CIBERATAQUES – Delitos Sin Fronteras

Por: Alejandro Perugorria*

Con la transformación digital en general y la expansión del lugar de trabajo digital en particular, el mundo experimenta un aumento de diversos tipos de ciberataques.

Estos se definen como actos intencionados llevados a cabo desde una computadora con la finalidad de interrumpir o dañar un sistema, una red, un programa o unos datos. Pueden ocurrir de muchas maneras y ser realizados por cualquier persona con conexión a Internet.

Las consecuencias de un ciberataque van desde pequeños trastornos hasta grandes catástrofes, dependiendo de lo que se haya atacado y de su gravedad. 

Por ejemplo, podríamos sufrir un un acceso no autorizado a una computadora personal con la finalidad de sustraernos nuestros datos o bien un ataque de mayores consecuencias a una infraestructura critica, poniendo así en riesgo, nuestra sistema de salud.

Es fundamental estar preparado y conocer los diferentes tipos de ciberataques que existen actualmente. 

Una particularidad de los ciberataques, es que no conocen fronteras. Los delincuentes, las víctimas y las infraestructuras técnicas están dispersos por todo el mundo, lo que resulta muy problemático a la hora de realizar una investigación o emprender acciones judiciales.

Acciones terroristas, transacciones de dinero, suplantación de identidad, infiltración en sistemas de seguridad y defensa nacional, son solo algunos de los delitos que se pueden cometer por medio de un ciberataque.

El uso cada vez mas frecuente de la Dark Web o la Red Criminal, tal como me gusta denominarla, facilita el accionar de organizaciones criminales y ciberdelincuentes, que aprovechan el anonimato que esta les otorga, para llevar adelante sus ataques informáticos.

Los ciberdelincuentes son cada vez mas astutos y están mejor preparados organizados, tal como demuestra la velocidad con que crecen los ciberataques, explotando las nuevas tecnologías.

Organismos del estado, empresas y las personas en general, son a diario, víctimas de ciberataques y en muchas oportunidades, no se dan cuenta del mismo, hasta que el daño se haya producido.

En el presente articulo, tratare de mencionar y hacer una pequeña descripción de algunos de los más comunes y que medidas preventivas se deberían tomar, a fin de estar protegidos.

Ahora bien, ¿Qué es un ciberataque?

Existen variadas definiciones del termino de ciberataque. Por ejemplo, la RAE define al mismo como “Una forma de ciberguerra o ciberterrorismo donde, combinado con ataque físico o no, se intenta impedir el empleo de los sistemas de información del adversario o el acceso a la misma”.  

Por su parte, Microsoft, se refiere  a los ataque informáticos como “Los ciberataques son intentos por obtener acceso no autorizado a los equipos y robar, modificar o destruir datos. Se dirigen a los sistemas o documentos importantes en una red empresarial o personal para dañarlos, controlarlos u obtener acceso a estos.“

Podemos decir en términos más sencillos, que los ciberataques, son intentos de exponer, robar, cambiar o destruir datos sensibles o dañar una computadora personal y/o los servidores y la  red de una organización, sea esta privada o publica, mediante el acceso no autorizado.

Los ciberatacantes (personas individuales) o las organizaciones, realizan ciberataques con intenciones políticas, criminales o personales para destruir información clasificada u obtener acceso a esta.

Esta modalidad de ataques o mejor dicho Ciberataques, se ha incrementado  a nivel mundial en los últimos años, principalmente durante la pandemia producida por el Covid19 y dichas amenazas están diseñadas para causar daños a las personas, empresas e incluso a los estados, naciendo así otro concepto, el de  ciberguerra. 

durante este ultimo año, empresas como Google, Amazon ,Cloudflare y otras, afirmaron haber sido víctimas de los mayores ciberataques.

También gobiernos de países como EEUU, Colombia, Peru y Argentina,  han sufrido la intrusión en muchos de sus sistemas de gestión, producidos por diferentes ciberataques durante el 2023. Tanto las empresas como los gobiernos, han sufrido grandes perdidas, que van desde daño en sus sistemas informáticos, hasta perdidas de la información.

Qué ataques informáticos podemos sufrir?

Existe una variedad de ataques informáticos, estos van desde acceder a una PC, hasta poner fuera de servicio una red de semáforos inteligentes, o crear campañas masivas de información falsa, con las consecuencias que esto tendría. Para empezar entender un poco más sobre estos, podríamos mencionar por ejemplo, el (DoS) o ataque de denegación de servicio,  que busca como principal objetivo, cerrar  o dañar un sitio web enviando un tráfico enorme.  Una variante del anterior, seria el ataque de denegación de servicio distribuido, el cual utiliza no solo una, sino, varias computadoras para mandar tráfico simultáneamente hacia un sitio web denominado el objetivo. 

Otro caso y quizás uno  de los mas conocidos, es el ataque de malware. Este ataque instala un malware (programa malicioso o maligno) en la computadora personal o servidor de red de una empresa,  con la intención de robar información de las personas,  empresa u organización.

Una de las consecuencias más costosas de los ciberataques, es la pérdida de información, seguida de la interrupción del servicio y el daño directo a la infraestructura. 

El sector financiero, las organizaciones gubernamentales y el sector empresarial,  son los objetivos más buscado por los ciberdelincuentes.

En los siguientes párrafos , voy a realizar una descripción de los alguno de los ataques más comunes. Ciertamente, si navegamos por internet y profundizamos nuestra investigación, encontraremos una gran numero que no están descriptos en el presente articulo. No es que estos no sean importantes, sino, que priorice aquellos que escuchamos con frecuencia y que se han incrementado en estos tiempos.

1. Malware

El primer tipo de ciberataque que menciono aquí seguramente muchos ya lo conocen. El malware es un término amplio que contempla diferentes clases de software malicioso, incluyendo virus, gusanos y spyware. Estos ataques aprovechan una vulnerabilidad y se introducen en la red para plantar el código nocivo. 

2. Phishing

Otro de los tipos de ciberataque conocido y que escuchamos con frecuencia, que se refiere a estafas orientadas a engañar a los usuarios para que revelen sus credenciales o cualquier otra forma de información confidencial. Esta clase de ciberamenaza recurre a la tecnología y a la ingeniería social para que las personas entreguen datos sensibles que luego serán utilizados con fines fraudulentos. 

El atacante puede llamar, enviar un correo electrónico o WhatsApp a la víctima diciéndole que una determinada organización (Banco) se pone en contacto con ella para actualizar información, y así le pide un PIN o una contraseña, por ejemplo. 

Comúnmente durante un un ataque de phishing, el hacker (ciberdelincuente), manda a la víctima un mensaje con un archivo adjunto malicioso o un enlace que la redirige a un sitio web engañoso donde descarga el malware. 

En todos los casos puede ser una web falsa que emula a una legítima, como las propias redes sociales, en la que se pide al usuario que inicie sesión. 

Cuando la víctima completa el formulario, el ciberatacante logra obtener datos como su nombre de usuario y contraseña, claves personales y otros datos de interes, que luego emplea para llevar adelante diferentes delitos. 

Estos últimos ejemplos de phishing combinan lo que se conoce como “ingeniería social” con la tecnología (código malicioso) diseñada para engañar a la persona con la finalidad de que revele datos sensibles.

Lamentablemente, es de los ataques que a diario , cometen los ciberdelincuentes.

3. Ataque de día cero

Un ataque de día cero es una vulnerabilidad (Falla o debilidad en el sistema de seguridad) que no fue revelada públicamente. Los hackers aprovechan ese momento antes de que el proveedor tenga la oportunidad de solucionarlo. Suele ser muy peligroso porque no hay protección hasta que se publica el parche y el sistema de seguridad quede funcionando nuevamente.

Este tipo de ataques puede afectar a cualquier empresa y proveedor, sin importar el tamaño o la precaución tomada sobre el asunto. Por ejemplo, Google informó de seis vulnerabilidades de día cero durante el 2022. 

La empresa tuvo que lanzar actualizaciones de emergencia para poder solucionar los inconvenientes, las cuales tienen que instalarse rápidamente por los usuarios y las organizaciones. 

4. Ransomware (Secuestro de Datos)

El ransomware incluye un código malicioso en el sistema informático que cifra los datos para hacerlos inaccesibles a la víctima. Este programa suele utilizarse para exigir el pago de un rescate para que la víctima pueda descifrar los archivos, carpetas y sistemas cautivos. El procedimiento consiste en que la víctima descarga (sin saberlo) el código malicioso desde un sitio web o un archivo adjunto y luego, este software malicioso,  aprovecha una vulnerabilidad del sistema y encripta la información. 

Recientemente, el ataque contra la empresa IFX Networks, una proveedora de servicios de internet  en Colombia, logro infiltrarse en más de 50 entidades del estado y fueron  afectadas por el secuestro de los datos, millones de colombianos. 

Aunque la compañía informó que logró detectar a tiempo el ciberataque para limitar el potencial alcance del mismo y contener de manera considerable el número de sistemas afectados —recuperó el 50% de los datos—, el Gobierno nacional de Colombia, informó que demandará a la empresa por los perjuicios y daños ocasionados a los colombianos, argumentando que IFX Networks faltó a su compromiso de garantizar la seguridad cibernética.

5. Ataque con contraseña

Otro ataque común, es, el ataque con contraseña. En este caso los ciberdelincuentes se hacen con las contraseñas de la víctima de varias maneras. Una de ellas es probando diferentes combinaciones hasta conseguir la correcta (Prueba y error). Obviamente que este método es mas simple cuando la víctima utiliza palabras fáciles de desifrar como “contraseña” “admin” o combinaciones como “12345” en lugar de un gestor de contraseñas seguras. Combinar números, letras y caracteres especiales, es una buena medida a considerar. 

Otra vía utilizada por los ciberatacantes, es recurrir a un software que permite probar en forma automatizada todas las combinaciones posibles del diccionario: de hecho se la conoce como ataque de diccionario.

También es común, dentro del ataque con contraseña utiliza una web falsa donde el usuario cree que deposita sus datos en un sitio oficial y escribe sus credenciales o le proporciona los passwords a un ciberdelincuente que se hace pasar por un agente del banco, una empresa de servicios o alguna otra organización. 

En este caso, se trata de un ataque con contraseña realizado mediante phishing. Una combinación de dos modalidades.

A veces los delincuentes prueban combinaciones de nombres de usuario y contraseñas obtenidas en la web oscura (Dark Web). Estas listas, son de datos comprometidos que provienen de filtraciones o ataques realizados previamente. 

6. Ataques DoS y DDoS

Si bien ya lo he mencionado en la introducción a este articulo, voy a ampliar sobre este, dado que es de los mas comunes y peligrosos. Los ataques DoS, también conocidos como ataques de denegación de servicio tienen como propósito inhabilitar un servidor, un servicio o una infraestructura. 

Para llevarlos a cabo los hackers envían múltiples solicitudes o peticiones con el objetivo de exceder la capacidad del sitio web y de esta manera, bloquear su funcionamiento.

Por su parte, un ataque de denegación de servicio distribuido o Distributed Denial of Service  (DDoS) es un ataque DoS que utiliza múltiples máquinas (dispositivos remotos, bots o zombis) para que la red objetivo se vea desbordada. En consecuencia, el servidor se sobrecarga más rápidamente que en un ataque DoS normal. 

7. Spoofing de DNS

Otro de los tipos de ciberataque es el Spoofing del Domain Name Server (DNS) o servidor de nombres de dominio, que consiste en alterar el DNS para redirigir el tráfico a un sitio web falso que emula a uno legítimo.  En este tipo de ciberataque, la víctima introduce su nombre de usuario y contraseña para iniciar la sesión, facilitando estos datos a los hackers. 

8. Ataques MitM o Man-in-the-middle

En un ataque de Man in the Middle u hombre en el Medio (MitM), el delincuente intercepta la comunicación entre dos personas en forma secreta e incluso puede alterarla. 

Este procedimiento es posible llevarlo adelante cuando la conexión se realiza desde un punto de acceso wi-fi no cifrado. Las personas que participan de la conversación no saben que el atacante está espiando o modificando la información compartida.

Muchos aeropuertos y otros lugares públicos, ofrecen conectarse al wifi en forma gratuita y se convierten en un lugar propicio para este tipo de ataques. 

9. Ataque de troyanos

Un ataque de troyanos recurre a un malware (Software malicioso) que se esconde dentro de un archivo o aplicación para engañar al usuario. Están diseñados para realizar, diferentes tipos de daños a la red, dependiendo la acción que se pretende llevar adelante. 

En la mayoría de los casos, se utilizan para establecer una puerta trasera en la red. De este modo, el atacante puede robar datos sensibles o instalar otro software maligno en el sistema. A diferencia de un virus, un troyano no se replica. Este es uno de los ataques más utilizados.

10. Ataque de inyección SQL

Una inyección de lenguaje de consulta estructurado o Structured Query Language (SQL) -inyección SQL- es una amenaza de ciberseguridad que tiene como objetivo los sitios que utilizan bases de datos para servir a los usuarios. 

El atacante obtiene acceso no autorizado a la base de datos de una aplicación web añadiendo una cadena de código malicioso a una consulta. 

Esta manipulación del código SQL permite al delincuente obtener información confidencial y sensible, como por ejemplo, los datos correspondientes a las tarjetas de crédito, cuentas bancarias

11. Cross-site scripting

El cross-site scripting hace que un sitio vulnerable devuelva al usuario un JavaScript malicioso para que el código se ejecute en su navegador. Cuando esto ocurre, el atacante obtiene el control y compromete la interacción con la aplicación, accediendo a cualquier acción que desee ejecutar. Incluso si la víctima tiene un ingreso privilegiado a los datos críticos, los atacantes podrían obtener el control total de esa información. 

12. Ataque de cumpleaños

Un ataque de cumpleaños es un tipo de ataque criptográfico en el que el ciberdelincuente tiene como objetivo los algoritmos hash (Función),  que son firmas digitales destinadas a verificar la autenticidad de las comunicaciones. 

Si un delincuente crea un hash idéntico al enviado, puede sustituir el mensaje original por el suyo, por lo que la parte receptora lo recibirá sin sospechar que el contenido fue alterado. 

Este tipo de ciberataque de fuerza bruta explota las matemáticas que hay detrás de la paradoja del cumpleaños -que dice que en un grupo aleatorio de 23 personas, hay un 50% de posibilidades de que dos de ellas cumplan el mismo día- en una teoría de la probabilidad. 

13. Rootkits 

Los rootkits, también conocido como el “malware casi invisiblese” refieren a un grupo de herramientas de software que permiten a los delincuentes obtener acceso no autorizado a un sistema sin ser detectados. 

Un rootkit esconde programas maliciosos que llegan a los dispositivos a través del spam o de otras formas. 

Cuando el rootkit se activa, se crea una puerta trasera y los delincuentes pueden instalar otras formas de malware como ransomware o troyanos. 

14. Amenaza interna

Para cerrar los tipos de ciberataque, la amenaza interna involucra a las personas que trabajan dentro de una organización y que utilizan el acceso autorizado o sus conocimientos sobre la entidad para lanzar un ataque. 

El ataque de amenaza interna puede provocar daños y pérdidas de datos y afectar a la reputación de la empresa. 

Las amenazas internas son una de las principales preocupaciones en las organizaciones de todo tipo. El pasado año, más del 50% de las organizaciones a nivel mundial ha experimentado, al menos, una amenaza interna, lo que eleva su percepción de vulnerabilidad.

Según una investigación llevada adelante por la empresa Cybersecurity Insiders, más de la mitad de las empresas de todo el mundo ha sufrido una amenaza interna a lo largo de 2022. El aumento de estos riesgos ha elevado la preocupación de las organizaciones por este riesgo al que están expuestas. 

Un porcentaje muy bajo de las empresas y organizaciones que participaron de las encuestas para el estudio no muestra preocupación por los riesgos internos asociados, principalmente, con sus empleados.

Como prevenirnos de  los ciberataques?

El primer paso para prevenir los ciberataques es crear una cultura de ciberseguridad en la organización. Esto significa educar sobre los riesgos de ciberseguridad y cómo protegerse. Aun cuando las medidas de seguridad y las políticas que se lleven adelante sobre este tema, las personas que integran una empresa u organización,  deben tomar precauciones y ser consientes que a pueden estar expuestos a caer en el engaños. 

Recuerden: Las personas, son el eslabón más débil en esta cadena de seguridad.

¿Cómo se producen los ciberataques?

Básicamente existen  dos formas principales para que se produzcan los ciberataques: 

1. Los  ciberdelincuentes  o atacantes identifican una vulnerabilidad de seguridad en el sistema y comienzan a explotar esta grieta 
2. los atacantes engañan a los usuarios y consiguen que compartan información confidencial que los ayudará a entrar en la red y a lanzar desde allí, los diferentes ciberataques.

¿Cómo funciona un ciberataque?

Normalmente el ciberataque se puede presentar en diferentes etapas:

• Reconocimiento – esta es la etapa de obtención de información sobre la red objetivo para detectar e identificar vulnerabilidades y grietas de seguridad. 
• Armado – Creación o adaptación del malware a las vulnerabilidades de la organización.
• Entrega – Envío del malware (arma) al objetivo a través de un USB, correo u otros medios.
• Explotación – Aprovechamiento de una vulnerabilidad que ejecuta código en el sistema. 
• Mando y control – Acceso continuado al objetivo para controlarlo y manipularlo a distancia. 
• Acciones sobre los objetivos – Adopción de medidas para lograr los objetivos, como la destrucción de datos, el cifrado o la exfiltración.

¿Qué hacer si somos víctimas de un ciberataque?

Confirmado el ciberataque, informar de manera inmediata al área de seguridad de IT . Esto permitirá tomar acciones rapidamente y averiguar qué información fue comprometida.

Cambiar rápidamente las  credenciales de acceso en todas tus aplicaciones sean estas personales o de la organización.

Seguir atentamente las directivas de la gente de seguridad informática.

A continuación, algunas recomendaciones generales que todos los miembros de una organización deberían tener en cuenta para prevenir o mitigar los ciberataques.

1. Utilizar contraseñas complejas

2. Habilita la autenticación multifactor

• Si bien las contraseñas son la primera capa de protección, tener presente como he mencionado en este articulo, que pueden ser son fácilmente atacadas y descifradas. 
• Es recomendable habilitar la autenticación con algún método multifactor en todas tus cuentas. Para ello deberíamos disponer de  una app acorde o una llave de seguridad física.
• Existen en el mercado varias, app que se pueden descargar desde internet, como por ejemplo el Microsoft Authenticator 
• Evitar el uso de SMS porque los atacantes podrían interceptar esta información. 
• Utilizar hashes más largos para la verificación con el fin de evitar ataques de cumpleaños. Cada dígito extra que se añade al hash suma una capa de protección y, por lo tanto, disminuye las posibilidades de generar uno igual.

3. Sér precavido

• Tener presente lo que describimos en párrafos anteriores. Los ataques de phishing pueden adoptar diferentes formas: correos electrónicos, textos, llamadas, web que ofrecen imperdibles veneficios, etc. 
• Evitar brindar  detalles personales o cualquier dato sensible a través de estos medios de comunicación. 
• No descargar archivos adjuntos ni ingresar en los enlaces que recibas por email, textos o aplica ciones de mensajería que no provengan de sitios de confianza. Comprobar con el remitente si este es conocido, si ha enviado esa información. 
• No ingresar al Link directamente desde el correo. En caso de tomar la decisión de ingresar, escribir la URL directamente en la barra de direcciones, pero siempre en una ventana de incógnito. 
• Verificar que a la url que intentamos ingresar,  contenga  el  protocolo de transferencia de hipertexto seguro (HTTPS) y no con (HTTP). Esta ultima url, no cuenta con un certificado de confianza. Empresas como Google Chrome y otros navegadores marcan todas las páginas web que no utilizan HTTPS como no seguras.
• Hacer copia de seguridad de todos los datos para que, en caso de que alguna información sea robada o se pierda durante un ataque, haya una forma de recuperarla.

4. Instalar las actualizaciones del sistema operativo y del software

• Para los  ataques,  los ciberdelincuentes utilizan el software y el sistema operativo que no están actualizados. 
• Actualizar parches que resuelvan las vulnerabilidades del SO. 
• Asegúrar de que todos los dispositivos utilizados en la red cumplen con esta política de seguridad. 
• Utilizar un firewall y un software antivirus con protección contra malware. Existen versiones gratuitas de diferentes marcas comerciales. Estas se encuentran limitadas en sus funciones, salvo que se obtenga la versión de pago.

5. Utilizar una VPN

• El WIFI público puede ser fácilmente hackeado para realizar un ataque MitM. Por esta razón, si nos conectamos a una red pública, tratar de utilizar una red privada virtual (VPN). 

6. Navegación  en Internet

• Cuando navegamos en internet, debemos evitar compartir información personal en las redes sociales y otros sitios online. Todo lo compartido forma parte de lo que se conoce como tu huella online. Estos datos son los que pueden ser utilizados por los delincuentes para llevar a cabo ataques de ingeniería social. 

7. Seguridad en Organizaciones gubernamentales o la empresa.

• Para proteger una organización de un ataque de inyección SQL, es esencial recurrir al modelo de mínimos privilegios, que consiste en que solo quienes necesiten acceder a las bases de datos críticos podrán ingresar a ver esa información. 
• Un ciberataque puede dar lugar a violaciones de datos, además de dañar los dispositivos y el software. Esto implica altos costos para las empresas en términos de dinero y reputación. 
• En un contexto de avance de la digitalización, aumentaron los ataques informáticos. Por lo tanto, es importante tomar precauciones para evitar ser víctima de los hackers. 
• Como ya lo vimos existen varios tipos de ciberataques. Algunos se aprovechan de las vulnerabilidades de la red o de los dispositivos, y otros son a nivel usuarios manipulando sus mentes.
• La forma mas importante de proteger a la empresa/ organización de los ciberataques, es estableciendo una política de seguridad informática y darla a difundir entre los miembros de la organización.
• Este último aspecto ayudará a que todos los miembros de la organización, aprendan, no solo a defenderse, sino también a poder identificar e informar ante la posibilidad de un ciberataque.

Como punto final, debemos recordar que :

*Alejandro Perugorria :

Director de la revista Seguridad y Defensa. – Analista desarrollador de Sistemas con especialización en Sistemas de Información Geográfica y Pericias Informáticas – Egresado de la Escuela de Inteligencia de las Fuerzas armadas como Analista de Inteligencia – Egresado del Centro de Estudios Estratégicos Williams Perry de la universidad Nacional de la Defensa de los EEUU. en los programas de Políticas de Seguridad y defensa, Implicancias Estratégicas de los Derechos Humanos y el estado de Derecho y Combatiendo las redes de amenazas Transnacionales – Diplomado en Seguridad Nacional del Instituto Nacional de Estudios Estratégicos en Seguridad de Guatemala