====== ¿Cuáles son Los tipos de ataque más típicos hoy en día? ====== ===== Malware ===== Malware o “software malicioso” es un término amplio que describe cualquier programa o código malicioso que es dañino para los sistemas. El malware hostil, intrusivo e intencionadamente desagradable intenta invadir, dañar o deshabilitar ordenadores, sistemas informáticos, redes, tabletas y dispositivos móviles, a menudo asumiendo el control parcial de las operaciones de un dispositivo. Al igual que la gripe, interfiere en el funcionamiento normal. La intención del malware es sacarle dinero al usuario ilícitamente. Aunque el malware no puede dañar el hardware de los sistemas o el equipo de red —con una excepción que se conozca (vea la sección Android de Google)—, sí puede robar, cifrar o borrar sus datos, alterar o secuestrar funciones básicas del ordenador y espiar su actividad en el ordenador sin su conocimiento o permiso. Denegación de servicios (DOS) Una de las modalidades de ataque más antigua y que aprovecha una "vulnerabilidad" que la da el comportamiento nativo de un servicio, que es obviamente, responder a los requerimientos, el ataque consiste en hacer peticiones recurrentes y concurrentes a un servidor de tal forma que el servidor termine por agotar sus recursos y deje de responder. Existen dos modalidades básicas de denegación de servicios: DoS y DDoS. El primero se realiza desde una ip, el segundo, el más complejo, se realiza en forma concurrente desde muchas IPs, un ejemplo clásico hoy en día es las famosas "botnets" que son redes de muchos computadores "robot" que realizan múltiples ataques en forma simultánea. Asimismo, muchos de estos robots son capaces de inyectar malware en las máquinas atacadas, convirtiéndolas a su vez en "robot". ===== Phishing ===== Denominamos Phishing al conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por otra persona u organización de confianza (suplantado efectivamente la identidad de este tercero de confianza), para manipularla y hacer que realice acciones que no debería (por ejemplo, revelar información confidencial o hacer click en un enlace). Para que el engaño sea eficiente, habitualmente se hace uso de la ingeniería social explotando los instintos sociales de la gente como es de ayudar o un otro. También mediante la vaniddad inherente a todo ser humano, explotando por ejemplo su necesidad de ser reconocido, baja autoestima, o incluso su necesidad de un nuevo empleo. La forma más efectiva de llegar a la víctima es por ejemplo, enviando correos electrónicos o mostrando avisos publicitarios desde una "web válida y conocida" donde se le invita a seguir un enlace. A veces también explotan vulnerabilidades de su browser, teléfono celular u otros. Habitualmente el objetivo es robar información, pero otras veces es instalar malware, sabotear sistemas, o robar dinero a través de fraudes. El phising está considerada una de las técnicas de robos de datos sensiblesmás utilizada. Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas. Pero dado el caracter "social" y "humano" de este tipo de ataque, nada parecer ser efectivo. ===== Spoofing ===== El spoofing o suplantación de identidad, hace referencia al uso de técnicas a través de las cuales un atacante, generalmente con usos maliciosos o de investigación, se hace pasar por una entidad distinta a través de la falsificación de los datos en una comunicación. Conocemos varios tipos de suplantación: ==== Suplantación de IP ==== Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP original. Por ejemplo si se envía un ping (paquete icmp echo request) suplantado, la respuesta será recibida por el host al que pertenece la IP legalmente. ==== Suplantación de ARP ==== La suplantación de identidad por falsificación de tabla ARP se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. ==== Suplantación de DNS ==== Se trata del falseamiento de una relación entre nombre de dominio y una IP ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación nombre de dominio e IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables (DNS Rogue). Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) la caché DNS de otro servidor diferente. ==== Suplantación de web ==== Suplantación de una página web real (no confundir con phishing). Enruta la conexión de una víctima a través de una página falsa hacia otras páginas web con el objetivo de obtener información de dicha víctima (páginas web vistas, información de formularios, contraseñas etc.). La página web falsa actúa a modo de proxy, solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple enlace. La suplantación de web es difícilmente detectable; quizá la mejor medida es algún complemento del navegador que muestre en todo momento la IP del servidor visitado: si la IP nunca cambia al visitar diferentes páginas web significará que probablemente se esté sufriendo este tipo de ataque. Este ataque se realiza mediante una implantación de código el cual robará la información. Usualmente se realizan páginas fantasmas en las cuales se inyectan estos códigos para poder sacar información de las víctimas. ==== Suplantación de correo electrónico ==== Suplantación de la dirección de correo electrónico de otras personas o entidades. Esta técnica es usada con asiduidad para enviar bulos por correo electrónico como complemento perfecto para la suplantación de identidad y para enviar mensajes basura, ya que es sencilla y solo requiere utilizar un servidor SMTP configurado para tal fin. Para protegerse se debería comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado. Las medidas recomendadas para prevenir estos ataques son crear registros SPF y firmas digitales DKIM. ===== Inyección de código ===== Llamamos Inyección de código a la posibilidad de "inyectar" código arbitrariamente a una aplicación, fuera de las instrucciones que tiene definidas por programación y ocurre cuando es posible enviar datos inesperados a un intérprete de código. Estos problemas son muy comunes en código antiguo. Se encuentran frecuentemente en consultas SQL, LDAP, Xpath o NoSQL; comandos de sistema operativo; analizadores sintácticos de XML; cabeceras SMTP; parámetros de funciones; etc. Estos defectos son fáciles de encontrar cuando se examina el código, sin embargo son difíciles de descubrir mediante pruebas funcionales. Existen utilidades de escaneo que pueden ayudar a encontrar estos problemas. Una inyección de código puede resultar en la pérdida o corrupción de datos, falla de respuesta a acciones o denegación de acceso. Una inyección puede incluso tomar control total de un sistema. Las técnicas de inyección de código son populares en el hacking y cracking para conseguir acceder a información restringida, para escalar privilegios o para conseguir acceder a sistemas restringidos. Este tipo de ataques pueden ser usados con objetivos malintencionados para conseguir diversos fines como por ejemplo: *Modificar valores arbitrariamente en una base de datos mediante inyección de SQL. El impacto de esta acción puede ir desde cambios en la apariencia de una página web hasta comprometer datos sensibles. *Instalar malware o ejecutar código malintencionado en un servidor mediante la inyección de código de scripting (como PHP o ASP). *Aumentar los privilegios como superusuario utilizando vulnerabilidades del sistema operativo. *Atacar a usuarios de páginas web con inyecciones de código HTML o scripts. ===== DNS poisoning (Envenenamiento DNS) ===== El Envenenamiento de caché DNS o envenenamiento de DNS (DNS cache poisoning o DNS poisoning) es una situación creada de manera maliciosa o no deseada que provee datos de un servidor de nombres de dominio (DNS) que no se origina de fuentes autoritativas DNS. Esto puede pasar debido a diseños inapropiados de software, falta de configuración de nombres de servidores y escenarios maliciosamente diseñados que explotan la arquitectura tradicionalmente abierta de un sistema DNS. Una vez que un servidor DNS ha recibido aquellos datos no autentificados y los almacena temporalmente para futuros incrementos de desempeño, es considerado envenenado, extendiendo el efecto de la situación a los clientes del servidor. Normalmente, un computador conectado a Internet utiliza un servidor DNS proporcionado por el proveedor de servicios de Internet (ISP). Este DNS generalmente atiende solamente a los propios clientes del ISP y contiene una pequeña cantidad de información sobre DNS almacenada temporalmente por usuarios previos del servidor. Un ataque de envenenamiento (poisoning attack) de un solo servidor DNS de un ISP puede afectar a los usuarios atendidos directamente por el servidor comprometido o indirectamente por los servidores dependientes del servidor. Esta técnica puede ser usada para reemplazar arbitrariamente contenido de una serie de víctimas con contenido elegido por un atacante. Por ejemplo, un atacante envenena las entradas DNS de direcciones IP para un sitio web objetivo, reemplazándolas con la dirección IP de un servidor que él controla. Luego, el atacante crea entradas falsas para archivos en el servidor que él controla con nombres que coinciden con los archivos del servidor objetivo. Estos archivos pueden contener contenido malicioso, como un virus o malwar. Un usuario cuyo computador ha referenciado al servidor DNS envenenado puede ser engañado al creer que el contenido proviene del servidor objetivo y sin saberlo descarga contenido malicioso. ===== Ingeniería Social ===== La ingeniería social es la práctica ilegítima de obtener información confidencial a través de la manipulación de usuarios legítimos. Es un conjunto de técnicas que pueden usar ciertas personas para obtener información, acceso o permisos en sistemas de información que les permitan realizar daños a la persona u organismos comprometidos y es utilizado en diversas formas de estafas y suplantacion de identidad. El principio que sustenta la ingeniería social es el de que, en cualquier sistema, los usuarios son el "eslabón más débil de la cadena". Investigaciones recientes realizadas en 2020 han indicado que la ingeniería social será uno de los desafíos más destacados de la próxima década. Tener competencia en ingeniería social será cada vez más importante para las organizaciones y los países, debido también al impacto en la geopolítica. La ingeniería social plantea la cuestión de si nuestras de cisiones estarán informadas con precisión si nuestra información primaria está diseñada y está sesgada.