Amenazas Cibernéticas más comunes
Social Engineering
La ingeniería social es el arte de manipular a las personas para que compartan su información confidencial. El tipo de información que estos criminales están buscando puede variar. Pero cuando las personas son atacadas, los criminales están generalmente tratando de engañarlas para que otorgue sus contraseñas o datos bancarios. También los criminales buscan acceder a su computadora para instalar secretamente programas maliciosos que les dará acceso a sus contraseñas e información bancaria, así como darles el control de su ordenador (www.webroot.com).
Los delincuentes usan tácticas de ingeniería social ya que para ellos es por lo general más fácil explotar su inclinación natural a confiar que descubrir la manera de hackear el software. Por ejemplo, es mucho más fácil de engañar a alguien para que te den sus contraseñas que tratar hackear la contraseña (a menos que la contraseña es muy débil).
La seguridad se trata de saber en quién y qué confiar. Saber cuándo y cuándo no confiar en la palabra de una persona; cuando a confiar en que la persona que se está comunicando es de hecho la persona que crees que se está comunicando; cuando confiar que una página web es o no es legítima; cuando confiar que la persona en el teléfono es o no es legítima; cuando proporcionar su información es o no es una buena idea.
Pregunte a cualquier profesional de la seguridad y ellos le dirán que el eslabón más débil en la cadena de seguridad es el ser humano que acepta a una persona o situación a su valor nominal. No importa cuántas cerraduras y cerrojos están en sus puertas y ventanas, o si tienen perros guardianes, sistemas de alarma, focos, vallas con alambre de púas, y personal de seguridad armado; si confías en la persona en la puerta que dice que es el repartidor de pizza y lo dejó entrar sin consultar primero a ver si es legítimo, usted está completamente expuesto a cualquier riesgo que representa.
Ataques más comunes
Un correo electrónico de un amigo. Si un delincuente se las arregla para hackear la contraseña del correo electrónico de una persona tienen acceso a la lista de contactos de esa persona. Si la persona usa la misma contraseña en todas partes, es probable que tengan acceso a otras cuentas también incluyendo los contactos.
Una vez que el criminal tiene esa cuenta de correo electrónico bajo su control, enviará mensajes de correo electrónico a todos los contactos de la persona o dejará mensajes en todas las páginas sociales de sus amigos y, posiblemente, en las páginas de los amigos de los amigos de la persona.
Estos mensajes pretenden aprovecharse de tu confianza y curiosidad:
- Estos pueden contener un enlace y, debido a que proviene de un amigo y usted es curioso, confiará en el enlace y accede. Este enlace estará infectado con un malware por lo que el criminal puede hacerse cargo de su máquina y recoger el información de sus contactos y engañarlos al igual que lo han engañado a usted.
- También pueden contener una descarga (download) con fotos, música, películas o documentos, etc, que tiene programa malicioso dentro. Si usted lo descarga, lo que es probable que haga ya que cree que es de su amigo, se infecta. Ahora, el criminal tiene acceso a tu máquina, cuenta de correo, cuenta y contactos de redes sociales, y el ataque se extiende a todos tus conocidos.
Estos mensajes pueden contener una historia convincente o pretexto:
- Pedido de ayuda urgente. Su "amigo" se ha quedado atascado en el país X, ha sido robado, golpeado, y se encuentra en el hospital. Ellos necesitan que usted envíe dinero para que puedan llegar a casa y te dicen cómo enviar el dinero al criminal.
- Alguien le pide que usted done dinero a un recaudador de fondos de caridad, o alguna otra causa, con instrucciones sobre cómo enviar el dinero al criminal.
Phishing. Típicamente, un phisher envía un mensaje de correo electrónico, mensaje instantáneo, o mensaje de texto que parece provenir de una popular compañía, banco, escuela o institución legítima.
Estos mensajes suelen tener un escenario o una historia:
- El mensaje puede exponer que hay un problema que requiere que usted “verifique” una información oprimiendo el enlace que aparece y suministrando una información en una forma. La ubicación del enlace puede parecer muy legítima con todos los logotipos y el contenido correcto (de hecho, los criminales pueden haber copiado el formato y el contenido del sitio legítimo exacto). Debido a que todo parece legítimo, usted confía en el correo electrónico y el sitio falso y proporciona cualquier información que la forma le está pidiendo. Estos tipos de estafas de phishing suelen incluir una advertencia de lo que sucederá si no actúa pronto. Esto es debido a que los criminales saben que si pueden conseguir que usted actúe antes de pensar, es más probable que caiga en el phishing.
- El mensaje puede notificarle que usted es un “ganador”. Tal vez el mensaje dice ser de una lotería o sobre un pariente muerto, o la persona millonésima para hacer clic en su sitio. Para recibir las “ganancias” usted tiene que proporcionar información sobre su ruta bancaria o dar su dirección y número de teléfono para que puedan enviar el premio. También se le puede pedir que demuestre que usted es usted incluyendo su número de Seguro Social. Estos se conocen como “Greed Phishes”. Si el pretexto de la historia no es convincente, y la gente quiere lo que se ofrece, la persona caerá en la trampa de regalar su información para luego ver su cuenta bancaria vaciada o con identidad su robada.
- El mensaje puede estar solicitando ayuda. Aprovechándose de su bondad y generosidad, los delincuentes piden ayuda o apoyo por cualquier desastre, para una campaña política o de caridad que está caliente en este momento.
Escenarios con carnadas. Estos esquemas de ingeniería social saben que si ofrecen algo que la gente quiere, mucha gente va a morder el anzuelo. A menudo se encuentran en las páginas web que ofrecen descargas de archivos particulares (una nueva película, o música). Sin embargo, los esquemas también se encuentran en sitios de redes sociales o sitios web maliciosos que usted encuentra a través de resultados de búsqueda. El esquema también puede aparecer como una increíblemente buena oferta en sitios clasificados, sitios de subastas, etc.
Las personas que toman la carnada pueden estar infectadas con programas maliciosos que pueden generar otros problemas contra ellos y sus contactos. Estas personas podrían perder su dinero sin recibir su producto adquirido y, si fueron lo suficientemente tontos como para pagar con un cheque, pueden encontrar su cuenta bancaria vacía.
Una respuesta a una pregunta que nunca tuviste. Los criminales pueden aparentar estar respondiendo a una “solicitud de ayuda” de una compañía, a la misma vez que ofrecen otro tipo de ayuda. Estos seleccionan las empresas que millones de personas utilizan como proveedoras de software o un banco. Si usted no utiliza el producto o servicio, usted debe ignorar el correo electrónico, llamada telefónica o mensaje. Pero si usted utiliza el servicio, hay una buena probabilidad de que usted responda ya que probablemente desea que le ayuden con el problema.
Por ejemplo, a pesar de que usted sabe que usted no hizo originalmente una pregunta, probablemente tenga un problema con el sistema operativo de su computadora y desea aprovechar esta oportunidad para que se lo arreglen. En el momento en que usted responda usted ha comprado la historia del criminal, les ha dado su confianza y le ha abierto la puerta para el robo.
Creando desconfianza. Algunos ingenieros sociales tratan de crear desconfianza o iniciar conflictos. Estas acciones las llevar a cabo personas que usted conoce y que está enojada con usted. También es realizada por gente desagradable tratando de sembrar discordia y caos. Son personas que desean crear primero la desconfianza en su mente sobre los demás para que luego puedan intervenir como héroe y ganar su confianza.
Esta forma de ingeniería social a menudo comienza por el acceso a una cuenta de correo electrónico u servicios de mensajería instantánea, redes sociales, chat, o foros. Logran esto ya sea por la piratería informática (Hack), la ingeniería social, o simplemente adivinando contraseñas muy débiles.
APT – Advance Persistent Threats
Una amenaza persistente avanzada (APT) se refiere a un ciberataque lanzado por un atacante con importantes medios, organización y motivación para llevar a cabo un asalto sostenido contra un objetivo. Una APT es avanzada en el sentido de que emplea métodos de ataque secretos y múltiples para comprometer el objetivo, que es a menudo un recurso de alto valor para una empresa o gobierno. El ataque es difícil de detectar, eliminar y atribuir.
Una vez que se logra acceso al objetivo, las puertas están abiertas para que el atacante tenga acceso continuo al sistema comprometido. Un APT es persistente porque el atacante puede pasar meses recolectando información de inteligencia sobre el objetivo y utiliza esa información para lanzar múltiples ataques durante un período prolongado de tiempo. La peligrosidad de estos ataques radica en que tiene el objetivo de obtener información altamente confidencial.
Una APT tiene tres objetivos principales: El robo de información sensible desde el sistema, la vigilancia de un sistema y el sabotaje del mismo. El atacante opera con la expectativa de ser capaz de lograr sus objetivos sin ser detectado.
Los autores de las APT suelen utilizar conexiones fiables para obtener acceso a las redes y los sistemas. La conexión de confianza puede ser mediante un colaborador interno o un empleado involuntario que cae presa de un ataque de phishing.
Las APT se diferencian de otros ataques cibernéticos en varias maneras. A menudo utilizan herramientas personalizadas y técnicas de intrusión, como el aprovechamiento de vulnerabilidades, virus, gusanos y rootkits, que están diseñados específicamente para penetrar el sistema de una organización. Ocurren durante largos períodos de tiempo durante el cual los atacantes se mueven lentamente y en silencio para evitar ser detectado. Están dirigidas a una serie limitada de objetivos de alto valor, tales como instalaciones gubernamentales, contratistas de defensa y fabricantes de productos de alta tecnología.
Internal Threats
En general, el término "amenaza interna" se refiere a los empleados o contratistas que, debido a su acceso a los datos sensibles, están en condiciones de ayudar o crear un incidente de seguridad. Son acciones dañinas que violan al menos uno de los principios fundamentales de la seguridad de la información (integridad, disponibilidad y confidencialidad) y se originan desde el interior del sistema de información de una empresa.
Aunque hay muchos tipos diferentes de amenazas internas, las más comunes son:
- Cualquier violación de las redes y procedimientos de la seguridad de la red interna que puedan conducir al robo de datos
- Búsqueda o visualización no autorizada, modificación o destrucción de datos confidenciales
- Búsqueda exhaustiva de contraseñas e instalación de virus, troyanos, rootkits y otros programas maliciosos en la red
- Robo de datos específicos utilizando medios de almacenamientos portátiles, como discos duros, flash USB, lectores de tarjeta, CD o DVD con el fin de copiar y portar.
- Robo o pérdida de los dispositivos que contienen datos confidenciales: Computadoras portátiles, discos duros, tabletas o teléfonos.
- Robo total o parcial de bases de datos corporativas
- La instalación no autorizada de las conexiones de red WiFi con el fin de extraer los datos confidenciales
- Impresión de documentos importantes con el fin de eliminar las copias impresas de las instalaciones de la empresa
- Descarga de contenido malicioso de la internet
BYOD
Mientras BYOD puede ser importante para la productividad del empleado, el riesgo de que la empresa pierda data corporativa sensitiva debido a una pobre o inexistente política de BYOD es más importante. De acuerdo con un estudio global sobre los riesgos de la movilidad realizado por el Instituto Ponemon, más de la mitad de los 601 profesionales de la seguridad de TI encuestados en el 2012 dijeron que datos confidenciales se han perdido en sus empresas debido a los teléfonos inteligentes y otros dispositivos inseguros que se introducen al lugar de trabajo.
Las amenazas a la empresa vinculadas a la propiedad de un dispositivo móvil por parte de un empleados puede ser tan complejo como un sofisticado ataque de un malware diseñado para espiar la actividad de navegación de los empleados o tan simple como un teléfono perdido en cualquier lugar. Estas amenazas están forzando a los equipos de seguridad a introducir nuevas políticas para reducir el riesgo. Hacerlas cumplir sin afectar la productividad en un acto de equilibrio. Los expertos dicen que el primer paso es entender los riesgos percibidos y analizar la postura de seguridad de la compañía.
Los riesgos más importantes que enfrentan las empresas relacionados con BYOS son las siguientes:
- Dispositivos perdidos o robados. Dispositivos perdidos o robados son el mayor riesgo para las organizaciones que permiten que los empleados se conecten sus dispositivos de propiedad personal a la red corporativa.
- Infecciones en Teléfonos Android. Los proveedores de seguridad que monitorean las tendencias de malware móvil han visto un aumento constante en el malware móvil dirigido a dispositivos Google Android. El grueso de la amenaza se compone de troyanos enviados mediante mensajes de texto dirigidos a consumidores.
- Los servicios de almacenamiento en la nube. Los servicios de almacenamiento en la nube ofrecidos en las plataformas móviles son una preocupación para la fuga de datos.
- Demasiados permisos. Los expertos en seguridad dicen que las aplicaciones con demasiados permisos pueden ser una preocupación para la fuga de datos. La concesión de demasiados permisos podría exponer a los contactos, las direcciones de correo electrónico y los datos de localización del dispositivo a gente sin escrúpulos.
- Adware y Spyware. Muchas de las aplicaciones móviles de libre acceso recogen datos tanto sobre el propietario del dispositivo como sea posible, en un esfuerzo para vender los datos a las redes de publicidad. Una aplicación móvil es considerada como adware o spyware por proveedores de seguridad cuando esta recopila información sin solicitar el permiso del propietario. Algunas aplicaciones también instalan agresivos motores de búsqueda de publicidad en el dispositivo para enviar a los usuarios a páginas web de publicidad.
- Email expuesto. Si el propietario del dispositivo no establece un código (PIN) para bloquear el dispositivo, al caer un teléfono inteligente o tableta en las manos equivocadas podrían dar a una persona no autorizada el acceso sin restricciones al correo electrónico hasta que el dispositivo se ha reportado perdido y los datos borrados. Algunas organizaciones están aplicando políticas para solicitar a los usuarios iniciar sesión cada vez que desean revisar su correo electrónico en su dispositivo.
- Puntos de acceso inalámbrico. Algunos dispositivos de los empleados están configurados para identificar y tratar de conectarse a cualquier punto de acceso inalámbrico abierto para recuperar datos de Internet. Mientras que la mayoría de las empresas proporcionan puntos de acceso seguro para los huéspedes, puntos de acceso inalámbricos abiertos en algunos lugares (hoteles, residencias, etc.) pueden poner a los propietarios de dispositivos en riesgo de ataques y otras amenazas que permiten a un atacante espiar a su actividad.
- Sistemas operativos vulnerables. Los empleados pueden exponer los datos corporativos al no aplicar las actualizaciones de seguridad de software en sus dispositivos. Otras complicaciones están relacionadas al proceso de actualización del software para algunos dispositivos. Apple insistentemente anuncia las actualizaciones de software para los usuarios de iPhone, mientras que los dispositivos con Android de Google son más dependientes de la empresas proveedora del servicios de telefonía y de fabricante del teléfono para las actualizaciones, lo que deja muchas veces vulnerabilidades disponibles para los atacantes por un período mayor de tiempo.
Cloud Security
A un ritmo sin precedentes, la computación en la nube ha transformado simultáneamente a empresas y gobiernos, y ha creado nuevos retos de seguridad. Entre los riesgos de seguridad más significativos asociados con la computación en nube es la tendencia a pasar por alto los departamentos de Tecnología de la Información (IT). Aunque el cambio a tecnologías de nube es muy económico y rápido, hacerlo podría socavar importantes políticas, procesos y mejores prácticas de seguridad a nivel de negocio. En ausencia de estas normas vinculadas al uso de la nube, las empresas son vulnerables a violaciones de la seguridad de la empresa que pueden borrar rápidamente los logros alcanzados debido a cambio hacia la nube.
Una encuesta realizada por el Cloud Security Alliance en el 2013, identificó las 9 amenazas más importantes relacionadas con el uso de la nube en las empresas:
- Acceso no autorizado a la información (Data Breach). Es un incidente de seguridad donde información sensitiva, protegida y confidencial es copiada, compartida, vista, robada o usada por una persona no autorizada para hacerlo. El que una persona tenga acceso a información corporativa sin tener autorización pudo ser resultado de una acción maliciosa intencional o un descuido de un empleado. Información sobre aspectos financieros, salud, expedientes de los estudiantes, credenciales de los empleados, propiedad intelectual o decisiones administrativas pueden estar expuestas. Desafortunadamente, mientras que la pérdida y la fuga de datos son dos amenazas serias para la computación en la nube, las medidas para mitigar uno de estas amenazas pueden exacerbar la otra. Usted puede ser capaz de encriptar los datos para reducir la probabilidad de que una persona no autorizada acceda a la información. Pero si pierde su clave de la encripción, perderá los datos también. De lo contrario, usted puede decidir mantener copias de seguridad (Offline) de sus datos para reducir el impacto de una significativa pérdida de información, pero esto aumenta su exposición a que violen el acceso a información confidencial.
- Pérdida de información. La información almacenada en la nube también puede ser perdida por otras razones. Cualquier eliminación accidental de información por parte del proveedor de servicio en la nube, o peor, una catástrofe física, como un incendio o un terremoto, podría llevar a la pérdida permanente de los datos de los clientes a menos que haya toma adecuada medidas para crear copias de seguridad de la información. Una pérdida de información también puede ocurrir si un usuario, buscando documentos en la nube, elimina accidentalmente archivos previamente almacenados.
- Robo o hackeo de cuenta. Métodos de ataque como el Phishing o la explotación de las vulnerabilidades de software se utilizan para robar las credenciales que requiere un servicio en la nube. El robo de cuentas de servicio de la nube es más probable y grave si las credenciales de acceso son similares a las que usa para ingresar a otros servicios (Google, Yahoo, Facebook, etc.). Si un criminal obtiene acceso a sus credenciales, este puede espiar sus actividades y transacciones, manipular sus datos, ingresar información falsificada y redirigir sus clientes a sitios ilegítimos.
- Denegación de Servicio. Estos ataques son dirigidos a evitar que usuarios de algún servicio de la nube puedan acceder a la información o aplicaciones que posee. Al forzar a la víctima a consumir grandes cantidades de recursos del sistema tales como memoria, ancho de banda o espacio en el disco, el atacante provoca una disminución dramática en la velocidad del funcionamiento del sistema, dejando a todos los usuarios de los servicios en la nube confundidos y molestos.
- Interno Malicioso (Malicious Insiders). La amenaza del interno malicioso en una organización se refiere al empleado actual o anterior, contratista u otro socio comercial que tiene o tenía acceso autorizado a la red, al sistema o a la información de la organización, y hace uso indebido del acceso que posee de tal manera que afecta negativamente la confidencialidad, integridad y disponibilidad de la información o los sistemas de la organización. Si el interno malicioso tiene acceso a una cuenta de uno o más servicios en la nube que utiliza la empresa para almacenar información u otra función crítica, la empresa enfrenta un serio problema de seguridad.
Botnets
El término bot es la abreviatura de robot. Los delincuentes buscan distribuir software malintencionado (también conocido como malware) para convertir su computadora en un bot (también conocido como un zombie). Cuando esto ocurre, el equipo puede realizar tareas automatizadas a través de Internet sin que usted lo sepa. Los delincuentes suelen utilizar los bots para infectar a un gran número de computadoras. Estos equipos forman una red de bots. Los delincuentes usan los botnets para enviar correos electrónicos Spams, esparcir virus, atacar computadoras y servidores y cometer otros tipos de delitos y fraudes. Si su computadora se convierte en parte de un botnet, esta puede sufrir reducir su velocidad de funcionamiento y, posiblemente, tú estés ayudando sin querer a los delincuentes.
Denegación de Servicio
Estos ataques son dirigidos a evitar que usuarios de algún servicio en el internet puedan acceder a la información o aplicaciones que posee. Al forzar a la víctima a consumir grandes cantidades de recursos del sistema tales como memoria, ancho de banda o espacio en el disco, el atacante provoca una disminución dramática en la velocidad del funcionamiento del sistema, dejando a todos los usuarios de un servicio en particular, confundidos y molestos.
Un ataque de denegación de servicio puede inhabilitar tu computadora o red. Dependiendo de la naturaleza de la organización, estos ataques pueden desconectar a tu empresa del mundo cibernético.
Ejemplo de estos ataques son (www.cert.org):
- Intentos de inundar una red. Esta acción causa que se detenga el tráfico de información a través de la red.
- Intentos de interrumpir las conexiones entre dos máquinas, impidiendo el acceso a un servicio.
- Intentos de impedir que un individuo en particular tenga acceso a un servicio.
- Intentos de interrumpir el servicio a un sistema o persona en particular.
El uso ilegítimo de recursos también puede resultar en denegación del servicio mediante la utilización no autorizada de la conexión ftp para almacenar copias ilegales consumir espacio en disco o incrementar drásticamente el tráfico en la red.