CiberSeguridad
2024: Ataques cibernéticos más frecuentes. (Diciembre de 2024)
Según expone Infobae, el 90% de las organizaciones ha enfrentado al menos una amenaza cibernética en 2024. Cada entidad se ve sometida a un promedio de 1,876 intentos de intrusión cada semana, lo que representa un incremento del 75% en comparación con el mismo periodo de 2023. Estas estadísticas sugieren que, para el año 2025, los costos relacionados podrían ascender a 10.5 billones de dólares.
1. Ataques de ingeniería social
La ingeniería social se define como un proceso de manipulación que induce a un individuo a comprometer su seguridad en línea, facilitando la divulgación de información confidencial. Los más constantes son:
Es una táctica maliciosa que se basa en manipular la confianza del individuo en marcas, instituciones o personas. Un claro ejemplo es el correo electrónico fraudulento que simula provenir de su banco, instándole a hacer clic en un enlace engañoso que lo dirige a una página web fraudulentamente diseñada para imitar la de su entidad financiera. Allí, se le solicita que ingrese información sensible de su tarjeta de crédito, bajo pretextos falsos.
Cuando estos ataques se realizan a través de mensajes de texto, se clasifican como smishing; si emplean mensajes de voz, se conocen como vishing. Por otro lado, los ataques que son específicamente dirigidos a una persona o empresa concreta adoptan el término spear phishing.
La técnica de cebo implica ofrecer un producto, servicio o software gratuito durante un período limitado, con el objetivo malicioso de instalar malware en el ordenador de la víctima o sustraer información personal. Un método comúnmente utilizado es dejar un pendrive infectado en lugares estratégicos, que los incautos insertan en sus dispositivos, activando así el ataque.
El pretexting es un enfoque en el cual el delincuente elabora una narrativa basada en falsedades, destinada a engañar a su víctima y extraer datos sensibles. El atacante induce a su objetivo a creer que tiene una necesidad urgente de información específica para llevar a cabo una tarea crucial. Un ejemplo representativo de esta táctica es cuando el criminal se hace pasar por un técnico del servicio informático de una empresa, solicitando a un empleado sus credenciales con el propósito de "verificar" la seguridad del sistema.
Es una estrategia en la que un ciberdelincuente ofrece un servicio o producto a cambio de información confidencial. Un ejemplo común de esto es cuando un atacante se hace pasar por un proveedor de Internet, promoviendo una mejora en la velocidad de transmisión de datos. Para llevar a cabo esta táctica, el delincuente requiere acceso a la red personal o profesional de la víctima.
El atacante presenta alertas falsas de virus con el fin de que la víctima descargue software malicioso. Esto puede manifestarse en forma de ventanas emergentes que advierten sobre la presencia de un virus y que instan a la víctima a descargar un antivirus. Sin embargo, dicho software es en realidad malicioso y tiene como objetivo robar o cifrar información personal.
Se centran en engañar a grupos de personas que frecuentan una página web específica relacionada con servicios o productos. El concepto toma su nombre de la estrategia utilizada por depredadores que esperan en lugares donde sus presas suelen acudir para beber, lo que ilustra cómo los atacantes esperan a que sus víctimas visiten sitios comprometidos para lanzar el ataque.
Es una estafa mediante la cual un atacante redirige a los usuarios de un sitio web legítimo a un sitio falso para robar sus nombres de usuario, contraseñas y otra información de índole confidencial, tales como preguntas de seguridad. Esta forma de ataque secuestra la configuración del navegador del usuario o ejecuta programa malware en segundo plano, con el objetivo de robar tu identidad.
Son ataques que explotan sitios web estáticos; el ataque afecta directamente al navegador, ya que el atacante toma el control de una pestaña recién abierta y secuestra la pestaña original desde donde se abrió. Estas nuevas pestañas reemplazan o modifican la pestaña original y redirigen al usuario a sitios fraudulentos para que los estafadores puedan robar datos de inicio de sesión u otra información crucial.
Se refiere al acceso no autorizado que un atacante obtiene a cuentas de correo electrónico. Los ciberdelincuentes utilizan diversas técnicas para infiltrarse en estas cuentas, por lo que es útil revisar algunas de estas tácticas.
Corresponde a una táctica de ingeniería social que permite a los atacantes acceder a cuentas de correos electrónicos empresariales. El objetivo es suplantar la identidad de empleados de alto nivel para llevar a cabo estafas dirigidas a socios, empleados y clientes. Los ataques BEC son especialmente problemáticos para las empresas que realizan transferencias electrónicas y que tienen clientes en otros países.
Los ataques de spam se producen cuando ciberdelincuentes envían una gran cantidad de correos electrónicos a sus víctimas. Estos mensajes pueden ser generados por personas reales o por botnets, que son redes de computadoras infectadas con malware y controladas por un atacante. El objetivo de estos ataques es engañar a los usuarios para que descarguen malware o revelen información sensible.
2. Ransomware y extorsión
El malware es un tipo de software que entra en los dispositivos para robar información privada. Entre ellos, el ransomware es particularmente peligroso, ya que bloquea los dispositivos y solo se puede volver a acceder a ellos si la víctima paga un rescate a los cibercriminales. Un informe de Veeam, publicado en junio de 2024, indica que las víctimas de ataques de ransomware pierden, en promedio, alrededor del 43% de sus datos. Esto significa que, si usted sufre un ataque de ransomware, hay una gran posibilidad de que casi la mitad de sus datos se pierdan para siempre.
La extorsión es un delito donde un cibercriminal obliga a una persona o a una organización a pagar dinero, ya sea bloqueando sus dispositivos o amenazando con revelar su información personal. En este contexto, los cibercriminales piden un rescate para devolver acceso a los archivos. Aunque el ransomware y la extorsión pueden parecer similares, hay una diferencia importante. La extorsión abarca una variedad de delitos cibernéticos, mientras que el ransomware es solo un tipo específico de malware. A menudo, los cibercriminales que cometen extorsiones utilizan el ransomware como una herramienta para obtener dinero o información privada.
Es un tipo de malware diseñado para cifrar los archivos de la víctima, lo que los hace inaccesibles hasta que se pague un rescate. Ejemplos notorios de este malware, como CryptoLocker y WannaCry, han causado un daño significativo en años pasados y siguen siendo amenazas relevantes en 2024.
Cuando un dispositivo se infecta con crypto ransomware, el malware activa un proceso de cifrado utilizando algoritmos de alta seguridad, como el AES (Advanced Encryption Standard) o RSA (Rivest-Shamir-Adleman). Estos algoritmos convierten los archivos en un formato que no se puede leer, y solo se pueden restaurar mediante una clave de descifrado específica. Una vez que se completa el cifrado, el malware genera una nota de rescate que solicita un pago, normalmente en criptomonedas como Bitcoin o Monero, debido a la dificultad de rastrear estas transacciones.
Dentro de las diversas modalidades de ransomware, el crypto ransomware se considera particularmente peligroso debido al robusto nivel de encriptación que utiliza, lo que complica enormemente la recuperación de los archivos sin la clave adecuada.
A diferencia del crypto ransomware, el locker ransomware no cifra archivos individuales, sino que bloquea completamente el acceso a la computadora o sistema. Esto es especialmente devastador para empresas cuyos sistemas centrales se ven comprometidos. Aunque no afecta los archivos directamente, sin acceso a los sistemas, la operación de cualquier empresa puede detenerse por completo. Ejemplos recientes incluyen el WinLocker, que ha tenido un repunte en 2024.
El locker ransomware bloquea la pantalla o el acceso a la interfaz de usuario del dispositivo infectado. Al iniciar el sistema, en lugar de acceder al escritorio o la interfaz habitual, la víctima se enfrenta a un mensaje de rescate que solicita un pago para recuperar el acceso. Este mensaje frecuentemente incluye instrucciones sobre cómo realizar el pago, a menudo en criptomonedas, y puede presentar un temporizador, lo que genera una presión adicional para que la víctima cumpla con el pago dentro de un tiempo determinado.
Dentro de las diferentes categorías de ransomware, el ransomware de tipo locker es menos perjudicial que el ransomware de tipo crypto, ya que no cifra los archivos, aunque continúa siendo altamente disruptivo al bloquear el uso normal del dispositivo.
Representa una de las amenazas más alarmantes en la evolución de los ataques de ransomware. Este innovador modelo, que se deriva del concepto de "software como servicio" (SaaS), otorga a los ciberdelincuentes sin experiencia técnica avanzada la capacidad de ejecutar ataques de ransomware de manera sencilla y accesible. En lugar de desarrollar su propio código malicioso, estos delincuentes pueden fácilmente "alquilar" o "comprar" versiones preconfiguradas de ransomware, lo que ha culminado en una proliferación global de ataques de esta naturaleza.
El funcionamiento del RaaS se asemeja al de un negocio en línea. Los creadores de ransomware, que poseen habilidades técnicas excepcionales, desarrollan el malware y lo distribuyen a través de la dark web o foros especializados. Aquellos que utilizan estas plataformas pueden carecer de la experiencia necesaria para crear software malicioso, pero están armados con las herramientas adecuadas para llevar a cabo sus propios ataques. Así, el ransomware como servicio (RaaS) convierte a delincuentes menos experimentados en actores significativos del cibercrimen, permitiéndoles acceder a kits listos para su implementación y orquestar campañas de ataque efectivas.
El doxware añade una nueva capa de presión sobre la víctima. Además de cifrar archivos o bloquear sistemas, los atacantes amenazan con filtrar o hacer públicos datos sensibles si no se paga el rescate. En 2024, este tipo de ataque ha sido usado con mayor frecuencia contra empresas que manejan información crítica, como instituciones financieras y hospitales. Entre los tipos de ransomware, el doxware se destaca por combinar el cifrado con la extorsión pública, aumentando el riesgo y el impacto potencial para las víctimas.
Combina el cifrado de datos típico del ransomware con una amenaza de divulgación pública o venta de los datos robados. En los ataques de doxware, los ciberdelincuentes primero obtienen acceso a la red de una organización, exfiltran (extraen) información confidencial y luego lanzan el ataque de cifrado para bloquear los archivos.
Una vez que los sistemas están bloqueados, los atacantes exigen un rescate, generalmente en criptomonedas, no solo para descifrar los archivos, sino también para evitar la publicación o venta de la información sensible que han robado. Este tipo de extorsión es común en ciertos tipos de ransomware que no solo se limitan a cifrar los datos, sino que también amenazan con divulgar información comprometida. La información robada puede incluir: Datos financieros, datos personales, propiedad intelectual (patentes, estrategias de negocios, información sobre productos o servicios futuros) o datos médicos.
Este malware se propaga a través de aplicaciones maliciosas, mensajes de texto fraudulentos, correos electrónicos de phishing y enlaces dañinos. Estas amenazas pueden disfrazarse como aplicaciones legítimas o esconderse en descargas aparentemente inofensivas, como archivos adjuntos o actualizaciones de software. Una vez instalado, el ransomware puede realizar diversas acciones destructivas.
Dentro de las características de algunas variantes de malware móvil se encuentra el control remoto del dispositivo, que permite a los atacantes enviar mensajes de texto, acceder a cámaras y espiar conversaciones sin el consentimiento del usuario, comprometiendo su privacidad.
Asimismo, el ransomware puede bloquear la pantalla del dispositivo, impidiendo el acceso a aplicaciones y archivos. Esta situación crea una presión significativa sobre la víctima, ya que suele requerir un pago para desbloquear el dispositivo.
En ataques más sofisticados, el ransomware móvil tiene la capacidad de cifrar datos almacenados, tales como fotos, videos, contactos y documentos, forzando al usuario a pagar un rescate, comúnmente en criptomonedas como Bitcoin o Monero, para recuperar su información. Por último, algunas variantes también tienen la capacidad de exfiltrar datos, permitiendo a los atacantes robar información sensible como credenciales de cuentas y datos financieros. Esta información puede ser utilizada para chantajear a las víctimas o venderla en la dark web, aumentando aún más el riesgo asociado a estas amenazas.
3. Ataques a la cadena de suministro
Los cibercriminales frecuentemente dirigen sus ataques a la cadena de suministro, eligiendo como objetivos a proveedores y distribuidores en lugar de empresas específicas. Utilizan la vulnerabilidad de estos vínculos para infiltrarse y acceder a la red de una organización.
Un caso destacado de este tipo de ataque ocurrió en 2019 y estuvo relacionado con Orión, el software de SolarWinds. En este incidente, los atacantes incorporaron su malware en las actualizaciones del software. Cuando las organizaciones instalaron la actualización, los cibercriminales log raron acceder a miles de sistemas, facilitando el espionaje a otras entidades. Debido a la complejidad y extensión de la mayoría de las cadenas de suministro, identificar las debilidades de seguridad tras un ataque puede ser un desafío significativo para las organizaciones afectadas. Veamos algunos de ellos:
Los atacantes pueden comprometer software o servicios de terceros empleados por múltiples organizaciones, lo que les brinda acceso a las redes de todos los usuarios afectados. Un caso paradigmático es el ataque a SolarWinds, en el cual los cibercriminales comprometieron su sistema de actualizaciones de software, permitiéndoles distribuir código malicioso a miles de clientes.
Son capaces de explotar vulnerabilidades en componentes de hardware, tales como chips o firmware, para conseguir acceso no autorizado a sistemas específicos. Por ejemplo, en 2018, un informe de Bloomberg (aunque posteriormente refutado) señalaba que espías chinos supuestamente habían introducido diminutos microchips en las placas base de servidores utilizados por empresas tecnológicas de renombre y agencias gubernamentales, comprometiendo así sus datos.
En ciertas ocasiones, los atacantes pueden dirigir sus esfuerzos contra un vendedor o proveedor externo, aprovechando sus medidas de seguridad más débiles para infiltrarse en la red de una organización mayor. La brecha de Target en 2013 es un claro ejemplo, donde los hackers accedieron a los sistemas de pago de Target a través de un contratista externo de HVAC.
Los atacantes pueden manipular bibliotecas y repositorios de código abierto para inyectar código malicioso en proyectos de software que dependen de ellos. En 2021, se produjo la brecha de Codecov, donde cibercriminales explotaron una vulnerabilidad en el script Bash Uploader de la empresa, afectando potencialmente a miles de clientes que utilizaban la herramienta para análisis de cobertura de código. No obstante, para robustecer su organización contra posibles ataques a la cadena de suministro, es fundamental implementar una estrategia de seguridad exhaustiva y proactiva. A continuación, se presentan diez recomendaciones y técnicas esenciales que le asistirán en la consecución de este objetivo.
4. Ataques impulsados por la IA
Según un informe de Deep Instinct, se estima que el 85% de los ataques cibernéticos en 2024 han empleado inteligencia artificial (IA). Los cibercriminales están adaptando sus técnicas y utilizando la IA como herramienta para llevar a cabo ataques, incluyendo el vishing, que es una forma de fraude telefónico. Además, la IA también se está utilizando para descifrar contraseñas. Herramientas como PassGAN permiten a los atacantes descifrar la mayoría de las contraseñas más comunes en un tiempo aproximado de un minuto. Asimismo, la IA se utiliza para crear correos electrónicos de phishing más convincentes, eliminando errores ortográficos y gramaticales que suelen ser evidentes en las estafas. Esto incrementa la credibilidad de estos correos, lo que a su vez provoca que más personas sean víctimas de ataques de phishing.
Los correos electrónicos que solían contener errores y lenguaje poco natural están siendo reemplazados por mensajes más sofisticados, generados por inteligencia artificial (IA). Esta tecnología permite crear correos electrónicos persuasivos y sin errores, que tienen más probabilidades de eludir las filtraciones de spam. Sin embargo, la preocupación principal radica en los ataques de spear phishing impulsados por la IA. Este tipo de ataques se dirigen a individuos específicos y son más difíciles de detectar, ya que los mensajes son personalizados y parecen auténticos.
Los estudios indican que los ataques de spear phishing, potenciados por inteligencia artificial, pueden presentar una tasa de clics superior en más de un 60%.
El malware que explota vulnerabilidades de seguridad representa un fenómeno recurrente en el ámbito digital contemporáneo. Este tipo de software malicioso generalmente se desarrolla con el propósito de aprovechar debilidades específicas, lo que restringe las posibilidades de que un programa particular afecte un sistema o dispositivo vulnerable. Con el advenimiento de la inteligencia artificial (IA), los programas maliciosos han adquirido la capacidad de escanear sistemas de manera autónoma para identificar vulnerabilidades. Esta evolución no solo les permite reportar las debilidades encontradas, sino que también les brinda la facultad de modificar su propio código a fin de explotarlas.
Un ejemplo significativo de esta tendencia es la organización de ransomware REvil, que empleó IA para detectar vulnerabilidades en una variedad de sistemas. Su ataque exitoso contra el Servicio de Salud Irlandés fue, en gran medida, facilitado por estas técnicas avanzadas basadas en IA.
La IA generativa es increíblemente buena clonando voces; ya existen muchas herramientas de clonación de voz que permiten copiar la voz y el tono de cualquier persona. Por supuesto, esta tecnología estaba destinada a formar parte de los ataques de vishing. Con la IA, el atacante puede sonar como alguien conocido para que el ataque resulte más convincente.
Los vídeos deepfake son manipulaciones digitales que utilizan tecnología avanzada para superponer la imagen y el audio de una persona en un vídeo de otra, creando un contenido que puede parecer muy realista. Estos vídeos se producen fácilmente utilizando imágenes, grabaciones y voces accesibles de figuras públicas o privadas. Los delincuentes cibernéticos pueden emplear esta técnica para suplantar la identidad de personas influyentes con el fin de engañar y aprovecharse de otros. Aunque hasta la fecha no se han reportado casos de estafas deepfake exitosas dirigidas específicamente a empresas, ha habido numerosos informes en los medios sobre la aparición de este tipo de vídeos con figuras prominentes, como los líderes de Ucrania y Rusia.
Esto ilustra cómo cualquier organización, independientemente de su tamaño, puede ser vulnerable. Se prevé que las estafas deepfake se conviertan en una de las principales preocupaciones en el ámbito de la ciberseguridad en el futuro cercano.
La inteligencia artificial (IA) puede facilitar diversas tareas en los ataques coordinados a través de redes de bots, tales como los ataques de denegación de servicio (DDoS), el relleno de credenciales y el raspado de sitios web. Sus funciones incluyen la identificación de objetivos vulnerables, la elusión de sistemas de detección, la modificación constante de los servidores de comando y control (C&C) y la coordinación de ataques a nivel global.
5. Ataques basados en contraseñas
Los cibercriminales utilizan diversas metodologías para llevar a cabo ataques centrados en las contraseñas. Una de las formas más comunes es el ataque de fuerza bruta, en el cual intentan acceder a una cuenta probando repetidamente múltiples combinaciones de contraseñas. Si un usuario reutiliza la misma contraseña en diferentes cuentas, esto puede permitir que los atacantes roben información de varias de ellas.
Otra técnica frecuentemente empleada es la propagación de contraseñas, donde los delincuentes operan dentro de un mismo dominio y buscan infiltrarse en varias cuentas utilizando contraseñas comunes como "contraseña" o "123456". En general, en los ataques que dependen de contraseñas, los cibercriminales se benefician de que las víctimas utilicen contraseñas débiles o idénticas en múltiples sitios web, lo que les facilita el acceso a información personal sensible. Los más frecuentes son:
Este método se basa en la tendencia de los usuarios a crear contraseñas cortas o que contengan palabras comunes. Los atacantes emplean listas de estas palabras, intentando combinarlas con dígitos antes o después del nombre de usuario.
Aquí, los atacantes utilizan programas para generar y probar una gran cantidad de contraseñas, comenzando generalmente con aquellas que son débiles y de uso frecuente, como "Password123". A medida que avanzan, también prueban variaciones en el uso de letras mayúsculas y minúsculas.
Implica que el software del hacker no solo observa los datos transmitidos a través de la red, sino que también se hace pasar por un sitio web o aplicación legítima. Su objetivo es engañar al usuario para que entregue sus credenciales y otra información sensible, como números de cuentas o de seguridad social.
Estos instalan software en el dispositivo del usuario que registra todas las pulsaciones de teclado, permitiendo a los delincuentes capturar no solo el nombre de usuario y la contraseña, sino también identificar a qué sitio o aplicación pertenecen esos datos. Este ataque generalmente implica un compromiso previo para instalar malware en el sistema objetivo.
Abarca diversas técnicas de manipulación para extraer información confidencial de los usuarios. Algunas de las tácticas más comunes son:
- Phishing: Envío de correos electrónicos o mensajes de texto fraudulentos para engañar a los usuarios y que ingresen sus credenciales, visiten sitios falsos o hagan clic en enlaces que instalan malware.
- Spear Phishing: Similar al phishing, pero requiere un mayor cuidado en la formulación de mensajes, utilizando información disponible sobre la víctima para hacerlos más personalizados y creíbles, como emular correos de bancos conocidos.
- Cebos: Los atacantes dejan dispositivos como memorias USB en ubicaciones públicas, esperando que los empleados los conecten y comprometan sus sistemas.
- Quid pro quo: En este enfoque, el atacante finge ser una figura de confianza, como un empleado del soporte técnico, para establecer una comunicación que le permita obtener la información deseada del usuario.
6. Ataques al Internet de las cosas (IoT)
Con el aumento de la popularidad de los dispositivos inteligentes, los cibercriminales están desarrollando métodos para atacar una amplia gama de objetos conectados a Internet. Se los conoce como ataques al internet de las cosas (IoT). Estos ataques ocurren cuando los cibercriminales logran acceder a una red Wi-Fi, lo que les permite conectarse a dispositivos inteligentes y robar información personal.
Además de las computadoras, teléfonos móviles y tabletas tradicionales, existen numerosos dispositivos en los hogares, como Amazon Echo, Ring Timbre, termostato Nest y monitores para bebés Nanit. Estos dispositivos inteligentes son susceptibles a infecciones de malware si un cibercriminal logra conectarse a ellos, lo que podría darles acceso a datos sensibles o incluso permitirles espiar a los usuarios a través de las cámaras o micrófonos. Se han registrado casos en los que monitores para bebés han sido hackeados, otorgando a los atacantes la capacidad de observar no solo a los niños, sino también el interior de los hogares. Los ataques de IoT pueden resultar especialmente inquietantes y perturbadores para las personas, al darse cuenta de que sus actividades pueden ser observadas y escuchadas por cibercriminales.
7. Vulnerabilidades en la nube
De acuerdo con un informe de IBM publicado en 2024, más del 40 % de las brechas de datos ocurren en entornos de nube. La recuperación de estas violaciones puede representar un costo millonario para las empresas. Las vulnerabilidades en la nube no solo implican pérdidas económicas, sino que también pueden erosionar la confianza de los clientes, afectando la reputación de la empresa frente a futuros clientes potenciales.
Un tipo común de vulnerabilidad que pueden enfrentar las organizaciones es la configuración incorrecta de sus recursos en la nube. Si estos no se configuran ni se gestionan adecuadamente, se generan fallos de seguridad que facilitan las violaciones de datos. Para mitigar el riesgo, es recomendable que los empleados tengan acceso restringido y se les otorguen solo los privilegios mínimos necesarios para realizar su trabajo. Esto limita la capacidad de los cibercriminales para llevar a cabo ataques a gran escala en caso de que ocurra una brecha de seguridad. Las principales son:
Las brechas de datos, ya sean causadas por ataques dirigidos o errores humanos, representan un riesgo crítico para la seguridad de la información. Asimismo, las vulnerabilidades en las aplicaciones o las prácticas deficientes de seguridad aumentan esta amenaza de forma considerable.
Los ciberatacantes que logran suplantar identidades legítimas, ya sean operadores o desarrolladores, pueden acceder, modificar y eliminar datos sensibles, robar información o realizar espionaje. Además, tienen la capacidad de inyectar aplicaciones o código malicioso que simula ser de un usuario auténtico.
Las API son fundamentales para la seguridad de los servicios en la nube y deben ser diseñadas con el objetivo de prevenir cualquier intento de eludir las políticas de seguridad establecidas. La falta de este diseño adecuado las convierte en puntos de vulnerabilidad que pueden resultar en riesgos significativos.
Las vulnerabilidades en los sistemas son fallos explotables en software que los atacantes pueden aprovechar para infiltrarse y robar datos, tomar control o interrumpir servicios. Esta problemática es inherente a todos los sistemas informáticos, pero adquiere una relevancia aún mayor en entornos en la nube.
El robo de cuentas es un desafío persistente, y la migración a la nube introduce una nueva dimensión de riesgo. Los atacantes que obtienen credenciales de acceso pueden interceptar actividades, manipular datos, proporcionar información falsa y redirigir usuarios a sitios fraudulentos.
Un usuario malintencionado puede obtener acceso a información confidencial y, con un nivel creciente de autorización, acceder a sistemas críticos y datos sensibles. Este tipo de amenaza puede provenir de empleados insatisfechos o individuos que revelan secretos por compensación económica.
Las APT son una convergencia de ingeniería social y aplicaciones maliciosas, estableciendo un punto de apoyo en la infraestructura atacada desde donde se facilita el robo de datos.
El borrado accidental o eventos catastróficos, como incendios o terremotos, pueden llevar a la pérdida irreversible de datos. Para mitigar esta vulnerabilidad, es esencial implementar una estrategia de respaldo efectiva.
Es crucial evaluar las tecnologías a implementar y calibrar adecuadamente los riesgos asociados. Solo así se podrán diseñar estrategias y políticas de seguridad efectivas.
Los ciberdelincuentes pueden explotar los servicios en la nube para desplegar bots de ataque contra terceros, incluyendo ataques DDoS, envío masivo de spam o campañas de phishing.
Los ataques DoS pueden deteriorar el rendimiento de los sistemas de los usuarios legítimos o incluso provocar la pérdida total de acceso.
Los proveedores de infraestructura ofrecen servicios escalables a través de la compartición de recursos físicos, plataformas o aplicaciones. Si esta infraestructura no es completamente segura, se presentan vulnerabilidades significativas.
8. Ataques de vulneración de correos electrónicos empresariales (BEC)
Son una táctica utilizada por cibercriminales para engañar a los empleados de una empresa. En estos ataques, los delincuentes se hacen pasar por figuras de autoridad, como el director general, con el objetivo de conseguir que los empleados transfieran dinero o compartan información confidencial. Para llevar a cabo este tipo de ataques, los cibercriminales realizan una investigación detallada para identificar a sus objetivos y conocer la identidad de la persona a suplantar. Esta preparación les permite generar confianza y operar sin ser detectados.
9. Ataques de Denegación de Servicio Distribuidos (DDoS)
Son maniobras sofisticadas dirigidas a interrumpir el tráfico habitual de un servidor, llevándolo a la saturación extrema que puede resultar en su inoperatividad. Los cibercriminales emprenden tales acciones con intenciones destructivas, que van desde dañar la reputación de una entidad hasta exigir rescates a cambio de cesar la afluencia de tráfico, o incluso buscar la paralización total de un sitio web para generar caos y confusión. Estos ataques se aprovechan de la incapacidad inherente de las redes para procesar un número ilimitado de solicitudes simultáneas. Para ejecutar sus ataques masivos, los DDoS emplean redes de bots, que inundan la red con peticiones, llevando, eventualmente, a una detención total del tráfico.
En 2024, Cloudflare gestionó el ataque de denegación de servicio (DDoS) más grande registrado, que alcanzó un volumen máximo de 5,6 terabits por segundo (Tbps) y 666 millones de paquetes por segundo. Este ataque tuvo una duración aproximada de 80 segundos y fue parte de una extensa serie de ataques DDoS hipervolumétricos. Gracias a su infraestructura, la red de Cloudflare logró mitigar automáticamente el ataque de 5,6 Tbps, así como todos los demás ataques que formaban parte de esta campaña, lo que permitió proteger a sus clientes de manera efectiva.
Existen diferentes tipos de ataques DDoS, que se clasifican en tres categorías principales:
Ataque de capa de recurso, también conocido como ataque de capa de aplicación, se centra en los paquetes de aplicaciones web y busca interrumpir la comunicación de datos entre los hosts. Ejemplos de estos ataques incluyen la explotación del protocolo HTTP, inyección de código SQL, scripting entre sitios y otros ataques que afectan la capa.
En 2024, varias empresas experimentaron filtraciones de datos y violaciones de seguridad. Las filtraciones de datos ocurren cuando una organización expone accidentalmente información sensible, como los datos de sus clientes. Por otro lado, las violaciones de datos implican el robo de información por parte de cibercriminales que han accedido a los recursos de la empresa. Estos incidentes, ya sean consecuencia de ataques cibernéticos intencionados o no, pueden dar lugar al robo de datos e incluso de identidades. Según IBM, el coste promedio internacional de una violación de datos en 2024 ha aumentado un 10% en comparación con 2023, alcanzando aproximadamente 4,8 millones de dólares.
A fecha de octubre de 2024, las violaciones de datos se han convertido en un asunto frecuente en los medios de comunicación, con informes que aparecen casi semanalmente. Hasta este momento, se han documentado más de 1,500 millones de registros de datos filtrados a lo largo del año.
Prevenir las filtraciones de datos implica un enfoque integral que combine tecnología, formación y políticas de seguridad efectivas. Para lograrlo, se deben implementar estrategias clave, tales como:
Es crucial que los empleados estén informados sobre las amenazas más comunes y sepan cómo responder adecuadamente a ellas.
Es necesario identificar la información más sensible para poder aplicar medidas de protección adecuadas.
Se deben establecer contraseñas robustas y utilizar algoritmos de cifrado, lo que dificultará el acceso no autorizado a la información.
Es recomendable llevar a cabo auditorías de seguridad periódicas para detectar y corregir vulnerabilidades en el sistema. Estas medidas ayudarán a crear un entorno más seguro y a minimizar el riesgo de filtraciones de datos.
CiberSeguridad
2024: Ataques cibernéticos más frecuentes. (diciembre de 2024)
Según expone Infobae, el 90% de las organizaciones ha enfrentado al menos una amenaza cibernética en 2024. Cada entidad se ve sometida a un promedio de 1,876 intentos de intrusión cada semana, lo que representa un incremento del 75% en comparación con el mismo periodo de 2023. Estas estadísticas sugieren que, para el año 2025, los costos relacionados podrían ascender a 10.5 billones de dólares.
1. Ataques de ingeniería social
La ingeniería social se define como un proceso de manipulación que induce a un individuo a comprometer su seguridad en línea, facilitando la divulgación de información confidencial. Los más constantes son:
Es una táctica maliciosa que se basa en manipular la confianza del individuo en marcas, instituciones o personas. Un claro ejemplo es el correo electrónico fraudulento que simula provenir de su banco, instándole a hacer clic en un enlace engañoso que lo dirige a una página web fraudulentamente diseñada para imitar la de su entidad financiera. Allí, se le solicita que ingrese información sensible de su tarjeta de crédito, bajo pretextos falsos.
Cuando estos ataques se realizan a través de mensajes de texto, se clasifican como smishing; si emplean mensajes de voz, se conocen como vishing. Por otro lado, los ataques que son específicamente dirigidos a una persona o empresa concreta adoptan el término spear phishing.
La técnica de cebo implica ofrecer un producto, servicio o software gratuito durante un período limitado, con el objetivo malicioso de instalar malware en el ordenador de la víctima o sustraer información personal. Un método comúnmente utilizado es dejar un pendrive infectado en lugares estratégicos, que los incautos insertan en sus dispositivos, activando así el ataque.
El pretexting es un enfoque en el cual el delincuente elabora una narrativa basada en falsedades, destinada a engañar a su víctima y extraer datos sensibles. El atacante induce a su objetivo a creer que tiene una necesidad urgente de información específica para llevar a cabo una tarea crucial. Un ejemplo representativo de esta táctica es cuando el criminal se hace pasar por un técnico del servicio informático de una empresa, solicitando a un empleado sus credenciales con el propósito de "verificar" la seguridad del sistema.
Es una estrategia en la que un ciberdelincuente ofrece un servicio o producto a cambio de información confidencial. Un ejemplo común de esto es cuando un atacante se hace pasar por un proveedor de Internet, promoviendo una mejora en la velocidad de transmisión de datos. Para llevar a cabo esta táctica, el delincuente requiere acceso a la red personal o profesional de la víctima.
El atacante presenta alertas falsas de virus con el fin de que la víctima descargue software malicioso. Esto puede manifestarse en forma de ventanas emergentes que advierten sobre la presencia de un virus y que instan a la víctima a descargar un antivirus. Sin embargo, dicho software es en realidad malicioso y tiene como objetivo robar o cifrar información personal.
Se centran en engañar a grupos de personas que frecuentan una página web específica relacionada con servicios o productos. El concepto toma su nombre de la estrategia utilizada por depredadores que esperan en lugares donde sus presas suelen acudir para beber, lo que ilustra cómo los atacantes esperan a que sus víctimas visiten sitios comprometidos para lanzar el ataque.
Es una estafa mediante la cual un atacante redirige a los usuarios de un sitio web legítimo a un sitio falso para robar sus nombres de usuario, contraseñas y otra información de índole confidencial, tales como preguntas de seguridad. Esta forma de ataque secuestra la configuración del navegador del usuario o ejecuta programa malware en segundo plano, con el objetivo de robar tu identidad.
Son ataques que explotan sitios web estáticos; el ataque afecta directamente al navegador, ya que el atacante toma el control de una pestaña recién abierta y secuestra la pestaña original desde donde se abrió. Estas nuevas pestañas reemplazan o modifican la pestaña original y redirigen al usuario a sitios fraudulentos para que los estafadores puedan robar datos de inicio de sesión u otra información crucial.
Se refiere al acceso no autorizado que un atacante obtiene a cuentas de correo electrónico. Los ciberdelincuentes utilizan diversas técnicas para infiltrarse en estas cuentas, por lo que es útil revisar algunas de estas tácticas.
Corresponde a una táctica de ingeniería social que permite a los atacantes acceder a cuentas de correos electrónicos empresariales. El objetivo es suplantar la identidad de empleados de alto nivel para llevar a cabo estafas dirigidas a socios, empleados y clientes. Los ataques BEC son especialmente problemáticos para las empresas que realizan transferencias electrónicas y que tienen clientes en otros países.
Los ataques de spam se producen cuando ciberdelincuentes envían una gran cantidad de correos electrónicos a sus víctimas. Estos mensajes pueden ser generados por personas reales o por botnets, que son redes de computadoras infectadas con malware y controladas por un atacante. El objetivo de estos ataques es engañar a los usuarios para que descarguen malware o revelen información sensible.
2. Ransomware y extorsión
El malware es un tipo de software que entra en los dispositivos para robar información privada. Entre ellos, el ransomware es particularmente peligroso, ya que bloquea los dispositivos y solo se puede volver a acceder a ellos si la víctima paga un rescate a los cibercriminales. Un informe de Veeam, publicado en junio de 2024, indica que las víctimas de ataques de ransomware pierden, en promedio, alrededor del 43% de sus datos. Esto significa que, si usted sufre un ataque de ransomware, hay una gran posibilidad de que casi la mitad de sus datos se pierdan para siempre.
La extorsión es un delito donde un cibercriminal obliga a una persona o a una organización a pagar dinero, ya sea bloqueando sus dispositivos o amenazando con revelar su información personal. En este contexto, los cibercriminales piden un rescate para devolver acceso a los archivos. Aunque el ransomware y la extorsión pueden parecer similares, hay una diferencia importante. La extorsión abarca una variedad de delitos cibernéticos, mientras que el ransomware es solo un tipo específico de malware. A menudo, los cibercriminales que cometen extorsiones utilizan el ransomware como una herramienta para obtener dinero o información privada.
Es un tipo de malware diseñado para cifrar los archivos de la víctima, lo que los hace inaccesibles hasta que se pague un rescate. Ejemplos notorios de este malware, como CryptoLocker y WannaCry, han causado un daño significativo en años pasados y siguen siendo amenazas relevantes en 2024.
Cuando un dispositivo se infecta con crypto ransomware, el malware activa un proceso de cifrado utilizando algoritmos de alta seguridad, como el AES (Advanced Encryption Standard) o RSA (Rivest-Shamir-Adleman). Estos algoritmos convierten los archivos en un formato que no se puede leer, y solo se pueden restaurar mediante una clave de descifrado específica. Una vez que se completa el cifrado, el malware genera una nota de rescate que solicita un pago, normalmente en criptomonedas como Bitcoin o Monero, debido a la dificultad de rastrear estas transacciones.
Dentro de las diversas modalidades de ransomware, el crypto ransomware se considera particularmente peligroso debido al robusto nivel de encriptación que utiliza, lo que complica enormemente la recuperación de los archivos sin la clave adecuada.
A diferencia del crypto ransomware, el locker ransomware no cifra archivos individuales, sino que bloquea completamente el acceso a la computadora o sistema. Esto es especialmente devastador para empresas cuyos sistemas centrales se ven comprometidos. Aunque no afecta los archivos directamente, sin acceso a los sistemas, la operación de cualquier empresa puede detenerse por completo. Ejemplos recientes incluyen el WinLocker, que ha tenido un repunte en 2024.
El locker ransomware bloquea la pantalla o el acceso a la interfaz de usuario del dispositivo infectado. Al iniciar el sistema, en lugar de acceder al escritorio o la interfaz habitual, la víctima se enfrenta a un mensaje de rescate que solicita un pago para recuperar el acceso. Este mensaje frecuentemente incluye instrucciones sobre cómo realizar el pago, a menudo en criptomonedas, y puede presentar un temporizador, lo que genera una presión adicional para que la víctima cumpla con el pago dentro de un tiempo determinado.
Dentro de las diferentes categorías de ransomware, el ransomware de tipo locker es menos perjudicial que el ransomware de tipo crypto, ya que no cifra los archivos, aunque continúa siendo altamente disruptivo al bloquear el uso normal del dispositivo.
Representa una de las amenazas más alarmantes en la evolución de los ataques de ransomware. Este innovador modelo, que se deriva del concepto de "software como servicio" (SaaS), otorga a los ciberdelincuentes sin experiencia técnica avanzada la capacidad de ejecutar ataques de ransomware de manera sencilla y accesible. En lugar de desarrollar su propio código malicioso, estos delincuentes pueden fácilmente "alquilar" o "comprar" versiones preconfiguradas de ransomware, lo que ha culminado en una proliferación global de ataques de esta naturaleza.
El funcionamiento del RaaS se asemeja al de un negocio en línea. Los creadores de ransomware, que poseen habilidades técnicas excepcionales, desarrollan el malware y lo distribuyen a través de la dark web o foros especializados. Aquellos que utilizan estas plataformas pueden carecer de la experiencia necesaria para crear software malicioso, pero están armados con las herramientas adecuadas para llevar a cabo sus propios ataques. Así, el ransomware como servicio (RaaS) convierte a delincuentes menos experimentados en actores significativos del cibercrimen, permitiéndoles acceder a kits listos para su implementación y orquestar campañas de ataque efectivas.
El doxware añade una nueva capa de presión sobre la víctima. Además de cifrar archivos o bloquear sistemas, los atacantes amenazan con filtrar o hacer públicos datos sensibles si no se paga el rescate. En 2024, este tipo de ataque ha sido usado con mayor frecuencia contra empresas que manejan información crítica, como instituciones financieras y hospitales. Entre los tipos de ransomware, el doxware se destaca por combinar el cifrado con la extorsión pública, aumentando el riesgo y el impacto potencial para las víctimas.
Combina el cifrado de datos típico del ransomware con una amenaza de divulgación pública o venta de los datos robados. En los ataques de doxware, los ciberdelincuentes primero obtienen acceso a la red de una organización, exfiltran (extraen) información confidencial y luego lanzan el ataque de cifrado para bloquear los archivos.
Una vez que los sistemas están bloqueados, los atacantes exigen un rescate, generalmente en criptomonedas, no solo para descifrar los archivos, sino también para evitar la publicación o venta de la información sensible que han robado. Este tipo de extorsión es común en ciertos tipos de ransomware que no solo se limitan a cifrar los datos, sino que también amenazan con divulgar información comprometida. La información robada puede incluir: Datos financieros, datos personales, propiedad intelectual (patentes, estrategias de negocios, información sobre productos o servicios futuros) o datos médicos.
Este malware se propaga a través de aplicaciones maliciosas, mensajes de texto fraudulentos, correos electrónicos de phishing y enlaces dañinos. Estas amenazas pueden disfrazarse como aplicaciones legítimas o esconderse en descargas aparentemente inofensivas, como archivos adjuntos o actualizaciones de software. Una vez instalado, el ransomware puede realizar diversas acciones destructivas.
Dentro de las características de algunas variantes de malware móvil se encuentra el control remoto del dispositivo, que permite a los atacantes enviar mensajes de texto, acceder a cámaras y espiar conversaciones sin el consentimiento del usuario, comprometiendo su privacidad.
Asimismo, el ransomware puede bloquear la pantalla del dispositivo, impidiendo el acceso a aplicaciones y archivos. Esta situación crea una presión significativa sobre la víctima, ya que suele requerir un pago para desbloquear el dispositivo.
En ataques más sofisticados, el ransomware móvil tiene la capacidad de cifrar datos almacenados, tales como fotos, videos, contactos y documentos, forzando al usuario a pagar un rescate, comúnmente en criptomonedas como Bitcoin o Monero, para recuperar su información. Por último, algunas variantes también tienen la capacidad de exfiltrar datos, permitiendo a los atacantes robar información sensible como credenciales de cuentas y datos financieros. Esta información puede ser utilizada para chantajear a las víctimas o venderla en la dark web, aumentando aún más el riesgo asociado a estas amenazas.
3. Ataques a la cadena de suministro
Los cibercriminales frecuentemente dirigen sus ataques a la cadena de suministro, eligiendo como objetivos a proveedores y distribuidores en lugar de empresas específicas. Utilizan la vulnerabilidad de estos vínculos para infiltrarse y acceder a la red de una organización.
Un caso destacado de este tipo de ataque ocurrió en 2019 y estuvo relacionado con Orión, el software de SolarWinds. En este incidente, los atacantes incorporaron su malware en las actualizaciones del software. Cuando las organizaciones instalaron la actualización, los cibercriminales log raron acceder a miles de sistemas, facilitando el espionaje a otras entidades. Debido a la complejidad y extensión de la mayoría de las cadenas de suministro, identificar las debilidades de seguridad tras un ataque puede ser un desafío significativo para las organizaciones afectadas. Veamos algunos de ellos:
Los atacantes pueden comprometer software o servicios de terceros empleados por múltiples organizaciones, lo que les brinda acceso a las redes de todos los usuarios afectados. Un caso paradigmático es el ataque a SolarWinds, en el cual los cibercriminales comprometieron su sistema de actualizaciones de software, permitiéndoles distribuir código malicioso a miles de clientes.
Son capaces de explotar vulnerabilidades en componentes de hardware, tales como chips o firmware, para conseguir acceso no autorizado a sistemas específicos. Por ejemplo, en 2018, un informe de Bloomberg (aunque posteriormente refutado) señalaba que espías chinos supuestamente habían introducido diminutos microchips en las placas base de servidores utilizados por empresas tecnológicas de renombre y agencias gubernamentales, comprometiendo así sus datos.
En ciertas ocasiones, los atacantes pueden dirigir sus esfuerzos contra un vendedor o proveedor externo, aprovechando sus medidas de seguridad más débiles para infiltrarse en la red de una organización mayor. La brecha de Target en 2013 es un claro ejemplo, donde los hackers accedieron a los sistemas de pago de Target a través de un contratista externo de HVAC.
Los atacantes pueden manipular bibliotecas y repositorios de código abierto para inyectar código malicioso en proyectos de software que dependen de ellos. En 2021, se produjo la brecha de Codecov, donde cibercriminales explotaron una vulnerabilidad en el script Bash Uploader de la empresa, afectando potencialmente a miles de clientes que utilizaban la herramienta para análisis de cobertura de código. No obstante, para robustecer su organización contra posibles ataques a la cadena de suministro, es fundamental implementar una estrategia de seguridad exhaustiva y proactiva. A continuación, se presentan diez recomendaciones y técnicas esenciales que le asistirán en la consecución de este objetivo.
4. Ataques impulsados por la IA
Según un informe de Deep Instinct, se estima que el 85% de los ataques cibernéticos en 2024 han empleado inteligencia artificial (IA). Los cibercriminales están adaptando sus técnicas y utilizando la IA como herramienta para llevar a cabo ataques, incluyendo el vishing, que es una forma de fraude telefónico. Además, la IA también se está utilizando para descifrar contraseñas. Herramientas como PassGAN permiten a los atacantes descifrar la mayoría de las contraseñas más comunes en un tiempo aproximado de un minuto. Asimismo, la IA se utiliza para crear correos electrónicos de phishing más convincentes, eliminando errores ortográficos y gramaticales que suelen ser evidentes en las estafas. Esto incrementa la credibilidad de estos correos, lo que a su vez provoca que más personas sean víctimas de ataques de phishing.
Los correos electrónicos que solían contener errores y lenguaje poco natural están siendo reemplazados por mensajes más sofisticados, generados por inteligencia artificial (IA). Esta tecnología permite crear correos electrónicos persuasivos y sin errores, que tienen más probabilidades de eludir las filtraciones de spam. Sin embargo, la preocupación principal radica en los ataques de spear phishing impulsados por la IA. Este tipo de ataques se dirigen a individuos específicos y son más difíciles de detectar, ya que los mensajes son personalizados y parecen auténticos.
Los estudios indican que los ataques de spear phishing, potenciados por inteligencia artificial, pueden presentar una tasa de clics superior en más de un 60%.
El malware que explota vulnerabilidades de seguridad representa un fenómeno recurrente en el ámbito digital contemporáneo. Este tipo de software malicioso generalmente se desarrolla con el propósito de aprovechar debilidades específicas, lo que restringe las posibilidades de que un programa particular afecte un sistema o dispositivo vulnerable. Con el advenimiento de la inteligencia artificial (IA), los programas maliciosos han adquirido la capacidad de escanear sistemas de manera autónoma para identificar vulnerabilidades. Esta evolución no solo les permite reportar las debilidades encontradas, sino que también les brinda la facultad de modificar su propio código a fin de explotarlas.
Un ejemplo significativo de esta tendencia es la organización de ransomware REvil, que empleó IA para detectar vulnerabilidades en una variedad de sistemas. Su ataque exitoso contra el Servicio de Salud Irlandés fue, en gran medida, facilitado por estas técnicas avanzadas basadas en IA.
La IA generativa es increíblemente buena clonando voces; ya existen muchas herramientas de clonación de voz que permiten copiar la voz y el tono de cualquier persona. Por supuesto, esta tecnología estaba destinada a formar parte de los ataques de vishing. Con la IA, el atacante puede sonar como alguien conocido para que el ataque resulte más convincente.
Los vídeos deepfake son manipulaciones digitales que utilizan tecnología avanzada para superponer la imagen y el audio de una persona en un vídeo de otra, creando un contenido que puede parecer muy realista. Estos vídeos se producen fácilmente utilizando imágenes, grabaciones y voces accesibles de figuras públicas o privadas. Los delincuentes cibernéticos pueden emplear esta técnica para suplantar la identidad de personas influyentes con el fin de engañar y aprovecharse de otros. Aunque hasta la fecha no se han reportado casos de estafas deepfake exitosas dirigidas específicamente a empresas, ha habido numerosos informes en los medios sobre la aparición de este tipo de vídeos con figuras prominentes, como los líderes de Ucrania y Rusia.
Esto ilustra cómo cualquier organización, independientemente de su tamaño, puede ser vulnerable. Se prevé que las estafas deepfake se conviertan en una de las principales preocupaciones en el ámbito de la ciberseguridad en el futuro cercano.
La inteligencia artificial (IA) puede facilitar diversas tareas en los ataques coordinados a través de redes de bots, tales como los ataques de denegación de servicio (DDoS), el relleno de credenciales y el raspado de sitios web. Sus funciones incluyen la identificación de objetivos vulnerables, la elusión de sistemas de detección, la modificación constante de los servidores de comando y control (C&C) y la coordinación de ataques a nivel global.
5. Ataques basados en contraseñas
Los cibercriminales utilizan diversas metodologías para llevar a cabo ataques centrados en las contraseñas. Una de las formas más comunes es el ataque de fuerza bruta, en el cual intentan acceder a una cuenta probando repetidamente múltiples combinaciones de contraseñas. Si un usuario reutiliza la misma contraseña en diferentes cuentas, esto puede permitir que los atacantes roben información de varias de ellas.
Otra técnica frecuentemente empleada es la propagación de contraseñas, donde los delincuentes operan dentro de un mismo dominio y buscan infiltrarse en varias cuentas utilizando contraseñas comunes como "contraseña" o "123456". En general, en los ataques que dependen de contraseñas, los cibercriminales se benefician de que las víctimas utilicen contraseñas débiles o idénticas en múltiples sitios web, lo que les facilita el acceso a información personal sensible. Los más frecuentes son:
Este método se basa en la tendencia de los usuarios a crear contraseñas cortas o que contengan palabras comunes. Los atacantes emplean listas de estas palabras, intentando combinarlas con dígitos antes o después del nombre de usuario.
Aquí, los atacantes utilizan programas para generar y probar una gran cantidad de contraseñas, comenzando generalmente con aquellas que son débiles y de uso frecuente, como "Password123". A medida que avanzan, también prueban variaciones en el uso de letras mayúsculas y minúsculas.
Implica que el software del hacker no solo observa los datos transmitidos a través de la red, sino que también se hace pasar por un sitio web o aplicación legítima. Su objetivo es engañar al usuario para que entregue sus credenciales y otra información sensible, como números de cuentas o de seguridad social.
Estos instalan software en el dispositivo del usuario que registra todas las pulsaciones de teclado, permitiendo a los delincuentes capturar no solo el nombre de usuario y la contraseña, sino también identificar a qué sitio o aplicación pertenecen esos datos. Este ataque generalmente implica un compromiso previo para instalar malware en el sistema objetivo.
Abarca diversas técnicas de manipulación para extraer información confidencial de los usuarios. Algunas de las tácticas más comunes son:
- Phishing: Envío de correos electrónicos o mensajes de texto fraudulentos para engañar a los usuarios y que ingresen sus credenciales, visiten sitios falsos o hagan clic en enlaces que instalan malware.
- Spear Phishing: Similar al phishing, pero requiere un mayor cuidado en la formulación de mensajes, utilizando información disponible sobre la víctima para hacerlos más personalizados y creíbles, como emular correos de bancos conocidos.
- Cebos: Los atacantes dejan dispositivos como memorias USB en ubicaciones públicas, esperando que los empleados los conecten y comprometan sus sistemas.
- Quid pro quo: En este enfoque, el atacante finge ser una figura de confianza, como un empleado del soporte técnico, para establecer una comunicación que le permita obtener la información deseada del usuario.
6. Ataques al Internet de las cosas (IoT)
Con el aumento de la popularidad de los dispositivos inteligentes, los cibercriminales están desarrollando métodos para atacar una amplia gama de objetos conectados a Internet. Se los conoce como ataques al internet de las cosas (IoT). Estos ataques ocurren cuando los cibercriminales logran acceder a una red Wi-Fi, lo que les permite conectarse a dispositivos inteligentes y robar información personal.
Además de las computadoras, teléfonos móviles y tabletas tradicionales, existen numerosos dispositivos en los hogares, como Amazon Echo, Ring Timbre, termostato Nest y monitores para bebés Nanit. Estos dispositivos inteligentes son susceptibles a infecciones de malware si un cibercriminal logra conectarse a ellos, lo que podría darles acceso a datos sensibles o incluso permitirles espiar a los usuarios a través de las cámaras o micrófonos. Se han registrado casos en los que monitores para bebés han sido hackeados, otorgando a los atacantes la capacidad de observar no solo a los niños, sino también el interior de los hogares. Los ataques de IoT pueden resultar especialmente inquietantes y perturbadores para las personas, al darse cuenta de que sus actividades pueden ser observadas y escuchadas por cibercriminales.
7. Vulnerabilidades en la nube
De acuerdo con un informe de IBM publicado en 2024, más del 40 % de las brechas de datos ocurren en entornos de nube. La recuperación de estas violaciones puede representar un costo millonario para las empresas. Las vulnerabilidades en la nube no solo implican pérdidas económicas, sino que también pueden erosionar la confianza de los clientes, afectando la reputación de la empresa frente a futuros clientes potenciales.
Un tipo común de vulnerabilidad que pueden enfrentar las organizaciones es la configuración incorrecta de sus recursos en la nube. Si estos no se configuran ni se gestionan adecuadamente, se generan fallos de seguridad que facilitan las violaciones de datos. Para mitigar el riesgo, es recomendable que los empleados tengan acceso restringido y se les otorguen solo los privilegios mínimos necesarios para realizar su trabajo. Esto limita la capacidad de los cibercriminales para llevar a cabo ataques a gran escala en caso de que ocurra una brecha de seguridad. Las principales son:
Las brechas de datos, ya sean causadas por ataques dirigidos o errores humanos, representan un riesgo crítico para la seguridad de la información. Asimismo, las vulnerabilidades en las aplicaciones o las prácticas deficientes de seguridad aumentan esta amenaza de forma considerable.
Los ciberatacantes que logran suplantar identidades legítimas, ya sean operadores o desarrolladores, pueden acceder, modificar y eliminar datos sensibles, robar información o realizar espionaje. Además, tienen la capacidad de inyectar aplicaciones o código malicioso que simula ser de un usuario auténtico.
Las API son fundamentales para la seguridad de los servicios en la nube y deben ser diseñadas con el objetivo de prevenir cualquier intento de eludir las políticas de seguridad establecidas. La falta de este diseño adecuado las convierte en puntos de vulnerabilidad que pueden resultar en riesgos significativos.
Las vulnerabilidades en los sistemas son fallos explotables en software que los atacantes pueden aprovechar para infiltrarse y robar datos, tomar control o interrumpir servicios. Esta problemática es inherente a todos los sistemas informáticos, pero adquiere una relevancia aún mayor en entornos en la nube.
El robo de cuentas es un desafío persistente, y la migración a la nube introduce una nueva dimensión de riesgo. Los atacantes que obtienen credenciales de acceso pueden interceptar actividades, manipular datos, proporcionar información falsa y redirigir usuarios a sitios fraudulentos.
Un usuario malintencionado puede obtener acceso a información confidencial y, con un nivel creciente de autorización, acceder a sistemas críticos y datos sensibles. Este tipo de amenaza puede provenir de empleados insatisfechos o individuos que revelan secretos por compensación económica.
Las APT son una convergencia de ingeniería social y aplicaciones maliciosas, estableciendo un punto de apoyo en la infraestructura atacada desde donde se facilita el robo de datos.
El borrado accidental o eventos catastróficos, como incendios o terremotos, pueden llevar a la pérdida irreversible de datos. Para mitigar esta vulnerabilidad, es esencial implementar una estrategia de respaldo efectiva.
Es crucial evaluar las tecnologías a implementar y calibrar adecuadamente los riesgos asociados. Solo así se podrán diseñar estrategias y políticas de seguridad efectivas.
Los ciberdelincuentes pueden explotar los servicios en la nube para desplegar bots de ataque contra terceros, incluyendo ataques DDoS, envío masivo de spam o campañas de phishing.
Los ataques DoS pueden deteriorar el rendimiento de los sistemas de los usuarios legítimos o incluso provocar la pérdida total de acceso.
Los proveedores de infraestructura ofrecen servicios escalables a través de la compartición de recursos físicos, plataformas o aplicaciones. Si esta infraestructura no es completamente segura, se presentan vulnerabilidades significativas.
8. Ataques de vulneración de correos electrónicos empresariales (BEC)
Son una táctica utilizada por cibercriminales para engañar a los empleados de una empresa. En estos ataques, los delincuentes se hacen pasar por figuras de autoridad, como el director general, con el objetivo de conseguir que los empleados transfieran dinero o compartan información confidencial. Para llevar a cabo este tipo de ataques, los cibercriminales realizan una investigación detallada para identificar a sus objetivos y conocer la identidad de la persona a suplantar. Esta preparación les permite generar confianza y operar sin ser detectados.
9. Ataques de Denegación de Servicio Distribuidos (DDoS)
Son maniobras sofisticadas dirigidas a interrumpir el tráfico habitual de un servidor, llevándolo a la saturación extrema que puede resultar en su inoperatividad. Los cibercriminales emprenden tales acciones con intenciones destructivas, que van desde dañar la reputación de una entidad hasta exigir rescates a cambio de cesar la afluencia de tráfico, o incluso buscar la paralización total de un sitio web para generar caos y confusión. Estos ataques se aprovechan de la incapacidad inherente de las redes para procesar un número ilimitado de solicitudes simultáneas. Para ejecutar sus ataques masivos, los DDoS emplean redes de bots, que inundan la red con peticiones, llevando, eventualmente, a una detención total del tráfico.
En 2024, Cloudflare gestionó el ataque de denegación de servicio (DDoS) más grande registrado, que alcanzó un volumen máximo de 5,6 terabits por segundo (Tbps) y 666 millones de paquetes por segundo. Este ataque tuvo una duración aproximada de 80 segundos y fue parte de una extensa serie de ataques DDoS hipervolumétricos. Gracias a su infraestructura, la red de Cloudflare logró mitigar automáticamente el ataque de 5,6 Tbps, así como todos los demás ataques que formaban parte de esta campaña, lo que permitió proteger a sus clientes de manera efectiva.
Existen diferentes tipos de ataques DDoS, que se clasifican en tres categorías principales:
10. Filtraciones y violaciones de datos
En 2024, varias empresas experimentaron filtraciones de datos y violaciones de seguridad. Las filtraciones de datos ocurren cuando una organización expone accidentalmente información sensible, como los datos de sus clientes. Por otro lado, las violaciones de datos implican el robo de información por parte de cibercriminales que han accedido a los recursos de la empresa. Estos incidentes, ya sean consecuencia de ataques cibernéticos intencionados o no, pueden dar lugar al robo de datos e incluso de identidades. Según IBM, el coste promedio internacional de una violación de datos en 2024 ha aumentado un 10% en comparación con 2023, alcanzando aproximadamente 4,8 millones de dólares.
A fecha de octubre de 2024, las violaciones de datos se han convertido en un asunto frecuente en los medios de comunicación, con informes que aparecen casi semanalmente. Hasta este momento, se han documentado más de 1,500 millones de registros de datos filtrados a lo largo del año.
Prevenir las filtraciones de datos implica un enfoque integral que combine tecnología, formación y políticas de seguridad efectivas. Para lograrlo, se deben implementar estrategias clave, tales como:
Es crucial que los empleados estén informados sobre las amenazas más comunes y sepan cómo responder adecuadamente a ellas.
Es necesario identificar la información más sensible para poder aplicar medidas de protección adecuadas.
Se deben establecer contraseñas robustas y utilizar algoritmos de cifrado, lo que dificultará el acceso no autorizado a la información.
Es recomendable llevar a cabo auditorías de seguridad periódicas para detectar y corregir vulnerabilidades en el sistema. Estas medidas ayudarán a crear un entorno más seguro y a minimizar el riesgo de filtraciones de datos.
SEGURIDADPROTECCIÓN.COM
Zaragoza, Aragón, España
Necesitamos su consentimiento para cargar las traducciones
Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.