Ciberataques en España
Tiempo de lectura estimado: 10 minutos
Esta conferencia magistral pertenece al Módulo 6 “Agentes de la amenaza” de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer qué tipos de ciberataques son más comunes en España y sus consecuencias.
Introducción a los ciberataques
Desde los inicios del ser humano, nuestra forma de comunicarnos y la manera de interactuar en sociedad ha cambiado radicalmente. El salto más grande ha sido la comunicación en remoto, a distancia o no presencial. Esto hace que cualquier organización que no tenga presencia en internet no pueda competir más allá de su área física, nunca en remoto, y no esté en igualdad de condiciones que el resto.
La mayoría de trámites y acciones que realizamos hoy en día tiende en su mayoría a ser telemático, y por este motivo, han aumentado mucho los ciberataques.
¿Qué son los ciberataques?
Un ciberataque ha de entenderse como la acción, o conjunto de acciones, que compromete la confidencialidad, integridad o disponibilidad de un sistema informático o la información en él contenida.
Existen tres elementos esenciales que componen la seguridad informática, que están protegidos por el actual Código Penal, que son:
- Confidencialidad: elemento que asegura que solamente tienen acceso a la información de un sistema aquellos que están autorizados.
- Integridad: aspecto que se basa en la no alteración de la información salvo por quien está autorizado para ello.
- Disponibilidad: el elemento de la seguridad informática que garantiza el acceso a la información cuando es requerido por los usuarios legítimos. Al igual que la integridad, su vulneración intencionada por un tercero sería considerado un delito de danos informáticos.
Fases de los ciberataques
- Reconocimiento. Los ciberatacantes recopilan información de su objetivo: infraestructura, empleados, clientes, operaciones y noticias en general.
- Escaneo. De red, puertos y vulnerabilidades.
- Ganar acceso. Uso de exploits, ataques por fuerza bruta, suplantaciones activas (spoofing), ataques de spear phising, uso de malware, ataque de webs vulnerables mediante técnicas tipo inyección o ejecución de código en remoto.
- Mantener acceso y Escalada de Privilegios. Instalación de malware en los sistemas comprometidos, análisis de estos sistemas en busca de información útil para comprometer a otros, utilización de carpetas comunes.
- Borrar huellas. En esta fase el atacante tratará de destruir todo rastro que lleve a su identificación.
Ciberataques más comunes
- Denegación de servicio. Existen varios tipos:
- PDos: Sabotaje de hardware. El atacante bloquea el dispositivo o bloquea el firmware por completo. La víctima que sufre un ataque PDoS no tiene más remedio que reparar ese dispositivo o incluso llegar a comprar uno nuevo.
- TDoS: DoS/DDoS contra terminales servicios de telefonía. El atacante lanza una gran cantidad de llamadas y las mantienen activas durante el mayor tiempo posible contra la red de destino. Interrumpe las comunicaciones.
Es un ataque que se lanza contra un servidor o una web a la que se lanzan un montón de peticiones, que generalmente son dispositivos que pertenecen a una red zombie, y el balanceador de la carga no puede asumirlo y bloquea la web.
- Man in the middle (MITM): consiste en introducir un dispositivo o malware en medio del tráfico para captar todas las comunicaciones que se produzcan, incluidas informaciones de datos bancarios.
- Ataques de fuerza bruta: es una manera de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Necesita mucha fuerza de procesamiento y la probabilidad entra en juego. Suele combinarse con un ataque de diccionario, en el que se encuentran diferentes palabras para ir probando con ellas (keywords). Estos ataques no son rápidos y para descifrar una contraseña compleja se necesitarían siglos.
- Sustracción de datos: se roban datos a organizaciones y se publican en fros o redes sociales, o bien, se venden en la dark net. Las principales motivaciones son el ánimo de lucro, animus laedendi o para aumentar el ego o fama de la persona que los roba. Esta sustracción también puede realizarla una persona de la organización (insider) o un agente externo.
- Malware: es la gran punta de lanza de los ciberataques. Es un programa informático que despliega una serie de funcionalidades (negativas) sin el consentimiento de la víctima. Los más comunes son troyanos bancarios y ransomware de cifrado de datos.
- Botnet: una red de dispositivos que se han infectado con un malware y se comunican con el controlador de la red. De él reciben una orden y actúan. Lo más común es un ataque DDoS (Distributed Denial of Service) en el que una página recibe muchas más peticiones de las que puede asumir y bloquea la página. También son capaces de replicarse a través de nuestros contactos.
- Ransomware: su objetivo es bloquear el uso del dispositivo o parte de su información y pedir un rescate a cambio de su liberación. Hay de tipo bloqueo, que bloquea las funciones del dispositivo, y de tipo cifrado, que cifra los datos contenidos. Podemos infectarnos generalmente por tres vías:
- Descarga de contenidos de sitios maliciosos
- Phishing
- Credenciales comprometidas
- Troyano bancario:
- Remote Access Tool o herramienta de acceso remoto: Aplicación informática que permite a un equipo informático interactuar, con privilegio de administrador, desde otro equipo informático al que se conecta en remoto. Si media consentimiento, libre y voluntario, no viciado del usuario, es una herramienta legal.
- Troyan Access Tool: Aplicación informática que permite a un equipo informático interactuar, con privilegio de administrador, con otro equipo informático al que se conecta en remoto. Si se ejecuta la herramienta sin conocimiento del anfitrión o con su consentimiento viciado: es ilegal y potencialmente crítico. En España abundan Mekotio, Melcoz y Grandoreiro.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Juanma Cabo Pimentel
Juanma es investigador de Policía Judicial desde el 2009 y es Jefe del Grupo de Ciberataques en la Unidad Central de Ciberdelincuencia. Tiene experiencia en ciberdelitos desde el 2015.
¿Cuál es tu reacción?