentes cibernéticos desarrollan e implementan
nuevas amenazas a diario. Por lo tanto, la clave para una solución antivirus eficaz es mantener
actualizadas las firmas. Una firma es como una huella. Identifica las características de un código
malicioso.

 Software de actualización: muchas formas de malware alcanzan sus objetivos mediante la

explotación de las vulnerabilidades del software, en el sistema operativo y las aplicaciones. Aunque
las vulnerabilidades del sistema operativo eran la fuente principal de los problemas, las
vulnerabilidades actuales a nivel de las aplicaciones representan el riesgo más grande.
Desafortunadamente, aunque los fabricantes de sistemas operativos son cada vez más receptivos a
los parches, la mayoría de los proveedores de aplicaciones no lo son.
Correo electrónico no deseado

El correo electrónico es un servicio universal utilizado por miles de millones de personas en todo el
mundo. Como uno de los servicios más populares, el correo electrónico se ha convertido en una
vulnerabilidad importante para usuarios y organizaciones. El correo no deseado, también conocido como
“correo basura”, es correo electrónico no solicitado. En la mayoría de los casos, el correo no deseado es
un método publicitario. Sin embargo, el correo no deseado se puede utilizar para enviar enlaces nocivos,
malware o contenido engañoso. El objetivo final es obtener información confidencial, como información de
un número de seguro social o de una cuenta bancaria. La mayor parte del correo no deseado proviene de
varias computadoras en redes infectadas por un virus o gusano. Estas computadoras comprometidas
envían la mayor cantidad posible de correo electrónico masivo.

Incluso con la implementación de estas características de seguridad, algunos correos no deseados aún
pueden llegar a la bandeja de entrada. Algunos de los indicadores más comunes de correo no deseado
son los siguientes:

 El correo electrónico no tiene asunto.

 El correo electrónico solicita la actualización de una cuenta.

 El texto del correo electrónico tiene palabras mal escritas o puntuación extraña.

 Los enlaces del correo electrónico son largos o crípticos.

 Un correo electrónico se parece a una correspondencia de una empresa legítima.

 El correo electrónico solicita que el usuario abra un archivo adjunto.

Haga clic aquí para obtener más información sobre el correo no deseado.

Si un usuario recibe un correo electrónico que contiene uno o más de estos indicadores, este no debe
abrir el correo electrónico ni los archivos adjuntos. Es muy común que la política de correo electrónico de
una organización requiera que un usuario que recibe este tipo de correo electrónico lo informe al personal
de seguridad cibernética. Casi todos los proveedores de correo electrónico filtran el correo electrónico no
deseado. Desafortunadamente, el correo electrónico no deseado aún consume ancho de banda y el
servidor del destinatario debe procesar el mensaje de igual manera.

Correo electrónico no deseado

El correo electrónico es un servicio universal utilizado por miles de millones de personas en todo el
mundo. Como uno de los servicios más populares, el correo electrónico se ha convertido en una
vulnerabilidad importante para usuarios y organizaciones. El correo no deseado, también conocido como
“correo basura”, es correo electrónico no solicitado. En la mayoría de los casos, el correo no deseado es
un método publicitario. Sin embargo, el correo no deseado se puede utilizar para enviar enlaces nocivos,
malware o contenido engañoso. El objetivo final es obtener información confidencial, como información de
un número de seguro social o de una cuenta bancaria. La mayor parte del correo no deseado proviene de
varias computadoras en redes infectadas por un virus o gusano. Estas computadoras comprometidas
envían la mayor cantidad posible de correo electrónico masivo.

Incluso con la implementación de estas características de seguridad, algunos correos no deseados aún
pueden llegar a la bandeja de entrada. Algunos de los indicadores más comunes de correo no deseado
son los siguientes:

 El correo electrónico no tiene asunto.

 El correo electrónico solicita la actualización de una cuenta.

 El texto del correo electrónico tiene palabras mal escritas o puntuación extraña.

 Los enlaces del correo electrónico son largos o crípticos.

 Un correo electrónico se parece a una correspondencia de una empresa legítima.

 El correo electrónico solicita que el usuario abra un archivo adjunto.

Haga clic aquí para obtener más información sobre el correo no deseado.

Si un usuario recibe un correo electrónico que contiene uno o más de estos indicadores, este no debe
abrir el correo electrónico ni los archivos adjuntos. Es muy común que la política de correo electrónico de
una organización requiera que un usuario que recibe este tipo de correo electrónico lo informe al personal
de seguridad cibernética. Casi todos los proveedores de correo electrónico filtran el correo electrónico no
deseado. Desafortunadamente, el correo electrónico no deseado aún consume ancho de banda y el
servidor del destinatario debe procesar el mensaje de igual manera

Spyware, adware y scareware

El spyware es un software que permite a un delincuente obtener información sobre las actividades
informáticas de un usuario. El spyware incluye a menudo rastreadores de actividades, recopilación de
pulsaciones de teclas y captura de datos. En el intento por superar las medidas de seguridad, el spyware
a menudo modifica las configuraciones de seguridad. El spyware con frecuencia se agrupa con el
software legítimo o con troyanos. Muchos sitios web de shareware están llenos de spyware.

El adware muestra generalmente los elementos emergentes molestos para generar ingresos para sus
autores. El malware puede analizar los intereses del usuario al realizar el seguimiento de los sitios web
visitados. Luego puede enviar la publicidad emergente en relación con esos sitios. Algunas versiones de
software instalan automáticamente el adware. Algunos adwares solo envían anuncios, pero también es
común que el adware incluya spyware.

El scareware convence al usuario a realizar acciones específicas según el temor. El scareware falsifica
ventanas emergentes que se asemejan a las ventanas de diálogo del sistema operativo. Estas ventanas
transportan los mensajes falsificados que exponen que el sistema está en riesgo o necesita la ejecución
de un programa específico para volver al funcionamiento normal. En realidad, no existen problemas y si el
usuario acepta y permite que el programa mencionado se ejecute, el malware infectará su sistema.
Falsificación de identidad

La suplantación de identidad es una forma de fraude. Los delincuentes cibernéticos utilizan el correo
electrónico, la mensajería instantánea u otros medios sociales para intentar recopilar información como
credenciales de inicio de sesión o información de la cuenta disfrazándose como una entidad o persona de
confianza. La suplantación de identidad ocurre cuando una parte maliciosa envía un correo electrónico
fraudulento disfrazado como fuente legítima y confiable. El objetivo de este mensaje es engañar al
destinatario para que instale malware en su dispositivo o comparta información personal o financiera. Un
ejemplo de suplantación de identidad es un correo electrónico falsificado similar al que provino de un
negocio minorista, que solicita al usuario que haga clic en un enlace para reclamar un premio. El enlace
puede ir a un sitio falso que solicita información personal o puede instalar un virus.

La suplantación de identidad focalizada es un ataque de falsificación de identidad altamente dirigido. Si

bien la suplantación de identidad y la suplantación de identidad focalizada usan correos electrónicos para
llegar a las víctimas, mediante la suplantación de identidad focalizada se envía correos electrónicos
personalizados a una persona específica. El delincuente investiga los intereses del objetivo antes de
enviarle el correo electrónico. Por ejemplo, el delincuente descubre que al objetivo le interesan los
automóviles y que está interesado en la compra de un modelo específico de automóvil. El delincuente se
une al mismo foro de debate sobre automóviles donde el objetivo es miembro, fragua una oferta de venta
del automóvil y envía un correo electrónico al objetivo. El correo electrónico contiene un enlace a
imágenes del automóvil. Cuando el objetivo hace clic en el enlace, instala sin saberlo el malware en la
computadora. Haga clic aquí para obtener más información sobre los fraudes de correo electrónico.

«Vishing», «Smishing», «Pharming» y «Whaling»

El «Vishing» es una práctica de suplantación de identidad mediante el uso de la tecnología de

comunicación de voz. Los delincuentes pueden realizar llamadas de suplantación de fuentes legítimas
mediante la tecnología de voz sobre IP (VoIP). Las víctimas también pueden recibir un mensaje grabado
que parezca legítimo. Los delincuentes desean obtener los números de tarjetas de crédito u otra
información para robar la identidad de la víctima. El «Vishing» aprovecha el hecho de que las personas
dependen de la red telefónica.

El «Smishing» (suplantación del servicio de mensajes cortos) es una suplantación de identidad mediante
la mensajería de texto en los teléfonos móviles. Los delincuentes se hacen pasar por una fuente legítima
en un intento por ganar la confianza de la víctima. Por ejemplo, un ataque de «smishing» puede enviar a
la víctima un enlace de sitio web. Cuando la víctima visita el sitio web, el malware se instala en el teléfono
móvil.

El «Pharming» es la suplantación de un sitio web legítimo en un esfuerzo por engañar a los usuarios al
ingresar sus credenciales. El «Pharming» dirige erróneamente a los usuarios a un sitio web falsas que
parece ser oficial. Las víctimas luego ingresan su información personal pensando que se conectaron a un
sitio legítimo.

El «Whaling» es un ataque de suplantación de identidad que apunta a objetivos de alto nivel dentro de
una organización, como ejecutivos sénior. Los objetivos adicionales incluyen políticos o celebridades.

Haga clic aquí para leer un artículo de RSA sobre la suplantación de identidad y las actividades de
«smishing», «vishing» y «whaling».

Complementos y envenenamiento del navegador

Las infracciones a la seguridad pueden afectar a los navegadores web al mostrar anuncios emergentes,
recopilar información de identificación personal o instalar adware, virus o spyware. Un delincuente puede
hackear el archivo ejecutable de un navegador, los componentes de un navegador o sus complementos.

Complementos

Los complementos de memoria flash y shockwave de Adobe permiten el desarrollo de animaciones

interesantes de gráfico y caricaturas que mejoran considerablemente la apariencia de una página web.
Los complementos muestran el contenido desarrollado mediante el software adecuado.
Hasta hace poco, los complementos tenían un registro notable de seguridad. Si bien el contenido basado
en flash creció y se hizo más popular, los delincuentes examinaron los complementos y el software de
Flash, determinaron las vulnerabilidades y atacaron a Flash Player. El ataque exitoso puede provocar el
colapso de un sistema o permitir que un delincuente tome el control del sistema afectado. Espere el
aumento de las pérdidas de datos a medida que los delincuentes sigan investigando las vulnerabilidades
de los complementos y protocolos más populares.

Envenenamiento SEO

Los motores de búsqueda, como Google, funcionan clasificando páginas y presentando resultados
relevantes conforme a las consultas de búsqueda de los usuarios. Según la importancia del contenido del
sitio web, puede aparecer más arriba o más abajo en la lista de resultados de la búsqueda. La SEO
(optimización de motores de búsqueda) es un conjunto de técnicas utilizadas para mejorar la clasificación
de un sitio web por un motor de búsqueda. Aunque muchas empresas legítimas se especializan en la
optimización de sitios web para mejorar su posición, el envenenamiento SEO utiliza la SEO para hacer
que un sitio web malicioso aparezca más arriba en los resultados de la búsqueda.

El objetivo más común del envenenamiento SEO es aumentar el tráfico a sitios maliciosos que puedan
alojar malware o perpetrar la ingeniería social. Para forzar un sitio malicioso para que califique más alto en
los resultados de la búsqueda, los atacantes se aprovechan de los términos de búsqueda populares.

Secuestrador de navegadores

Un secuestrador de navegadores es el malware que altera la configuración del navegador de una

computadora para redirigir al usuario a sitios web que pagan los clientes de los delincuentes cibernéticos.
Los secuestradores de navegadores instalan sin permiso del usuario y generalmente son parte de una
descarga desapercibida. Una descarga desde una unidad es un programa que se descarga
automáticamente a la computadora cuando un usuario visita un sitio web o ve un mensaje de correo
electrónico HTML. Siempre lea los acuerdos de usuario detalladamente al descargar programas de evitar
este tipo de malware.

Cómo defenderse de los ataques a correos electrónicos y navegadores

Los métodos para tratar con correo no deseado incluyen el filtrado de correo electrónico, la formación del
usuario sobre las precauciones frente a correos electrónicos desconocidos y el uso de filtros de host y del
servidor.

Es difícil detener el correo electrónico no deseado, pero existen maneras de reducir sus efectos. Por
ejemplo, la mayoría de los ISP filtran el correo no deseado antes de que llegue a la bandeja de entrada
del usuario. Muchos antivirus y programas de software de correo electrónico realizan automáticamente el
filtrado de correo electrónico. Esto significa que detectan y eliminan el correo no deseado de la bandeja
de entrada del correo electrónico.

Las organizaciones también advierten a los empleados sobre los peligros de abrir archivos adjuntos de
correo electrónico que pueden contener un virus o un gusano. No suponga que los archivos adjuntos de
correo electrónico son seguros, aun cuando provengan de un contacto de confianza. Un virus puede
intentar propagarse al usar la computadora del emisor. Siempre examine los archivos adjuntos de correo
electrónico antes de abrirlos.

El Grupo de trabajo contra la suplantación de identidad (APWG) es una asociación del sector que se
dedica a eliminar el robo de identidad y el fraude ocasionado por la suplantación de identidad y la
suplantación de correo electrónico.

Si mantiene todo el software actualizado, esto garantiza que el sistema tenga todos los últimos parches de
seguridad aplicados para remover las vulnerabilidades conocidas. Haga clic aquí para obtener más
información sobre cómo evitar ataques al navegador
Ingeniería social

La ingeniería social es un medio completamente no técnico por el que el delincuente reúne información
sobre un objetivo. La ingeniería social es un ataque que intenta manipular a las personas para que
realicen acciones o divulguen información confidencial.

Los ingenieros sociales con frecuencia dependen de la disposición de las personas para ser útiles, pero
también se aprovechan de sus vulnerabilidades. Por ejemplo, un atacante puede llamar a un empleado
autorizado con un problema urgente que requiere acceso inmediato a la red. El atacante puede atraer la
vanidad o la codicia del empleado o invocar la autoridad mediante técnicas de nombres.

Estos son algunos tipos de ataques de ingeniería social:

Pretexto: esto es cuando un atacante llama a una persona y miente en el intento de obtener acceso a
datos privilegiados. Un ejemplo implica a un atacante que pretende necesitar datos personales o
financieros para confirmar la identidad del destinatario.

Algo por algo (quid pro quo): esto es cuando un atacante solicita información personal de una parte a
cambio de algo, por ejemplo, un obsequio.

Tácticas de ingeniería social

Los ingenieros sociales utilizan varias tácticas. Las tácticas de ingeniería social incluyen las siguientes:

 Autoridad: es más probable que las personas cumplan cuando reciben las instrucciones de “una
autoridad”

 Intimidación: los delincuentes hostigan a una víctima para que tome medidas

 Consenso/prueba social: las personas tomarán medidas si sienten que a otras personas les gusta
también

 Escasez: las personas tomarán medidas cuando consideren que existe una cantidad limitada
  Urgencia: las personas tomarán medidas cuando consideren que existe un tiempo limitado

 Familiaridad/agrado: los delincuentes desarrollan una buena relación con la víctima para establecer
una relación y confianza

 Confianza: los delincuentes crean una relación de confianza con una víctima la cual puede tomar
más tiempo en establecerse.

Haga clic en cada táctica de la figura para ver un ejemplo.

Los profesionales en ciberseguridad son responsables de formar a otras personas en la organización con
respecto a las tácticas de los ingenieros sociales. Haga clic aquí para obtener más información sobre las
tácticas de ingeniería social.

Espiar por encima del hombro» y «hurgar en la basura»

Un delincuente observa, o espía por encima del hombre, para recoger los PIN, los códigos de acceso o
los números de tarjetas de crédito. Un atacante puede estar muy cerca de su víctima o puede utilizar los
prismáticos o las cámaras de circuito cerrado para espiar. Ese es un motivo por el que una persona solo
puede leer una pantalla de ATM en determinados ángulos. Estos tipos de medidas de seguridad hacen la
técnica de espiar por encima del hombro sea mucho más difícil.

«La basura de un hombre es el tesoro de otro hombre». Esta frase puede ser especialmente cierta en la
actividad de «búsqueda en la basura» que es el proceso por el cual se busca en la basura de un objetivo
para ver qué información desecha una organización. Tenga en cuenta proteger el receptáculo de basura.
Cualquier información confidencial debe desecharse correctamente mediante el destrozo o el uso de
bolsas para incineración, un contenedor que conserva los documentos confidenciales para la destrucción
posterior mediante incineración.

«Piggybacking» y «Tailgating»
El «Piggybacking» es una práctica mediante la cual un delincuente sigue a una persona autorizada a
todas partes para obtener ingreso a una ubicación segura o a un área restringida. Los delincuentes
utilizan varios métodos para efectuar la actividad de «piggyback»:

 Dan la apariencia de estar acompañados por una persona autorizada

 Se unen a una multitud grande y fingen ser miembro

 Apuntan a una víctima que es descuidada con respecto a las reglas de las instalaciones

El «Tailgating» es otro término que describe la misma práctica.

Una trampa evita la práctica de «piggybacking» al usar dos conjuntos de puertas. Una vez que las
personas ingresan a una puerta externa, esa puerta debe cerrarse antes de ingresar a la puerta interna.

Trucos en línea y por correo electrónico

Si en el lugar de trabajo reenvía correos electrónicos engañosos y otras bromas, películas graciosas y
correos electrónicos que no están relacionados con el trabajo, puede violar la política de uso aceptable de
la empresa y esto puede generar medidas disciplinarias. Haga clic aquí para visitar un sitio web que
publica rumores y controla la información

Cómo defenderse contra el uso de trucos

Las organizaciones deben promover el conocimiento de tácticas de ingeniería social y formar

correctamente a los empleados en relación con las medidas de prevención, como las siguientes:

 Nunca proporcione información confidencial o credenciales por correo electrónico, sesiones de chat,
en persona o por teléfono a desconocidos.

 Resista el impulso de hacer clic en correos electrónicos y enlaces de sitio web atractivos.

 Preste atención a las descargas no iniciadas o automáticas.

 Establezca políticas y brinde formación a los empleados sobre esas políticas.

 Cuando se trata de la seguridad, ofrezca a los empleados un sentido de la propiedad.

 No se sienta presionado por personas desconocidas.

Haga clic aquí para obtener más información sobre el conocimiento de ciberseguridad
Denegación de servicio

Los ataques de denegación de servicio (DoS) son un tipo de ataque a la red. Un ataque de DoS da como
resultado cierto tipo de interrupción de los servicios de red a los usuarios, los dispositivos o las
aplicaciones. Existen dos tipos principales de ataques de DoS:

 Cantidad abrumadora de tráfico: el atacante envía una gran cantidad de datos a una velocidad
que la red, el host o la aplicación no puede manejar. Esto ocasiona una disminución de la velocidad
de transmisión o respuesta o una falla en un dispositivo o servicio.

 Paquetes maliciosos formateados: esto sucede cuando se envía un paquete malicioso

formateado a un host o una aplicación y el receptor no puede manejarlo. Por ejemplo, una
aplicación no puede identificar los paquetes que contienen errores o paquetes incorrectamente
formateados, reenviados por el atacante. Esto hace que el dispositivo receptor se ejecute muy
lentamente o se detenga.

Los ataques de DoS son un riesgo importante porque pueden interrumpir fácilmente la comunicación y
causar una pérdida significativa de tiempo y dinero. Estos ataques son relativamente simples de llevar a
cabo, incluso por un atacante inexperto.

El objetivo de un ataque de denegación de servicio es denegar el acceso a usuarios autorizados al hacer

que la red no esté disponible (recuerde los tres principios básicos de seguridad: confidencialidad,
integridad y disponibilidad). Haga clic en Reproducir en la Figura 1 para ver las animaciones de un ataque
de DoS.

Un ataque de DoS distribuida (DDoS) es similar a un ataque de DoS pero proviene de múltiples fuentes
coordinadas. Por ejemplo, un ataque de DDoS podría darse de la siguiente manera:

Un atacante crea una red de hosts infectados, denominada botnet, compuesta por zombis. Los zombis
son hosts infectados. El atacante utiliza sistemas del controlador para controlar a los zombis. Las
computadoras zombis constantemente analizan e infectan más hosts, lo que genera más zombis. Cuando
está listo, el pirata informático proporciona instrucciones a los sistemas manipuladores para que los botnet
de zombis lleven a cabo un ataque de DDoS.

Haga clic en Reproducir en la Figura 2 para ver las animaciones de un ataque de DDoS. Un ataque de
denegación de servicio distribuido (DDoS) utiliza muchos zombis para sobrecargar un objetivo.
Análisis

La técnica de análisis es similar a escuchar a escondidas a alguien. Ocurre cuando los atacantes
examinan todo el tráfico de red a medida que pasa por la NIC, independientemente de si el tráfico está
dirigidos a ellos o no. Los delincuentes logran realizar análisis de la red con una aplicación de software,
dispositivo de hardware o una combinación de ambos. Como se muestra en la figura, la práctica de
análisis consiste en ver todo el tráfico de red o puede dirigirse a un protocolo, un servicio o incluso una
cadena de caracteres específica, como un inicio de sesión o una contraseña. Algunos analizadores de
protocolos de red observan todo el tráfico y modifican todo el tráfico o parte de este.

La práctica de análisis también tiene sus beneficios. Los administradores de red pueden utilizar
analizadores de protocolos para analizar el tráfico de red, identificar problemas de ancho de banda y para
solucionar otros problemas de red.

La seguridad física es importante para evitar la introducción de analizadores de protocolos en la red

interna.

Ataque man-in-the-middle

Un delincuente realiza un ataque man-in-the-middle (MitM) al interceptar las comunicaciones entre las
computadoras para robar la información que transita por la red. El delincuente también puede elegir
manipular los mensajes y retransmitir información falsa entre los hosts ya que estos desconocen que se
produjo una modificación en los mensajes. El ataque MitM permite que el delincuente tome el control de
un dispositivo sin el conocimiento del usuario.

Haga clic en los pasos de la figura para aprender los conceptos básicos de un ataque MitM.

Man-In-The-Mobile (MitMo) es una variación de man-in-middle. MitMo toma el control de un dispositivo

móvil. El dispositivo móvil infectado envía información confidencial del usuario a los atacantes. ZeuS, un
ejemplo de ataque con capacidades de MitMo, permite que los atacantes capturen silenciosamente SMS
de verificación de 2 pasos enviados a los usuarios. Por ejemplo, cuando un usuario establece una Id. de
Apple, debe proporcionar un número de teléfono que admita SMS para recibir un código de verificación
temporal mediante el mensaje de texto para probar la identidad del usuario. El malware espía en este tipo
de comunicación y transmite la información a los delincuentes.

Un ataque de repetición se produce cuando un atacante captura una porción de una comunicación entre
dos hosts y luego transmite el mensaje capturado más adelante. Los ataques de repetición evitan los
mecanismos de autenticación.

Ataques de día cero

Un ataque de día cero, a veces denominado una amenaza de día cero, es un ataque de la computadora
que intenta explotar las vulnerabilidades del software que son desconocidas o no reveladas por el
proveedor de software. El término hora cero describe el momento en que alguien descubre el ataque.
Durante el tiempo que le toma al proveedor de software desarrollar y lanzar un parche, la red es
vulnerable a estos ataques, como se muestra en la figura. La defensa contra estos rápidos ataques
requiere que los profesionales de seguridad de red adopten una visión más sofisticada de la arquitectura
de red. Ya no es posible contener las intrusiones en algunos puntos de la red.

Registro del teclado

El registro del teclado es un programa de software que registra las teclas de los usuarios del sistema. Los
delincuentes pueden implementar registros de teclas mediante software instalado en un sistema
informático o a través de hardware conectado físicamente a una computadora. El delincuente configura el
software de registro de claves para enviar por correo electrónico el archivo de registro. Las teclas
capturadas en el archivo de registro pueden revelar nombres de usuario, contraseñas, sitios web visitados
y otra información confidencial.
Los registros de teclado pueden ser software comerciales y legítimos. A menudo, los padres adquieren
software de registro de clave para realizar el seguimiento de sitios web y del comportamiento de los niños
que utilizan Internet. Muchas aplicaciones antispyware pueden detectar y eliminar registros de clave no
autorizados. Si bien el software de registro de claves es legal, los delincuentes usan el software para fines
ilegales

Caso de estudio

A fines del año pasado, la Oficina Federal Alemana para la Seguridad de la Información reveló
en un informe que una fábrica de acero alemana no identificada había sufrido un "daño
masivo" luego de un ciberataque.

Los hackers se habían infiltrado en la red corporativa de la compañía mediante un correo

electrónico que engañaba a los empleados para que abrieran un archivo adjunto malicioso
conocido generalmente como malware. Una vez que se instaló el malware, los atacantes
pudieron saltar alrededor de los sistemas de TI de la acería, eventualmente dañando la red de
producción en la medida en que un alto horno no pudo cerrar, causando daños materiales
significativos.

Alex Dewdney. Director, ciberseguridad y resiliencia, GCHQ

Alex Dewdney, director de ciberseguridad y resiliencia, GCHQ

Un experto digital dijo en ese momento: "No esperamos que una planta siderúrgica esté
conectada a Internet y sea pirateable, eso es bastante inesperado".

Pero, ¿sigue siendo así? Aunque el ataque en Alemania fue poco frecuente, la convergencia de
TI, tecnología empresarial y tecnología operativa -el hardware y el software que controla el
equipo físico de una organización- se ha acelerado en los últimos años, haciendo que estos
ataques sean más fáciles que nunca y la amenaza mayor .

¿Esta mayor conectividad expondrá a más sistemas operativos a peligros? ¿Se expondrá la
infraestructura nacional crítica (CNI), como las redes eléctricas, los servicios públicos y otros
sistemas? ¿Y qué se puede hacer para disminuir los riesgos? Estas fueron las preguntas clave
en una reciente mesa redonda de Guardian que pidió a los expertos en seguridad cibernética
que debatieran sobre la mejor manera de proteger las redes y negocios críticos del Reino
Unido del ciberataque. La mesa redonda fue patrocinada por Atkins, una consultora de diseño,
ingeniería y gestión de proyectos, y se llevó a cabo bajo la regla de Chatham House, que
permite hacer comentarios sin atribución, fomentando un debate libre.

Elevando el perfil de ciberseguridad en la sala de juntas

La discusión se puso en marcha con la mayoría de los panelistas que coinciden en que en las
salas de juntas, donde se toman las decisiones clave de inversión, la amenaza de los
ciberataques no ha recibido la atención que merece. Como dijo uno de los asistentes: "Creo
que la seguridad cibernética está comenzando a formar parte de la agenda de la junta, pero las
juntas directivas realmente no aceptan la necesidad de invertir y están felices de enviarla al
jefe de seguridad de la información para que la manejen. La seguridad debe estar en la agenda
del jefe ejecutivo ".

Si desea desestabilizar un país, tome su propiedad intelectual y aíslela

Para agravar el problema, la mesa redonda escuchó que muchos miembros de la junta no
sabían cuánto había impregnado todos los aspectos de su negocio en los últimos 20-30 años.
"Uno de los peligros reales es que muchos líderes no se dan cuenta de que sus organizaciones
se han vuelto digitales", dijo un asistente. "Muchos líderes probablemente comenzaron sus
carreras cuando su negocio estaba basado en papel, y en sus mentes así es como el negocio
aún funciona. No se dan cuenta de cómo las TI han transformado sus negocios ".

Por lo tanto, cuando los directores ejecutivos deciden si invertir en ciberseguridad, no tienen
instinto para ello, se escuchó en la mesa redonda. Incluso los ciberataques de alto perfil, como
los de Sony y Ashley Madison, no han logrado enfocar las mentes.

Esta falta de conciencia fue particularmente preocupante en relación con las organizaciones
más grandes, incluidos algunos organismos de CNI, dijo un asistente, ya que muchos de ellos
confían en un software obsoleto y no compatible. "No estoy seguro de que haya una
comprensión de la antigüedad de los sistemas que dirigen nuestra infraestructura: son muy
vulnerables".
Los negocios se basan en las ganancias, y la seguridad aún se ve como un costo, dijo otro
participante, por lo que corregir las vulnerabilidades de seguridad a menudo pasa a un
segundo plano. La seguridad cibernética "todavía se considera protección contra cosas que
pueden suceder o no ... Otras personas en el consejo hablan de aumentar las ventas. No
quieren disminuir las ganancias poniendo esta seguridad adicional ".

Emma Philpott, directora ejecutiva del Consorcio IASME

Emma Philpott, directora ejecutiva, The IASME Consortium

Entonces, ¿cómo se puede alentar al equipo de liderazgo de una organización para que actúe
sobre ciberseguridad? Varios participantes sugirieron que la mejor manera de hacer que las
juntas corporativas se preocupen por la ciberseguridad era hacer que los clientes se
preocupen. "Hay razones para hacer más en términos de conciencia pública general", dijo un
asistente.

Para otros, la forma en que los miembros de la junta directiva toman ahora tan en serio la
seguridad ofrece un ejemplo de lo que se puede hacer para centrar la atención en la
ciberseguridad.

"Si tiene un incidente de seguridad mayor, alguien sentado en el consejo de administración va

a prisión", dijo un participante, refiriéndose a la Ley de delitos de salud y seguridad. "Si un
incidente cibernético se convirtiera en una ofensa de prisión, ¿con qué rapidez se encontraría
el jefe de seguridad de la información sentado en el tablero?"

Ciberriesgos causados por los empleados

Junto con la falta de conciencia a nivel de la junta, los participantes estuvieron de acuerdo en
que los empleados eran a menudo la mayor amenaza de ciberseguridad que enfrenta una
organización, ya sea por accidente, por ejemplo, al abrir malware a partir de un correo
electrónico
La técnica de Grayware se está convirtiendo en una área problemática en la seguridad móvil con la
popularidad de los smartphones. La técnica de Grayware incluye aplicaciones que se comportan de
manera molesta o no deseada. La técnica de Grayware puede no tener un malware reconocible, pero aún
puede representar un riesgo para el usuario. Por ejemplo, el grayware puede rastrear la ubicación del
usuario. Los creadores de grayware mantienen generalmente la legitimidad al incluir las capacidades de
una aplicación en la letra chica del contrato de licencia de software. Los usuarios instalan muchas
aplicaciones móviles sin considerar realmente sus capacidades.

El término SMiShing es la abreviatura de suplantación de identidad de SMS. Utiliza el Servicio de

mensajes cortos (SMS) para enviar mensajes de texto falsos. Los delincuentes engañan al usuario al
visitar un sitio web o llamar a un número de teléfono. Las víctimas desprevenidas pueden proporcionar
información confidencial como información de la tarjeta de crédito. Visitar una página web puede provocar
que el usuario descargue sin saberlo el malware que infecta al dispositivo.

Puntos de acceso no autorizados

Un punto de acceso dudoso es un punto de acceso inalámbrico instalado en una red segura sin
autorización explícita. Un punto de acceso dudoso se puede configurar de dos maneras. La primera es
cuando un empleado bienintencionado intenta ser útil al facilitar la conexión de dispositivos móviles. La
segunda manera es cuando un delincuente tiene acceso físico a una organización al escabullirse e
instalar el punto de acceso dudoso. Dado que ambas son maneras no autorizadas, presentan riesgos
para la organización.

Un punto de acceso dudoso también puede referirse al punto de acceso de un delincuente. En este caso,
el delincuente configura el punto de acceso como un dispositivo de MitM para captar información de inicio
de sesión de los usuarios.

Un ataque con AP de red intrusa utiliza el punto de acceso de delictiva gracias a una mayor potencia y
antenas más altas de ganancias de ser una mejor opción de conexión para los usuarios. Una vez que los
usuarios se conectan al punto de acceso no autorizado, los delincuentes pueden analizar el tráfico y
ejecutar ataques de MitM.

Interferencia de RF

Las señales inalámbricas son susceptibles a la interferencia electromagnética (EMI), a la interferencia de

radiofrecuencia (RFI) e incluso pueden ser vulnerables a los rayos o ruidos de luces fluorescentes. Las
señales inalámbricas también son vulnerables a la interferencia deliberada. La interferencia de
radiofrecuencia (RF) interrumpe la transmisión de una estación de radio o satelital para que la señal no
alcance la estación receptora.

La frecuencia, la modulación y el poder del que realiza la interferencia de RF debe ser igual a la del
dispositivo que el delincuente desea discontinuar para interferir correctamente la señal inalámbrica.

«Bluejacking» y «Bluesnarfing»

El Bluetooth es un protocolo de corto alcance y baja energía. El Bluetooth transmite datos en una red de
área personal, o PAN, y puede incluir dispositivos como teléfonos móviles, PC portátiles e impresoras. El
Bluetooth ha pasado por varias versiones nuevas. La configuración sencilla es una característica del
Bluetooth, por lo que no hay necesidad de usar direcciones de red. El Bluetooth utiliza el emparejamiento
para establecer la relación entre los dispositivos. Al establecer el emparejamiento, ambos dispositivos
utilizan la misma clave de acceso.

Las vulnerabilidades del Bluetooth han surgido, pero por el rango limitado de Bluetooth, la víctima y al
atacante deba estar dentro del rango de la otra persona.

 El «Bluejacking» es el término que se utiliza para enviar mensajes no autorizados a otro dispositivo
Bluetooth. Una variación de esto es enviar una imagen impactante a otro dispositivo.
  El «Bluesnarfing» ocurre cuando el atacante copia la información de la víctima de su dispositivo.
Esta información puede incluir correos electrónicos y listas de contactos.

Ataques a los protocolos WEP y WPA

Privacidad equivalente por cable (WEP): es un protocolo de seguridad que intentó proporcionar una red
de área local inalámbrica (WLAN) con el mismo nivel de seguridad que una red LAN cableada. Dado que
las medidas de seguridad física ayudan a proteger una red LAN cableada, el protocolo WEP busca
proporcionar protección similar para los datos transmitidos mediante la WLAN con encriptación.

El protocolo WEP utiliza una clave para la encriptación. No existen disposiciones para la administración de
claves con WEP, por lo que la cantidad de personas que comparten la clave crecerá continuamente. Dado
que todas las personas utilizan la misma clave, el delincuente tiene acceso a una gran cantidad de tráfico
para los ataques analíticos.

El WEP también tiene varios problemas con el vector de inicialización (IV) que es uno de los componentes
del sistema criptográfico:

 Es un campo de 24 bits, lo cual es demasiado pequeño.

 Es un texto no cifrado, lo que significa que es legible.

 Es estático, por lo que los flujos de claves idénticas se repetirán en una red ocupada.

El protocolo de acceso protegido Wi-Fi (WPA) y luego el WPA2 salieron como protocolos mejorados para
reemplazar al protocolo WEP. El protocolo WPA2 no tienen los mismos problemas de encriptación porque
un atacante no puede recuperar la clave al observar el tráfico. El protocolo WPA2 es susceptible a
ataques porque los delincuentes cibernéticos pueden analizar los paquetes que se envían entre el punto
de acceso y un usuario legítimo. Los delincuentes cibernéticos utilizan un analizador de protocolos de
paquetes y luego ejecutan los ataques sin conexión en la contraseña.

Defensa contra los ataques a dispositivos móviles e inalámbricos

Existen varios pasos a seguir para defenderse de los ataques a los dispositivos móviles e inalámbricos. La
mayoría de los productos de WLAN utilizan configuraciones predeterminadas. Aproveche las
características básicas de seguridad inalámbrica como la autenticación y la encriptación al cambiar los
ajustes de configuración predeterminada.

Restrinja la ubicación del punto de acceso con la red al colocar estos dispositivos fuera del firewall o
dentro de una zona perimetral (DMZ) que contenga otros dispositivos no confiables, como correo
electrónico y servidores web.

Las herramientas de WLAN como NetStumbler pueden descubrir puntos de acceso dudosos o estaciones
de trabajo no autorizadas. Desarrolle una política de invitado para abordar la necesidad cuando los
invitados legítimos necesitan conectarse a Internet mientras están de visita. Para los empleados
autorizados, utilice una red privada virtual (VPN) de acceso remoto para el acceso a la WLAN.

Scripting entre sitios

El scripts entre sitios (XSS) es una vulnerabilidad que se encuentra en las aplicaciones Web. El XSS
permite a los delincuentes inyectar scripts en las páginas web que ven los usuarios. Este script puede
contener un código malicioso.

Los scripts entre sitios tienen tres participantes: el delincuente, la víctima y el sitio web. El delincuente
cibernético no apunta a una víctima directamente. El delincuente aprovecha la vulnerabilidad en un sitio
web o una aplicación web. Los delincuentes introducen scripts de cliente en sitios web que ven los
usuarios, las víctimas. El script malicioso se transfiere sin saberlo al navegador del usuario. Un script
malicioso de este tipo puede acceder a cookies, tokens de sesiones u otra información confidencial. Si los
delincuentes obtienen la cookie de sesión de la víctima, pueden suplantar la identidad de ese usuario.

Inyección de códigos

Una manera de almacenar datos en un sitio web es utilizar una base de datos. Existen diferentes tipos de
bases de datos, como una base de datos de Lenguaje de consulta estructurado (SQL) o una base de
datos de Lenguaje de marcado extensible (XML). Los ataques de inyección XML y SQL aprovechan las
debilidades del programa, como no validar las consultas de la base de datos correctamente.

Inyección XML

Cuando se utiliza una base de datos de XML, una inyección XML es un ataque que puede dañar los
datos. Una vez que el usuario proporciona la entrada, el sistema obtiene acceso a los datos necesarios
mediante una consulta. El problema se produce cuando el sistema no inspecciona correctamente la
solicitud de entrada proporcionada por el usuario. Los delincuentes pueden manipular la consulta al
programarla para que se adapte a sus necesidades y puedan tener acceso a la información de la base de
datos.

Todos los datos confidenciales almacenados en la base de datos son accesibles para los delincuentes y
pueden hacer cualquier cantidad de cambios en el sitio web. Un ataque de inyección XML amenaza a la
seguridad del sitio web.

Inyección SQL

El delincuente cibernético ataca a una vulnerabilidad al insertar una declaración maliciosa de SQL en un
campo de entrada. Nuevamente, el sistema no filtra correctamente los caracteres de entrada del usuario
en una declaración de SQL. Los delincuentes utilizan la inyección SQL en sitios web o cualquier base de
datos SQL.

Los delincuentes pueden suplantar la identidad, modificar datos existentes, destruir datos o convertirse en
administradores de servidores de bases de datos.

Desbordamiento del búfer

Un desbordamiento de búfer se produce cuando los datos van más allá de los límites de un búfer. Los
búferes son áreas de memoria asignadas a una aplicación. Al cambiar los datos más allá de los límites de
un búfer, la aplicación accede a la memoria asignada a otros procesos. Esto puede llevar a un bloqueo
del sistema, comprometer los datos u ocasionar el escalamiento de los privilegios.

El CERT/CC de la Universidad de Carnegie Mellon estima que casi la mitad de todos los ataques de
programas informáticos surgen históricamente de alguna forma de desbordamiento del búfer. La
clasificación genérica de desbordamientos del búfer incluye muchas variantes, como rebasamientos de
búfer estático, errores de indexación, errores de cadena de formato, incompatibilidades de tamaño del
búfer ANSI y Unicode, y rebasamiento en pila.

Controles ActiveX y Java

Al explorar la Web, es posible que algunas páginas no funcionen correctamente a menos que el usuario
instale un control ActiveX. Los controles ActiveX y Java proporcionan la funcionalidad de un complemento
a Internet Explorer. Los controles ActiveX son piezas de software instalados por usuarios para
proporcionar funcionalidades extendidas. Los terceros escriben algunos controles ActiveX y estos pueden
ser maliciosos. Pueden monitorear los hábitos de navegación, instalar malware o registrar teclas. Los
controles ActiveX también funcionan en otras aplicaciones de Microsoft.

Java opera a través de un intérprete, la Máquina virtual Java (JVM). La JVM habilita la funcionalidad del
programa de Java. La JVM aísla el código no confiable del resto del sistema operativo. Existen
vulnerabilidades que permiten que el código no confiable sortee las restricciones impuestas por el
sandbox. También existen vulnerabilidades en la biblioteca de clase Java, que una aplicación utiliza para
su seguridad. Java es la segunda vulnerabilidad de seguridad más grande junto al complemento Flash de
Adobe.

Defensa de los ataques a las aplicaciones

La primera línea de defensa contra un ataque a las aplicaciones es escribir un código sólido.
Independientemente del idioma usado o el origen de entrada externa, la práctica de programación
prudente es tratar como hostil las entradas que estén fuera de una función. Valide todas las entradas
como si fueran hostiles.

Mantenga actualizado todo el software, que incluye sistemas operativos y aplicaciones, y no ignore los
indicadores de actualización. No todos los programas se actualizan automáticamente. Como mínimo,
seleccione la opción de actualización manual. Las actualizaciones manuales permiten a los usuarios ver
exactamente qué actualizaciones se realizan.