Los ciberataques están considerados como el quinto riesgo a nivel mundial más importante. Y su proliferación sigue imparable. Ante el aumento incesante de estas amenazas conocerlas en profundidad para aprender a detectarlas e implementar las medidas adecuadas para combatirlas es fundamental.
Firmas como Check Point apuntan que el pasado año los ciberataques crecieron un 28% a nivel mundial. El conflicto entre Rusia y Ucrania ha contribuido en gran medida a la proliferación de amenazas con el ransomware a la cabeza.
Según los datos de WatchGuard, durante el último trimestre se identificó un 80% más ransomware que en el trimestre anterior, y tres veces más que en el primer trimestre de 2021. Esto deja constancia de la proliferación que están adquiriendo las amenazas de seguridad.
Aprender a identificarlas es clave para poner en marcha los mecanismos que permitan protegernos y estar mejor preparados para hacerles frente.
CrowdStrike ha elaborado una lista en la que repasa los 10 tipos de ciberataques más comunes, cuáles son sus objetivos y cómo protegerse de ellos. Este es el resultado.
- Malware
El malware, o software malicioso, es cualquier programa o código que se crea con la intención de dañar una ordenador, red o servidor. Se trata del tipo de ciberataque más común, ya que este término abarca muchos subconjuntos, como ransomware, troyanos, spyware, virus, gusanos, keyloggers, bots, cryptojacking y cualquier otro tipo de ataque que aproveche el software de forma maliciosa.
- Ransomware. Se trata de ataques en los que los delincuentes cifran los datos de la víctima y ofrece una clave de descifrado a cambio de un pago. Los ataques de ransomware generalmente se lanzan a través de enlaces maliciosos enviados a través de correos electrónicos de phishing, pero también se utilizan vulnerabilidades sin parchear y configuraciones incorrectas.
- Malware sin archivos. Es un tipo de actividad maliciosa que utiliza herramientas legítimas nativas integradas en un sistema para ejecutar un ataque. A diferencia del malware tradicional, el malware sin archivos no requiere que un atacante instale ningún código en el sistema de un objetivo, lo que dificulta su detección.
- Spyware. Este tipo de software malicioso puede infectar un ordenador, o cualquier otro dispositivo, para recopilar información sobre la actividad web de un usuario sin su conocimiento o consentimiento.
- Adware. Se trata de un tipo de software espía que observa la actividad online de un usuario para determinar qué anuncios mostrarle. Si bien el adware no es inherentemente malicioso, tiene un impacto en el rendimiento del dispositivo del usuario y deteriora su experiencia.
- Troyano. Es un malware que parece un software legítimo disfrazado de programas nativos del sistema operativo o archivos inofensivos como descargas gratuitas. Los troyanos se instalan mediante técnicas de ingeniería social, como sitios web de phishing.
- Gusanos. Es un programa autónomo que se replica a sí mismo y propaga sus copias a otros equipos. Un gusano puede infectar a su objetivo a través de una vulnerabilidad de software o puede enviarse mediante phishing o smishing. Los gusanos integrados pueden modificar y eliminar archivos, inyectar más software malicioso o replicarse en el lugar hasta que el sistema de destino se quede sin recursos.
- Rootkits. El malware rootkit es una colección de software diseñada para dar a los actores maliciosos el control de una red o aplicación informática. Una vez activado, el programa malicioso establece un exploit de puerta trasera y puede generar malware adicional.
- Malware móvil. El malware móvil es cualquier tipo de malware diseñado para atacar dispositivos móviles. El malware móvil se entrega a través de descargas maliciosas, vulnerabilidades del sistema operativo, phishing, smishing y el uso de redes wifi no seguras.
- Exploits. Un exploit es una pieza de software o datos que utiliza un defecto en un sistema operativo o una aplicación para dar acceso a actores no autorizados. El exploit se puede usar para instalar más malware o robar datos.
- Scareware. Este malware busca engañar a los usuarios haciéndoles creer que su dispositivo está infectado con un virus. Por lo general, el usuario ve el scareware como una ventana emergente en la que se le advierte de que su sistema está infectado. Esta táctica tiene como objetivo persuadir a las personas para que instalen un software antivirus falso para eliminar el «virus». Una vez que se descarga este software antivirus falso, el malware infecta el equipo.
2. Ataques de denegación de servicio (DoS)
Un ataque de denegación de servicio (DoS) es un ataque malicioso y dirigido que inunda una red con solicitudes falsas para interrumpir las operaciones de negocio.
En un ataque DoS, los usuarios no pueden realizar tareas rutinarias como acceder al correo electrónico, sitios web, cuentas online u otros recursos que requieren de un ordenador o red. Si bien la mayoría de los ataques DoS no dan como resultado la pérdida de datos y generalmente se resuelven sin pagar un rescate, le cuestan a la organización tiempo, dinero y otros recursos para restaurar las operaciones de negocio críticas.
La diferencia entre los ataques DoS y DDoS (ataques de denegación de servicio distribuido) tiene que ver con el origen del ataque. Los DoS se originan en un solo sistema, mientras que los DDoS se lanzan desde múltiples sistemas. Los ataques DDoS son más rápidos y difíciles de bloquear que los DoS porque se deben identificar y neutralizar múltiples sistemas para detener el ataque.
3. Phishing
El phishing es un tipo de ciberataque que utiliza el correo electrónico, SMS, teléfono, redes sociales y técnicas de ingeniería social para llevar a una víctima a compartir información confidencial, como contraseñas o números de cuenta, o descargar un archivo malicioso que instalará virus en su equipo o teléfono.
Los ataques de phishing comunes son:
- Spear Phishing. Es un tipo de ataque de phishing que se dirige a personas u organizaciones específicas, generalmente a través de correos electrónicos maliciosos. El objetivo es robar información confidencial, como credenciales de inicio de sesión, o infectar el dispositivo de los objetivos con malware.
- Whailing. Es un tipo de ataque de ingeniería social dirigido específicamente a empleados ejecutivos senior o de nivel C con el propósito de robar dinero o información, o de conseguir acceso al dispositivo de la persona para ejecutar más ciberataques.
- Smishing. Consiste en enviar mensajes de texto fraudulentos diseñados para engañar a las personas para que compartan datos confidenciales, como contraseñas, nombres de usuario y números de tarjetas de crédito.
- Vishing. Se trata de un ataque de phishing de voz haciendo un uso fraudulento de llamadas telefónicas y mensajes de voz que fingen ser de una organización acreditada para convencer a las personas de que revelen información privada, como datos bancarios y contraseñas.
4. Spoofing
El spoofing es una técnica mediante la cual, un ciberdelincuente se hace pasar por una fuente conocida o de confianza para interactuar con el usuario con el objetivo de acceder a sus sistemas o dispositivos para robar información, extorsionar o instalar malware u otro software dañino.
- Ataques basados en la identidad
Los datos de CrowdStrike apuntan que el 80% de todas las infracciones utilizan identidades comprometidas y pueden tardar hasta 250 días en identificarse.
Los ataques de suplantación de identidad son extremadamente difíciles de detectar. Cuando las credenciales de un usuario se ven comprometidas y un delincuente se hace pasar por éste, es muy difícil diferenciar entre el comportamiento de uno y otro.
Un claro ejemplo son los ataques ‘man in the middle’, en los que un atacante escucha a escondidas una conversación entre dos objetivos para recopilar datos personales, contraseñas o datos bancarios, y/o convencer a la víctima de realizar una acción como cambiar las credenciales de inicio de sesión, completar una transacción o iniciar una transferencia de fondos.
- Ataques de inyección de código
Los ataques de inyección de código consisten en que un atacante inyecta un código malicioso en un equipo o red vulnerable para cambiar su curso de acción. Existen varios tipos de ataques de inyección de código. Uno de los más populares es la inyección de SQL, que aprovecha las vulnerabilidades del sistema para inyectar código malicioso en una aplicación basada en datos, que permite extraer información de una base de datos.
- Cibertaques a la cadena de suministro
Estos ataques se dirigen a un proveedor externo de confianza que ofrece servicios o software vitales para la cadena de suministro. Consisten en inyectar código malicioso en una aplicación para infectar a todos los usuarios de una aplicación, mientras que los ataques a la cadena de suministro de hardware comprometen los componentes físicos con el mismo propósito.
Las cadenas de suministro de software son particularmente vulnerables porque el software moderno no se escribe desde cero: más bien, involucra muchos componentes como las API de terceros, código fuente abierto y código propietario de proveedores de software.
- Amenazas internas
Las amenazas internas son actores internos, como empleados actuales o anteriores, que representan un peligro para una organización porque tienen acceso directo a la red de la empresa, datos confidenciales y propiedad intelectual.
Estos pueden convertirse en una seria amenaza para una organización motivados, en muchas ocasiones, por falta de conocimientos en seguridad, pero también movidos por un sentimiento de venganza o meramente económico.
Para combatirlo, las organizaciones deben implementar programas de capacitación en ciberseguridad.
- DNS Tunneling
La creación de un túnel DNS es un tipo de ciberataque que aprovecha las consultas y respuestas del sistema de nombres de dominio (DNS) para eludir las medidas de seguridad tradicionales y transmitir datos y códigos dentro de la red.
Una vez infectado, el hacker puede participar libremente en actividades de mando y control. Este túnel le da al hacker una ruta para liberar malware y/o extraer datos, IP u otra información confidencial codificándolos en una serie de respuestas DNS.
- Ataques en IoT
Se trata de cualquier ciberataque que se dirige a un dispositivo o red de Internet de las cosas (IoT). Una vez comprometido, el delincuente puede asumir el control del dispositivo, robar datos o unirse a un grupo de dispositivos infectados para crear una botnet para lanzar ataques DoS o DDoS.
Dado que se espera que la cantidad de dispositivos conectados crezca rápidamente durante los próximos años, se prevé un notable incremento de las infecciones de IoT. Además, el despliegue de redes 5G, que impulsará aún más el uso de dispositivos conectados, también puede dar lugar a un aumento de los ataques.
Cómo protegerse de los ciberataques
Una estrategia integral de ciberseguridad es absolutamente esencial en un mundo conectado como el de hoy. Desde una perspectiva empresarial, proteger los activos digitales de la organización contribuirá a reducir su riesgo de pérdida, robo o destrucción, así como la posible necesidad de pagar un rescate para recuperar el control de los datos o sistemas.
Además, al prevenir o solucionar los ciberataques, la organización también minimiza su impacto en las operaciones de negocio. En consecuencia, esto también contribuye a proteger la marca del daño a la reputación que a menudo se asocia con los problemas en seguridad, especialmente aquellos que involucran la pérdida de datos del cliente.
Por eso, las empresas deben tener mejorar continuamente su postura de seguridad teniendo en cuenta una serie de aspectos cruciales.
- Proteger todas las cargas de trabajo. Es fundamental proteger todas las áreas críticas de riesgo empresarial, incluidos los puntos finales y las cargas de trabajo en la nube, la identidad y los datos.
- Conocer al su adversario. Identificar a los ciberdelincuentes contribuye a que los equipos de seguridad optimicen de manera proactiva las prevenciones, fortalezcan las defensas y aceleren la respuesta a incidentes.
- Adoptar Zero Trust. Debido a que la economía global actual requiere que se pueda acceder a los datos desde cualquier lugar y en cualquier momento, es fundamental adoptar un modelo Zero Trust, o confianza cero. Se trata de una estrategia de seguridad de red basada en la filosofía de que ninguna persona o dispositivo dentro o fuera de la red de una organización debe tener acceso para conectarse a sistemas o cargas de TI hasta que se considere explícitamente necesario.
- Supervisar la clandestinidad criminal. Los enemigos se reúnen para colaborar utilizando una variedad de plataformas de mensajería oculta y foros web. Es clave aprovechar las herramientas de monitorización de riesgos digitales para monitorizar amenazas inminentes.
- Invertir en Threat Hunting. Estas actividades son cada vez más valoradas en las organizaciones ya que resultan de gran ayuda para la búsqueda de comportamientos sospechosos, maliciosos o patrones no seguros en los entornos tecnológicos e infraestructuras de las empresas.
- Desarrollar un programa integral de capacitación en ciberseguridad. Hoy en día son fundamentales los programas de concientización para combatir la amenaza continua del phishing y las técnicas de ingeniería social relacionadas. No obstante, las amenazas evolucionan, por lo que estos programas no deben abordarse como acciones puntuales sino continuas para estar siempre actualizados y con información acorde a las nuevas necesidades.