Cybersecurity Blog

Autor: Engel Can, Ingeniero de Proyectos, Soluciones Seguras Guatemala

Las personas a menudo suelen creer que en la ciberseguridad se trata solo de Hacking, acompañado de preguntas comunes como: “¿puedes hackear el Facebook de alguien?” “¿Puedes hackear el WhatsApp?”. Pero en realidad, solo están viendo la punta del iceberg,

En realidad, las amenazas son cada vez más complejas y algunas se combinan creando nuevas formas de ataques. Hay muchas técnicas que los atacantes utilizan hoy en día, que no solo involucran “hacking” de un sistema o entidad. Veamos a continuación algunos términos comunes en ciberseguridad:

Botnets

Estas redes comienzan con la infección de las victimas a través de software adulterado, páginas web con publicidad o incluso a través de memorias USB para tratar de infectar la mayor cantidad de dispositivos a lo largo del mundo. Cuando nuestros dispositivos son infectados, estas empiezan a actuar de forma involuntaria, haciendo que el atacante pueda tener control sobre ella realizando acciones en segundo plano sin que la victima se dé cuenta de ello. Por ejemplo, el minado de Criptomonedas ya que muchos atacantes suelen utilizar botnets para la generación de estas o emisión de consultas masivas hacia una entidad objetivo (ataque DDoS).

Scam

Existen métodos en donde no es necesario tener conocimiento sobre sistemas de información, la ingeniería social y los “scammers” es uno de ellos en donde los atacantes suelen utilizar métodos muy creativos. En el internet suelen quedar evidenciada de videos en la forma en que las personas suelen dar sus datos a desconocidos de una manera muy fácil y la forma en la que suelen burlar sistemas de seguridad personales. Suelen hacer entrevistas a las personas que están en la calle haciéndose pasar por algún programa de televisión famoso en la cual los atacantes hacen preguntas muy personales que seguramente son utilizadas por sus víctimas como métodos de recuperación de contraseñas, ejemplo de ellas son: ¿tienes mascotas?, ¿cuáles son sus nombres?, ¿Cuál es tu restaurante favorito?, ¿en donde estudiaste cuando eras pequeño? Las preguntas que suelen hacer los atacantes una vez realizado un cuestionario inicial es: ¿cuál es tu usuario de Facebook?, ¿cuál es tu usuario de Instagram? Utilizas alguna pregunta secreta como, por ejemplo: ¿el nombre de tu mascota? Con estos datos ya es suficiente para generar la recuperación de una contraseña y el atacante al hacerse pasar por un entrevistador de algún programa de televisión, no quedará evidenciado de nada. El mejor ejemplo que se puede dar es el de Gaspare Galasso quien es un civil que trabaja en una agencia inmobiliaria y por sus actuaciones logró colarse en una final de la UEFA Champions League y levantar junto a todo el equipo del Real Madrid la “Orejona”.

Phishing

El robo de credenciales o el “phishing” es la forma en la que personas entregan sus credenciales creyendo que la fuente de la información es verídica. En estos casos existe paginas web que se hacen pasar por paginas legítimas que a primera vista es difícil de detectar ya que pueden cambiar el nombre de la pagina por un numero o una mayúscula camuflando su identidad. La mayoría de los casos de este tipo de ataques son enfocados al sector bancario y vienen con un correo electrónico alertando a las victimas sobre anomalías en su cuenta bancaria o sobre algún tipo de bloqueo sobre sus credenciales de banca en línea. Muchas personas al saber sobre problemas en sus cuentas bancarias y el pánico que el correo electrónico les genera entran a las paginas web que estas les indican para realizar los cambios que les solicitan y de esta manera, entregar sus credenciales de forma voluntaria.

Hoy en día las empresas cuentan con programas de educación para sus empleados para evitar este tipo de ataques ya que con forme la tecnología avanza, los métodos son más creativos haciendo que las personas no puedan percatarse que el correo es peligroso. Otras empresas optan por la utilización de software para la rotación de credenciales ya que las empresas por política exigen a los usuarios el cambio obligatorio de sus contraseñas cada cierto tiempo, esto causa que los usuarios no se sepan sus contraseñas y opten por escribirlas en texto plano, ya sea en un cuaderno o en post-it y pegarlos en sus monitores ya que para ellos es tedioso recordarse de una nueva contraseña cada cierto tiempo.