Introduccion ALas Ciberamenazas

Introducción a las
ciberamenazas
PID_00274039
Roger Martínez
Carlos Fouz
Tiempo mínimo de dedicación recomendado: 3 horas

© FUOC • PID_00274039 Introducción a las ciberamenazas
Roger Martínez Carlos Fouz
Responsable de seguridad de la in- Máster universitario en Seguridad

formación en la Agencia de Ciberse- de las Tecnologías de la Información
guridad de Cataluña. Principalmen- y de las Comunicaciones, con más
te responsable de desplegar y coor- de diez años de experiencia en se-
dinar las actuaciones establecidas en guridad informática e informática
el Programa de ciberseguridad, di- forense. Actualmente trabaja como
señado, desarrollado y actualizado perito informático para la Adminis-
para el departamento en coherencia tración pública.
con la estrategia de ciberseguridad
de la Generalitat de Cataluña. Res-
ponsable de interpretar y trasladar
el nivel de riesgo en materia de ci-
berseguridad de un departamento.
Anteriormente, jefe de la Unidad de
Ciberseguridad del Cuerpo de Mos-
sos d'Esquadra. Dedicado a la segu-
ridad de la información y la ciberse-
guridad (2006). Dispone de varias
certificaciones, como por ejemplo la
de director de Seguridad del Minis-
terior del Interior, CISM de ISACA y
el CEH.
El encargo y la creación de este recurso de aprendizaje UOC han sido coordinados

por la profesora: Helena Rifà
Primera edición: febrero 2021

© de esta edición, Fundació Universitat Oberta de Catalunya (FUOC)
Av. Tibidabo, 39-43, 08035 Barcelona
Autoría: Roger Martínez, Carlos Fouz
Producción: FUOC
Todos los derechos reservados
Ninguna parte de esta publicación, incluido el diseño general y la cubierta, puede ser copiada,
reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea este eléctrico,
mecánico, óptico, grabación, fotocopia, o cualquier otro, sin la previa autorización escrita
del titular de los derechos.
© FUOC • PID_00274039 Introducción a las ciberamenazas
Índice
Introducción............................................................................................... 5
Objetivos....................................................................................................... 6
1. ¿Qué son las ciberamenazas?.......................................................... 7
2. Principales actores de ciberataques.............................................. 9

2.1. Estados ......................................................................................... 9
2.2. Ciberterroristas ............................................................................ 10
2.3. Movimientos activistas (hacktivistas) .......................................... 10
2.4. Ciberdelincuentes ........................................................................ 11
2.5. Actores internos .......................................................................... 12
3. Metodologías comunes de ataque.................................................. 13

3.1. Correo basura y pesca de credenciales ........................................ 13
3.2. Software de secuestro .................................................................. 14
3.3. Software malicioso ...................................................................... 15
3.4. Redes zombi ................................................................................ 16
3.5. Ataques de denegación de servicio ............................................. 17
3.6. Criptominería furtiva .................................................................. 17
3.7. Ataques web ................................................................................ 18
4. Ingeniería social................................................................................. 19
4.1. Factores psicológicos y sociales ................................................... 20
4.2. Diferentes tipos de atacantes ...................................................... 23
4.3. Ataques comunes en ingeniería social ........................................ 24
4.4. Herramientas más comunes utilizadas en ataques de
ingeniería social .......................................................................... 26
4.5. Técnicas de defensa ..................................................................... 28
5. Amenazas persistentes avanzadas................................................. 30

5.1. Ciclo de vida de una APT ........................................................... 31
5.2. Principales objetivos y consecuencias ........................................ 32
5.3. ¿Qué no es una APT? .................................................................. 33
Resumen....................................................................................................... 34
Glosario........................................................................................................ 35
Bibliografía................................................................................................. 36
© FUOC • PID_00274039 5 Introducción a las ciberamenazas
Introducción
Desafortunadamente los ciberataques se han convertido en una de las mayores

preocupaciones de los estados, tal como lo demuestran los diferentes informes
del World Economic Forum (WEF), que, año tras año, sitúan los ciberataques
entre los riesgos globales más significativos de acuerdo con la probabilidad de
que se lleven a cabo y el impacto que pueden llegar a generar.
Figura 1. Una visión de los riesgos globales
Fuente: World Economic Forum (2019). The Global Risks Report 2019 (14.ª edición).
El uso cada vez más generalizado de la tecnología y de los procesos que de-
penden de esta, hace que cada vez más aumenten los riesgos globales para
individuos, gobiernos y empresas debido a la evolución y sofisticación de las
amenazas relacionadas con este ámbito.
Objetivos
Los objetivos de aprendizaje y conocimientos que el estudiante deberá alcan-

zar después de estudiar los contenidos de este módulo son los siguientes:
1. Entender el concepto de ciberamenaza.
2. Entender y conocer los principales actores relacionados con los ciberata-

ques.
3. Entender y conocer las�metodologías�y�vectores�de�ataque más comunes.
4. Entender el concepto de ingeniería�social y sus factores psicológicos y so-

ciales.
5. Conocer cómo se identifican y clasifican los diferentes tipos de atacantes

y ataques de ingeniería social.
6. Diseñar estrategias para la prevención de los ataques de ingeniería social.
7. Entender el concepto de amenazas�persistentes�avanzadas.

1. ¿Qué son las ciberamenazas?
Para entender el concepto de ciberamenaza es necesario ir un paso más allá de

los elementos estrictamente tecnológicos, dado que detrás de estos siempre
hay un elemento humano que persigue unos intereses determinados. Así pues,
para definir correctamente las ciberamenazas hay que tener en cuenta tres
elementos principales:
1) En primer lugar, hay que valorar la intención�o�voluntad de alguien contra

su objetivo. A mayor intención, mayor probabilidad de que la amenaza per-
sista en el tiempo. Hay ocasiones en que una amenaza puede estar dirigida a
un sector concreto, por ejemplo el sector bancario, energético, textil, etc.; o
a un colectivo determinado, por ejemplo usuarios de Facebook, Twitter, etc.;
o bien puede estar dirigida contra una organización o persona concreta por
motivos económicos, intelectuales, etc.
2) Más allá de esta voluntad, el adversario necesita tener una capacidad�ope-

rativa para poder materializar la amenaza y convertirla en acciones reales que
le ayuden a lograr sus objetivos. Por ejemplo, el robo de información confi-
dencial, el sabotaje o disrupción de las operaciones de una compañía, la difu-
sión de noticias falsas, etc. Estas capacidades operativas son un elemento clave
a la hora de determinar qué grado de amenaza representa para nosotros un
determinado adversario, ya que, aunque disponga de una clara intención, si
no tiene capacidad, no supondrá una amenaza real. Cuando se habla de ca-
pacidad, se entiende cualquier elemento que pueda directa o indirectamente
ayudar a alguien a materializar su voluntad maliciosa. Así, podemos hablar de
capacidades técnicas, que permitirían, por ejemplo, llevar a cabo una intrusión
en un sistema informático, o bien de capacidades económicas, que permitirían
contratar a alguien para que las llevara a cabo.
3) Finalmente, el tercer elemento necesario para materializar una amenaza es

la oportunidad. Como en la mayoría de cosas, las amenazas también tienen
su ventana de oportunidad donde son realmente efectivas. A veces, los atacan-
tes disponen de voluntad y capacidad y esperan el momento oportuno para
conseguir el máximo beneficio posible.
Ejemplos de oportunidad
Si un determinado actor malicioso ha conseguido acceso a la cuenta bancaria de su víc-

tima, puede esperar a llevar a cabo sus acciones hasta que la víctima reciba un ingreso
significativo. Otro ejemplo de oportunidad lo encontramos en el siguiente caso: si supo-
nemos que alguien tiene la voluntad de sustraer información de una determinada com-
pañía de la competencia (intención) y dispone de un software malicioso (capacidad) que
todavía no es conocido por las empresas de seguridad, entendemos que es el momento
(oportunidad) de utilizar este software. Una vez que este software sea conocido, los fabri-
cantes de seguridad lo catalogarán y publicarán actualizaciones que le harán inservible,
por lo que ya habrá pasado su ventana de oportunidad.
En la figura 2 podemos ver la relación entre los tres elementos de las cibera-
menazas y su interdependencia.
Figura 2. Los tres elementos de las ciberamenazas

2. Principales actores de ciberataques
Detrás de cualquier ciberataque hay siempre un adversario que tiene una mo- Lectura complementaria
tivación; esta puede ser de tipo económico, político, activista, etc. A continua-
ENISA (2019). ENISA Threat
ción se muestran los principales actores que podemos encontrar detrás de los Landscape Report 2018 15 Top
ciberataques, así como los vectores de ataques que más utilizan. Cyberthreats and Trends. Dis-
ponible en:
www.enisa.europa.eu/publi-
2.1. Estados cations/enisa-threat-landsca-
pe-report-2018.
Con el paso del tiempo se va evidenciando cada vez más el incremento en

el uso de programa malicioso (malware) enfocado a explotar vulnerabilidades
de los sistemas de información de las infraestructuras críticas por parte de los
estados.
En muchas ocasiones, el objetivo de estos tipos de ataques es obtener

información sobre los niveles y medidas de seguridad que hay imple-
mentados para poder planificar acciones futuras sobre estos.
Este tipo de acciones son recurrentes por parte de los estados debido a la gran
dificultad que tienen los investigadores a la hora de atribuir su autoría; esto
les permite llevar a cabo acciones principalmente de espionaje y�sabotaje con
un bajo riesgo de ser descubiertos.
Ejemplos de ciberataques de estados
Un caso claro es el caso llamado Dragonfly 2.0, que en septiembre de 2017 publicó la
compañía de seguridad Symantec. En este caso, la campaña estaba enfocada en infectar
las redes y los sistemas de información de compañías energéticas con un primer objetivo
orientado al ciberespionaje y un objetivo final enfocado a dejar abiertas «puertas traseras»
que permitieran posteriores sabotajes. Los equipos de profesionales que investigaron el
caso detectaron este tipo de ataques en empresas energéticas de Estados Unidos, Turquía
y Suiza.
Otro caso conocido es el relacionado con un ciberataque que provocó la caída de una
buena parte de la infraestructura eléctrica de Ucrania. En junio de 2017, la empresa de
seguridad ESET publicó un informe relacionado con el código malicioso que se usó du-
rante el ataque. El código usado, al que los investigadores llamaron Industroyer, podía
comunicarse con los sistemas de control industrial (ICS) que se utilizan para el control
de redes eléctricas. En este caso, se encontraron evidencias que permitían relacionar que
el autor del ataque ya había estado actuando durante varios años en campañas de espio-
naje contra empresas e instituciones de Ucrania y contra diversos sectores en Europa y
Estados Unidos, incluido el sector energético, el gobierno, las telecomunicaciones y el
sector académico.
2.2. Ciberterroristas
Hoy en día, la actividad de los grupos terroristas en la red está asociada a com-
portamientos muy definidos de grupos terroristas convencionales. Las accio-
nes más habituales que podemos encontrar asociadas a este tipo de grupos son
aquellas destinadas a:
• el reclutamiento de nuevos miembros para la organización,

• la financiación y captación de fondos y
• las acciones de propaganda y la difusión de su ideología.
Lectura complementaria
De acuerdo con el informe de Europol, Internet organised crime threat as-
sessment (IOCTA) 2018, la obtención de fondos y el reclutamiento de EUROPOL (2018). Internet or-
ganised crime threat assessment
personal son los principales objetivos de los grupos terroristas que ope- (IOCTA) 2018.
ran en internet. Disponible en:
https://
www.europol.europa.eu/
activities-services/main-re-
Las herramientas principales que utilizan los ciberterroristas para llevar a cabo ports/internet-organised-cri-
me-threat-assessment-ioc-
su actividad son las redes� sociales y el uso de criptomonedas, lo que está ta-2018.
exigiendo una estrecha colaboración entre los cuerpos policiales y servicios de
inteligencia de todo el mundo.
En relación con la capacidad técnica de los grupos ciberterroristas, de momen-

to no se les presumen capacidades avanzadas, a pesar de que la mayoría de los
estados tienen en su agenda de seguridad nacional aspectos relacionados con
el ciberterrorismo. La preocupación de los estados suele estar relacionada con
la posibilidad de que un grupo terrorista disponga de medios técnicos para
sabotear infraestructuras críticas.
2.3. Movimientos activistas (hacktivistas)
Al igual que en el plano físico en la red, también hay grupos que tienen como
objetivo la reivindicación de diferentes causas sociales o políticas y que tratan
de llevar a cabo acciones para dar visibilidad a sus demandas.
Habitualmente los grupos de «hacktivistas» realizan campañas de des-

figuración de páginas web y ataques de denegación de servicio con el
objetivo de llamar la atención de los medios de comunicación.
Normalmente se organizan para luchar contra decisiones políticas que afectan

sobre intereses nacionales o internacionales mediante células independientes
o con muy bajo nivel asociativo. No suele haber jerarquías definidas y, a pesar
de actuar en nombre de una misma causa o bajo un mismo seudónimo, en

muchos casos actúan por libre sin seguir unas directrices concretas ni un plan
establecido.
Aparte de la desfiguración de sitios web y de los ataques de denegación de

servicio, suele ser una actividad habitual dentro de los grupos «hacktivistas» la
divulgación de información confidencial, que suelen extraer de los sitios web
previamente atacados, con el objetivo de restar credibilidad o dañar la imagen
de determinados organismos, sean públicos o privados.
Desde el punto de vista técnico, los grupos de «hacktivistas» no suelen repre-

sentar una gran amenaza, si bien suelen utilizar vulnerabilidades públicas y
conocidas que emplean contra objetivos que no están debidamente actualiza-
dos o donde las configuraciones de seguridad no son las adecuadas.
2.4. Ciberdelincuentes
La delincuencia ha encontrado en internet un medio cada vez más rentable

para llevar a cabo sus acciones.
Al incremento constante de usuarios de todo el mundo, con grandes

desigualdades de madurez respecto a la sociedad de la información, hay
que sumar las diferencias legislativas, que dificultan muchísimo a las
fuerzas y cuerpos de seguridad el esclarecimiento de muchos de los casos
relacionados con el cibercrimen.
Este escenario hace que existan auténticos paraísos cibernéticos donde, por
falta de regulación, los delincuentes encuentran un ecosistema perfecto des-
de donde llevar a cabo sus operaciones en contra de otros países, personas o
empresas.
Los objetivos de los grupos cibercriminales suelen estar relacionados directa-

mente con objetivos�económicos. El aumento en el uso de las criptomonedas
en sus operaciones también dificulta el trabajo los cuerpos policiales, que no
pueden seguir el rastro del dinero como en los modelos de banca tradiciona-
les, ya que en muchas ocasiones el diseño de estas criptomonedas ya prevé un
fuerte componente de privacidad a la vez que quedan excluidas de cualquier
control estatal.
Últimamente los grupos cibercriminales han llevado a cabo diversas campañas

relacionadas con el secuestro de la información, donde, en una primera fase
de intrusión, cifran la información de la víctima y la dejan inservible. Poste-
riormente, en una segunda fase, solicitan un rescate de tipo económico para

que la víctima pueda recuperar el acceso a sus datos. Es el caso del llamado
ransomware, que veremos más adelante.
2.5. Actores internos
Dentro del mundo de la ciberseguridad, se entiende por actores inter-

nos, o insiders, aquellas personas que, sea de manera intencionada o ne-
gligente y disponiendo de acceso legítimo a un determinado sistema de
información, llevan a cabo acciones que perjudican o ponen en riesgo
su sistema de seguridad o la información que contiene.
Dentro de este grupo, podemos encontrar desde usuarios de un sistema de

información hasta los administradores del mismo o proveedores de servicios.
La mayoría de incidentes relacionados con actores internos tiene que ver con
malas prácticas de seguridad, tales como utilizar credenciales corporativas pa-
ra usos particulares, acceder a servicios fraudulentos desde terminales corpo-
rativos, hacer uso de softwares no autorizados, etc.
Dentro de este grupo, podemos encontrar también a trabajadores desconten-

tos que tienen una voluntad manifiesta de actuar contra los intereses de su
compañía. De ahí que las compañías continúen invirtiendo en medidas de
formación y disuasión contra las malas prácticas de sus trabajadores y usuarios.
3. Metodologías comunes de ataque
En este apartado veremos cuáles son los métodos y técnicas de ataque más
habituales de acuerdo con sus características principales, tipo de objetivos se-
leccionados, vectores de infección, etc.
3.1. Correo basura y pesca de credenciales
Habitualmente se denomina correo basura, o spam, a todo el conjunto

de correo electrónico no solicitado y que tiene fines fraudulentos.
Se puede hacer una división en tres categorías de correo no deseado:
• Correo�basura,�o�spam, convencional: suelen ser correos electrónicos que

bajo el anuncio de productos y ofertas comerciales muy buenas esconden
intentos de fraude.
• Pesca�de�credenciales�o�phising: es un término que engloba aquellos men-

sajes que mediante la suplantación de identidad del emisario buscan con-
fundir a los usuarios para revelar información interna o personal, tal como
credenciales de acceso a banca electrónica, redes sociales, accesos corpo-
rativos, etc. La técnica utilizada suele ser un enlace introducido dentro del
cuerpo del correo electrónico que lleva al usuario a una página web falsa
que suplanta la identidad del servicio legítimo; cuando el usuario intro-
duce sus credenciales de acceso caen en manos de los autores de la página
web falsa. Dentro de la pesca de credenciales, llamamos pesca dirigida, o
spearphishing, a aquellos ataques que van dirigidos a individuos concretos
o a grupos específicos de usuarios, habitualmente vinculados a empresas
importantes o instituciones gubernamentales.
Phishing
Los términos phishing y spearphishing provienen del inglés y simbolizan el tipo de ataque
que llevan a cabo. El primero, phishing (en castellano, ‘pesca’), busca engañar usuarios
de alguna organización o servicio sin concretar en ninguna persona concreta; de ahí que
podamos pensar en una red de pesca que busca capturar peces -aquí víctimas- sin dife-
renciar ninguna persona en especial. En el caso del spearphishing (en castellano, ‘pesca
con lanza’), busca objetivos concretos de los cuales se suele hacer un estudio previo me-
diante información que sea de carácter público por medio de redes sociales o engañando
previamente a alguien de su círculo de amistades; de ahí que podamos pensar en la pesca
con arpón, donde se selecciona el objetivo concreto que se quiere capturar.
• Malspam: Son aquellos correos electrónicos que llevan un archivo adjunto

que esconde un software malicioso, ya sea directamente en un fichero de
apariencia legítima, por ejemplo, un archivo PDF, o que mediante enlaces
llevan a al usuario a una página web que intenta infectar el equipo de la

víctima.
Normalmente el envío de estos correos maliciosos se suele hacer mediante ser-

vidores de correos comprometidos, sistemas de información infectados pre-
viamente, o bien mediante cuentas de correo legítimas que previamente han
robado las credenciales de acceso. Todo ello dificulta la detección de la inten-
ción fraudulenta del correo y en muchas ocasiones se detecta cuando el correo
malicioso ya ha llegado a la bandeja de entrada de sus víctimas.
En términos generales, los ataques mediante este tipo de técnicas suelen ser
la primera fase de un ciberataque de mayor envergadura, ya que al sustraer
credenciales de acceso o conseguir la infección de un terminal dentro de una
organización, establecen un primer punto de entrada para posteriores acciones
de sabotaje o espionaje.
3.2. Software de secuestro
El software de secuestro, o ransomware, es un tipo de software malicioso

que impide o restringe el acceso a un equipo, sistema informático o en
la información alojada, al tiempo que pide un rescate (ransom) a cambio
de liberar los recursos de los que se ha perdido el control.
Principalmente, el software de secuestro se puede dividir en dos grupos:
• el que bloquea el acceso al equipo mediante la manipulación del proceso

de inicio del sistema operativo y posteriormente solicita un rescate me-
diante un mensaje que aparece en la pantalla, y
• el que cifra los ficheros de datos que tienen los usuarios y posteriormen-
te pide un rescate para dar la clave que permite recuperar el acceso a la
información.
Normalmente el pago del rescate se suele hacer en criptomonedas, como por

ejemplo bitcoin, a fin de mantener su anonimato.
La forma en que los ciberdelincuentes suelen infectar a sus víctimas suele ser
mediante uno de los siguientes vectores de ataque:
• Correo�electrónico que lleva adjunto un archivo o un enlace que poste-

riormente instala el código malicioso en el equipo de la víctima.
• Explotador, o exploit1 que explota vulnerabilidades de navegadores web

o sistemas operativos y que, en muchos casos, se activa cuando un usua-
rio visita una página web sin necesidad de que el usuario afectado genere
ninguna otra interacción.
(1)
Un explotador o exploit (del inglés, to exploit, ‘explotar o aprovechar’), es una pieza
de software, un fragmento de datos o una secuencia de comandos para automatizar el
aprovechamiento de un error, fallo o vulnerabilidad a fin de causar un comportamiento
no deseado o imprevisto en los programas informáticos, hardware o componente elec-
trónico (en general computado). A menudo, esto incluye cosas como la violenta toma
de control de un sistema de cómputo o permitir la escalada de privilegios o un ataque
de denegación de servicio.
• Troyano2 que permite desplegar el software de secuestrado desde del equi-

po infectado inicialmente a otros equipos o redes.
(2)
Un troyano es un programa nocivo con apariencia de software legítimo que permite
el acceso a usuarios externos mediante una red de área local o de internet con el fin de
recabar información o controlar remotamente la máquina anfitriona, pero sin afectar el
funcionamiento de la misma.
El uso de software de secuestro por parte de los ciberdelincuentes se hizo me- Enlace recomendado
diático a partir del caso de Wannacry, que en el año 2017 supuso un ciberata-
Sobre Wannacry: shorturl.at/
que a escala mundial y que afectó a numerosas compañías, muchas de ellas pIS56.
con sede en España.
3.3. Software malicioso
Entendemos por software malicioso, o malware, cualquier tipo de soft-

ware informático que realiza funciones malintencionadas y no deseadas
en un sistema informático.
Existen numerosos términos que se pueden utilizar como sinónimo de malwa-

re, si bien cada uno de ellos tiene una serie de funcionalidades específicas que
lo definen, por ejemplo:
• troyano,
• virus,
• gusano informático,
• programa espía y software de publicidad,
• registrador de teclado,
• etcétera.
En los últimos años ha crecido la aparición del denominado software�mali-

cioso�polimórfico. El malware polimórfico es aquel que tiene la capacidad de
mutar mediante su propio código de programación, lo que le permite evadir
la función de los motores de antivirus.
De acuerdo con el informe de Verizon 2018 Data Breach Investigations Report,

la mayor parte de infecciones de malware utilizan como vector de entrada el
correo electrónico con archivos adjuntos o enlaces maliciosos. Es importante
destacar el aumento de malware para dispositivos móviles y, en especial, para
dispositivos Android.
Hoy día, el software malicioso, o malware, es una de las amenazas más rele-
vantes para los usuarios, sean particulares o empresas.
3.4. Redes zombi
Una red zombi, o botnet, es un conjunto de equipos informáticos co-

nectados a la red cuya seguridad ha sido comprometida mediante un
software malicioso.
Habitualmente las redes zombi se utilizan para llevar a cabo otras tareas delic-
tivas bajo el control de un panel centralizado que permite distribuir órdenes
remotas en toda la red infectada. Habitualmente los usuarios de los equipos
o dispositivos infectados no son conscientes de que sus equipos han sido vul-
nerados y puede que no perciban ninguna anomalía en su funcionamiento.
El uso de redes zombi permite a los atacantes la penetración a gran escala a

múltiples sistemas de sus víctimas y suele tener como objetivo:
• el robo de credenciales,
• el acceso a la potencia de cálculo de los equipos infectados,
• el uso del ancho de banda,
• ataques de denegación de servicio,
• etcétera.
Las redes zombi se suelen diseñar de manera modular, lo que permite a los
delincuentes desplegar funcionalidades sobre un programa base en función
de sus objetivos o necesidades. Últimamente se han incrementado mucho las
infecciones de dispositivos IoT (del inglés, internet of things) debido a las ca-
rencias de estos tipos de dispositivos en materia de seguridad.
La gran profesionalización de los ciberdelincuentes ha favorecido la aparición Lectura complementaria

de redes zombi de alquiler que se pueden utilizar por horas, lo que hace que
Attify�Security (2019). «How
ya no sea necesario que un atacante construya su propia red zombi, sino que Mirai Botnet Hijacks Your
pueden recurrir a soluciones previamente desarrolladas de una manera relati- IoT Devices». Disponible en:
https://blog.attify.com/how-
vamente sencilla y económica. Este tipo de servicios se ofrecen normalmente mirai-botnet-hijacks-your-de-
vices/.
en la dark web y en otros foros de acceso restringido.
3.5. Ataques de denegación de servicio
En el apartado anterior hemos visto que uno de los objetivos de las redes zom-
bi, o botnets, es la ejecución de diferentes tipologías de ataque que, por sus
características, requieren de numerosos dispositivos o equipos informáticos y
actúan de manera simultánea. Una de las tipologías de ataque más común y
que dio a conocer las redes zombis son precisamente los ataques de denega-
ción de servicio o ataques distribuidos de denegación de servicio (del inglés,
Denial of Service DoS o Distributed Denial of Service DDoS).
El objetivo de un ataque DoS o DDoS es consumir todos los recursos de

la víctima de manera simultánea por parte de todos los componentes
de la red zombi.
La finalidad es doble, por un lado, se deja sin servicio un determinado siste-

ma informático y, por otro lado, se anonimiza el origen real del ataque. Por
ejemplo, si pensamos en una página de venta por internet, un ataque de tipo
DDoS tendría como finalidad dejar la página sin servicio mientras durara el
ataque, es decir, los consumidores de la página no podrían comprar mientras
el ataque extendido estuviera activo.
Los ataques DDoS suelen ser un recurso habitual de grupos «hacktivistas» que Lectura complementaria
mediante estas acciones persiguen generar un eco mediático.
Paul�Nicholson (2020).
«Five Most Famous DDoS
3.6. Criptominería furtiva Attacks and Then So-
me». A10. Disponible en:
www.a10networks.com/
blog/5-most-famous-ddos-at-
Las criptomonedas, o monedas criptográficas, funcionan sobre la base de prin-
tacks/.
cipios criptográficos, y para obtenerlas es necesario hacer uso de la capacidad
de cómputo de los equipos informáticos.
Enlace recomendado
En los últimos años se ha observado una tendencia al alza por parte de los Sobre las criptomonedas:
ciberdelincuentes que intentan obtener beneficios utilizando la potencia de https://ca.wikipedia.org/wi-
ki/Criptomoneda.
cálculo de los sistemas informáticos de terceros con el fin de llevar a cabo las
tareas de criptominería de nuevas monedas (cryptomining); es lo que se llama
criptominería furtiva, o cryptojacking.
Este tipo de ataque se basa en infectar equipos legítimos con software

malicioso que dedica los recursos computacionales de la víctima al mi-
nado de nuevas monedas, lo que reporta beneficios económicos direc-
tos a los autores del ataque gracias a la generación de nuevas criptomo-
nedas.
Este tipo de ataque suele pasar bastante inadvertido para las víctimas, ya que,
a diferencia por ejemplo del software de secuestro (ransomware), las víctimas
no tienen que hacer nada para que los delincuentes obtengan beneficios. El
único impacto que este tipo de software malicioso genera en los equipos in-
fectados es una reducción de su rendimiento, si bien en muchos casos esta
disminución puede ser bastante insignificante para que un usuario no perciba
ningún cambio de comportamiento en su equipo.
3.7. Ataques web
Este tipo de ataques van dirigidos a páginas web mediante el código de

la misma web o atacando parte del servidor donde se encuentra la web.
Como se ha explicado extensamente en el módulo «Introducción a las vulne-

rabilidades» de esta asignatura, existe la fundación�OWASP (Open Web Ap-
plication Security Project), formada por empresas, organizaciones educativas
y particulares de todo el mundo y dedicada a detectar vulnerabilidades y crear
artículos, metodologías, documentación y hasta herramientas de detección
que se utilizan en las pruebas de intrusión.
OWASP genera un documento llamado OWASP Top 10, que recoge las diez vul- Lectura complementaria
nerabilidades más importantes en aplicaciones web detectadas cada tres años
OWASP (2017). OWASP
con el fin de concienciar sobre la seguridad en las aplicaciones y los riesgos Top Ten 2017. Disponi-
que asumen las organizaciones. El último informe publicado por OWASP co- ble en: www.owasp.org/
index.php/
rresponde al Top Ten 2017. Top_10-2017_Top_10.
La mejor manera de entender cómo funcionan las vulnerabilidades de apli-

caciones web es experimentarlas, por eso existe una aplicación web diseñada
con varias vulnerabilidades, en especial, las relativas a OWASP Top Ten, con el
nombre WebGoat, que se puede descargar e integra una guía para testear las
vulnerabilidades y nos indica si hemos tenido éxito en nuestro ataque.
4. Ingeniería social
La ingeniería social engloba las acciones efectuadas sobre las personas,

empleando el engaño o manipulación psicológica, a fin de conseguir
que realicen una acción de forma voluntaria con el propósito de sacar
provecho y obtener información, acceso a sistemas no autorizados o
efectuar un fraude.
Como podemos deducir de la definición de ingeniería social, esta es ajena a la

informática y ya existía desde tiempos inmemorables, cuando se podía realizar
el engaño simplemente verbalmente para obtener información confidencial
mediante la manipulación de una persona, la cual podía facilitar algún tipo
de acción que perjudicara a una persona o a una organización.
Ejemplo: la «estafa española» (3)

Esta estafa es equiparable a la es-
tafa nigeriana de la actualidad.
3
Sobre los años 1800 existía el llamado timo del entierro, o «estafa española . Se trataba
de una simple estafa que consistía en hacer suponer que había un tesoro escondido en
cualquier parte, y que buena porción de este tesoro se entregaría a quien facilitara la suma
de dinero necesaria para desenterrarlo. Mediante la ingeniería social y la implicación de
varias personas y documentos, se manipulaba a la víctima hasta que aportara el dinero.
No se debe confundir la ingeniería social con una simple estafa, ya que la

ingeniería social se basa en el arte de manipular a las personas, que no tiene
por qué tener un objetivo delincuencial y tiene un componente psicológico
muy importante.
(4)
La ingeniería social es muy poderosa y permite obtener unos resultados muy Pretexto: Excusa o motivación
razonada que utiliza el atacante
buenos sin una inversión económica exagerada. Principalmente se basa en
para convencer a la víctima.
atacar el eslabón más débil de la organización, el usuario. De este modo, aun-
que tengamos los mejores productos de seguridad informática, si realizan un
ataque de ingeniería social sobre un usuario que tiene privilegios para realizar
la acción y este cree que debe realizar esta acción bajo un pretexto que ha ge-
nerado el atacante, la ejecutará. Por ejemplo, si un administrador de red reci-
be una llamada de un atacante que le hace creer con algún tipo de pretexto4
que es un directivo de su empresa y que necesita que le cambie la contraseña,
probablemente tenga éxito.
El principal objetivo de los ataques de ingeniería social es obtener información

a la que el atacante no debería tener acceso o suplantar la identidad de una
persona para realizar acciones en su propio provecho.
Para suplantar una identidad digital, se deben tener en cuenta tres tipos de
credenciales o formas de acceder que puedan ser requeridas por el servicio:
• Algo que sabemos, como una contraseña.

• Algo que tenemos, como una tarjeta de coordenadas o NFC.
• Algo que somos, como un parámetro biométrico.
El atacante que quiere suplantar una identidad digital debe intentar obtener
el máximo de estos valores y, aunque parezca imposible, se pueden obtener
todos.
Un ataque de ingeniería social normalmente consta de las fases de:
• buscar información, o fase de investigación,

• contactar y generar falsa confianza con la víctima,
• realizar los ataques específicos para obtener la información deseada y
• borrar nuestro rastro si fuera necesario.
4.1. Factores psicológicos y sociales
Existen muchos factores psicológicos del ser humano, o de la sociedad, que

hacen que los ataques de ingeniería social sean un tipo de ataque difícil de
parar.
Algunos de estos factores son:
1)�Curiosidad. Al recibir algún tipo de correo con alguna información intere-

sante tendemos a abrirlo e, incluso, descargar los adjuntos si creemos que pue-
de ampliar esta información. Esta curiosidad se da incluso cuando la informa-
ción del correo es poco creíble, como ofertas a precios ridículos.
2)�Compasión,�empatía�y�tendencia�a�ayudar�al�otro. Este factor se puede

aprovechar como vector de ataque haciendo creer a la víctima que lo que está
haciendo es muy importante para nosotros o para una tercera persona y que
nos haría un favor muy importante si realizara cierta acción, eso sí, debe creer
que la acción es inofensiva para la víctima.
Ejemplo
Se pide hacer un clic o visitar una página que parezca una recogida de firmas para una
obra benéfica, pero en realidad nos facilita la información de su navegador o, incluso, en
caso de ser posible, instalar un software malicioso a su máquina.
(5)
3)�Miedo�a�ser�descubierto5. Existen varios casos en los que se ha grabado a Existe el capítulo «Shut Up and
Dance» de la serie Black Mirror que
una víctima que estaba viendo páginas pornográficas por medio de su propia trata sobre este tema. Un virus ha
webcam, y más tarde le han reclamado dinero para no difundir estos vídeos. infectado el ordenador y ahora se
enfrenta a una terrible decisión: o
Es evidente que si en lugar de dinero quisiéramos que la víctima realizara una sigue las órdenes que le ordenan
por SMS o sus secretos más ínti-
acción, la haría para evitar ser descubierta.
mos saldrán a la luz.
4)�Motivaciones�de�tipo�sexual. Varios estudios han demostrado que social-

mente, desde un punto de vista masculino, si una petición, por ejemplo de
amistad en una red social, la efectúa una mujer con una apariencia basada
en los estereotipos sexuales del lugar donde se reside, tiene menos problemas
para obtener un resultado positivo a su petición.
5)�Socialmente�es�negativo�decir�«no». Si la víctima cree que la petición no le

implica ningún peligro, aunque no le implique ningún beneficio la realizará
simplemente para no tener que decir que no.
Ejemplo
Hace un tiempo hubo muchos problemas porque unos revisores de compañías de gas o de
luz pedían revisar tus recibos para poder realizarte una oferta. Mucha gente simplemente
les dejaba ver el recibo desconociendo que esta acción podría conllevar problemas para
los datos de los que estos disponían.
6)�Nos�gusta�ser�reconocidos�o�alabados. El atacante loa a la víctima para

generar un vínculo de amistad y falsa confianza que haga que esta no desconfíe
de él, baje el nivel de alerta y sea mucho más fácil poder extraerle información
confidencial.
7)�Codicia. La codicia es un factor de la condición humana y se utiliza sobre

todo en estafas como timo del entierro, o «estafa española», descrita al inicio de
este apartado. Todas tienen la característica de engañar a la víctima haciéndole
creer que si nos da dinero, tendrá una ganancia superior.
Por otra parte, las personas somos fáciles de persuadir en determinadas situa- Lectura recomendada
ciones. El doctor Robert B. Cialdini es un conocido psicólogo y escritor esta-
R.�B.�Cialdini (2008).
dounidense, trabajó durante tres años de manera «encubierta» en diversos tra- Inﬂuence: Science and Practice.
bajos y recibió enseñanzas en ventas de coches usados, organizaciones carita- Pearson Education.
tivas, firmas de telemarketing y similares, de manera que observó situaciones

reales de persuasión.
Llegó a la conclusión de que hay diferentes factores de distracción que sirven

para interferir en la capacidad de pensamiento lógico de la víctima, como son
los siguientes:
1)�Autoridad. Nuestra sociedad respeta la figura de la autoridad. En un en-

torno favorable se cuestiona poco y se tiende a obedecerla, incluso cuando se
pide a las personas que realicen actos que su conciencia o preferencia normal-
mente podrían rechazar.
Ejemplo
Recibes un correo de un atacante suplantando la identidad del personal IT de la compa-

ñía informando que debes instalar un software adjunto al correo por la seguridad de tu
estación de trabajo.
2)�Compromiso�y�consistencia. Cuando se ha establecido un compromiso,

tendemos a hacer todo lo que sea posible para realizarlo, ya que socialmente
así está establecido, ya sea por la presión social ejercida por la sociedad sobre
el individuo como por la propia imagen de la persona. De este modo, aunque
se varíe algún parámetro, después de que ya se haya llegado a un acuerdo,
tendemos a mantener el acuerdo.
Ejemplo
En las ventas de productos, como automóviles o hipotecas, suelen intentar modificar pre-
cios o características en el último momento, y a menudo funciona porque el comprador
ya ha decidido comprar. Estos factores de distracción suelen ser empleados en descargas
de complementos de juegos o sms de pago.
Asimismo, se pueden predecir las reacciones o decisiones de una persona en

función de sus acciones pasadas, ya que mantenemos una línea consistente
en nuestras decisiones.
3)�Parquedad�o�escasez. La escasez de un producto determinado o la dispo-

nibilidad limitada a un periodo de tiempo lo hace más interesante y genera
más demanda que el resto.
Ejemplo
Esta técnica es muy utilizada en encuestas donde se regala un número limitado de un

producto o en las subastas de productos.
4)� Prueba� social. Vivimos en sociedad y tenemos la tendencia a hacer las

cosas que vemos que hacen las otras personas, es decir, si las personas que
van caminando a nuestro lado se detienen y miran hacia un lado, nosotros
tenderemos a hacer lo mismo. Asimismo, en caso de duda, realizaremos las
acciones que vemos al resto.
5)�Reciprocidad. Este principio describe el hecho psicológico de que los hu-

manos sentimos la necesidad de devolver un favor. De este modo, cuando el
atacante da, o promete que dará algo, pensamos que tenemos que devolver
algo a cambio.
Ejemplo
El atacante provoca un error en el ordenador de la víctima sin que esta lo sepa y después
se lo reparara como si le hubiera hecho un favor. De esta manera nos podría pedir un
favor a cambio y sentiríamos la necesidad de hacerlo.
6)�Similitud. Prestamos más atención a todo lo que sea similar a nosotros o

nuestras preferencias. De esta manera, nos sentimos más cercanos y estamos
más abiertos a hablar con personas que compartan nuestras aficiones, prefe-
rencias, problemas o situaciones (hijos, pareja, soltero, etc.). Los atacantes pue-
den intentar establecer contacto con una determinada víctima con un pretex-
to de similitud en algún aspecto de su vida con el fin de iniciar un vínculo
sin tantas reticencias.
4.2. Diferentes tipos de atacantes
Una acción de ingeniería social con un cierto nivel de sofisticación requiere

una planificación y varias etapas, como la recopilación y clasificación de in-
formación que puede ser empleada contra la víctima o su entorno. Estas eta-
pas dependerán del tipo de atacante y su motivación para efectuar el ataque
de ingeniería social.
Podemos clasificar a los atacantes en diferentes tipos en función de su moti-

vación para efectuar el ataque:
1)�Ciberdelincuentes. El atacante es externo a la organización y tiene conoci-

mientos técnicos. Normalmente intenta efectuar un ataque de ingeniería so-
cial para obtener información que le ayude a realizar un ataque informático
posterior, como acceder a una infraestructura técnica, conocer los correos de
sus futuras víctimas, etc.
2)�Espías. El objetivo de los espías es obtener información confidencial, y la

ingeniería social es clave para obtenerla e intentar suplantar una persona con
acceso a información relevante por sus objetivos.
3)�Estafadores. El objetivo claro de este grupo es engañar a la víctima para que

le dé voluntariamente una retribución económica.
4)�Ojeadores�o�cazatalentos. El objetivo de este colectivo de reclutadores de

personal por otras empresas es el filtrado de candidatos, de manera que utilizan
ingeniería social con el candidato y la contrastan con la recopilación de datos
de diferentes fuentes abiertas como las redes sociales.
5)�Hackers�éticos. La seguridad de una compañía suele ser auditada por una Enlace recomendado
empresa externa mediante un servicio de pentesting o red team, donde se rea-
Sobre el concepto
lizan pruebas de intrusión. Dentro de todas las pruebas que realizan para dar de red team: https://
este servicio, también pueden hacer servir ingeniería social para intentar acce- en.wikipedia.org/wi-
ki/Red_team.
der a información confidencial u obtener algún tipo de información para un
ataque posterior. En definitiva, intentan realizar los mismos procedimientos
que haría un ciberdelincuente para comprobar si la empresa es vulnerable.
6)�Insiders. El atacante forma parte interna de la empresa, ya sea como cola-

borador o como trabajador. De esta manera, ya dispone de información previa
y acceso interno, lo que favorece que tenga la percepción de que puede hacer
un ataque de forma sencilla. La motivación puede ser varia, como venganza
por motivos laborales (denegación de un aumento de sueldo, etc.), por moti-
vos económicos (venta de información a terceros) o incluso por ser una vícti-
ma de un tercero que la utiliza para extraer información utilizando ingeniería
social o coacciones.
7)�Vendedores. Como hemos comentado, no siempre el uso de la ingeniería

social va asociada a una actividad ilegal. Así, los vendedores hacen servir en-
cuestas o big data para recoger información y detectar las tendencias de mer-
cado para, posteriormente, utilizando técnicas de marketing, manipular a los
potenciales compradores para hacerles creer que necesitan su producto. Asi-
mismo, dependiendo del tratamiento de datos y de cómo se realiza la tarea
de recopilación de información, puede darse el caso de que esta actividad sea
ilegal.
4.3. Ataques comunes en ingeniería social
En este apartado se desciben algunos de los ataques más conocidos y frecuentes

que se usan en la ingeniería social.
1)�Baiting. Una vez recopilada la información de la víctima sobre sus intere-

ses y sus costumbres (como las zonas donde se mueve de la organización en
función del horario), el atacante intentará depositar algún soporte o reclamo
interesante para la víctima en un lugar y a una hora donde se asegure que
solo la víctima lo encontrará (estacionamiento, cafetería, aseos, mesa común
de trabajo, etc.).
Este soporte puede ser un CD, USB, etc. que tenga una apariencia de interés
para la víctima, como «facturas 2020» o «clientes compañía X», pero tendrá
un software malicioso que se ejecutará en el ordenador de la víctima.
Para que tenga éxito, sería conveniente tener conocimientos del software y
hardware que tiene la víctima para poder utilizar un código malicioso apro-
piado.
2)�Soborno�(bribing). Un atacante externo a la organización se aprovecha de

los insiders para obtener información o realizar alguna acción dentro de la
organización a cambio de una retribución económica u otra compensación.
3)�Pesca�de�basuras. La pesca de basura (en inglés, dumpster diving o trashing)

consiste en buscar información de interés para el atacante entre los papeles
de la basura o similar. De esta manera se puede conseguir información, como
nombres, teléfonos, información sobre programas o sistemas de la organiza-
ción o víctima, firmas o logotipos originales, nombres de usuarios, datos fis-
cales, listado de clientes, etc.
Agencias de espionaje utilizan esta técnica y es muy útil para recopilar infor-
mación sobre una posible víctima, como costumbres o preferencias, nombres
de proveedores, correos de confianza u otros datos que nos permitan suplan-
tar la identidad de una persona a la que la víctima conoce o con la que tiene
relación.
4)�Escuchas. Las escuchas se basan en escuchar las conversaciones de la vícti-

ma para recopilar información que puede servir en una suplantación de iden-
tidad a posteriori.
El tipo de escucha se puede hacer mediante una escucha clandestina, o eaves-

dropping, que consiste en escuchar de forma secreta una conversación; el ras-
treo de la red, o networking sniffing, que consiste en capturar la información
que pasa por la red y por ejemplo acceder al correo electrónico para ver su
contenido; y las escuchas telefónicas, o wiretapping, que consiste en acceder
sin autorización a las conversaciones telefónicas.
5)�Ingeniería�social�inversa. Esta modalidad es compleja y normalmente va

dirigida a realizar un ataque sobre un objetivo muy concreto, ya sea individual
o colectivo.
La primera parte del ataque consiste en crear un reclamo para la víctima para,
posteriormente, generar una falsa confianza, brindar nuestra colaboración en
algún asunto y, finalmente, aprovecharnos de alguna vulnerabilidad.
Para crear el reclamo, primero es necesario obtener información de la víctima

para montar un escenario que haga que la víctima se ponga en contacto con
el atacante de forma voluntaria; por ejemplo, crear un grupo de Facebook de
interés para la víctima, crear un foro o grupo de discusión sobre intereses de
la víctima, etc.
Para generar la falsa confianza, normalmente, el atacante ofrece su ayuda para

solucionar algún problema que tenga la víctima, que muchas veces es creado
por el mismo atacante.
Ejemplos
En el caso del foro web, se puede solucionar algún problema tecnológico que la víctima
tenga para acceder correctamente. Otro ejemplo habitual es crear un perfil falso en las
redes sociales, por ejemplo, con fotos de una persona que pueda atraer sexualmente a la
víctima y que tenga preferencias similares para atraer su atención.
Finalmente, cuando ya se ha creado la relación, el atacante intentará realizar

cualquier otro tipo de ataque para sacar algún provecho.
6)�Falsas�alarmas�(hoaxes). El objetivo habitual es generar una alarma o no-

ticia falsa utilizando mensajes enviados en cadena, ya sea por correo electró-
nico, redes sociales o aplicaciones de chat como WhatsApp, y donde se pide
la difusión a toda la gente que una persona conozca.
7)�Cotilleos�de�oficina�(office�snooping). Este tipo de ataque es realizado por

insiders y se basa en aprovechar que un compañero de trabajo no ha venido
o ha salido temporalmente de su puesto de trabajo para intentar entrar en su
ordenador, buscar contraseñas apuntadas o ver documentación de trabajo.
8)�Pesca�de�credenciales. Se trata de enviar mensajes suplantando una enti-

dad. Este ataque normalmente se hace para suplantar un banco e intentar ob-
tener las credenciales bancarias de una víctima para usarlas fraudulentamente.
Respecto a los medios de envío de los mensajes:
• el phishing utiliza el correo electrónico,

• el SMSishing utiliza los SMS de telefonía,
• el vishing utiliza el sistema de telefonía tradicional, normalmente enmas-
carados en servicios de telefonía IP.
9)�Colada�(piggybacking,�tailgating). El ataque consiste en seguir de cerca un

usuario con privilegios para aprovechar un despiste de él y poder aprovecharse
de sus privilegios.
Ejemplo
El atacante espera a que un usuario abra una puerta que requiere una autentificación o
autorización que él no tiene y entra detrás de la víctima antes de que se cierre la puerta.
Del mismo modo, el atacante podría esperar a que un usuario finalizara el uso de un or-
denador y despistarlo para que no cerrara la sesión. Así, accedería después él al ordenador
y se aprovecharía de los privilegios de la víctima.
10)� Scareware. Software malicioso que hace servir la ingeniería social para
causar ansiedad o percepción de una amenaza, generalmente dirigida a un
usuario confiado y sacar un provecho económico.
Ejemplo
El ejemplo más común son los softwares gratuitos que se pueden descargar por internet
y que se hacen pasar por antivirus; estos informan a la víctima de que tiene un virus en
el ordenador (que no es cierto o lo ha instalado el mismo software descargado) y de que
se puede eliminar si se compra una versión no gratuita del mismo software haciendo un
pago en línea o por SMS para que se le facilite un código de activación del software.
11)�Mirar�por�encima�del�hombro�(shouder�surfing). El ataque consiste en

mirar de forma disimulada cuando un personal autorizado introduce un códi-
go de acceso de una puerta o una contraseña para realizar un login.
Parece muy simple, pero puede ser muy eficaz si se genera una falsa confian-
za con la víctima, y puede ser explotada tanto por personal interno como ex-
terno.
4.4. Herramientas más comunes utilizadas en ataques de

ingeniería social
Como hemos visto, la ingeniería social puede existir sin tener en cuenta nin-
guna vertiente tecnológica, pero es evidente que la tecnología permite que los
ataques lleguen a un número de víctimas potenciales mucho más elevado.
Se puede utilizar cualquier herramienta para ponerse en contacto con las víc-
timas, como correos anónimos, redes sociales, telefonía, etc.
En un ámbito más especializado, existen herramientas específicas como:
1)�Herramientas�OSINT. Estas herramientas permiten realizar búsquedas so- Enlace recomendado

bre información de fuentes abiertas, es decir, públicas o metadatos de archivos.
Ejemplo de herramienta
De esta manera, podemos iniciar fase de recopilación de información sobre OSINT en línea: https://
una víctima potencial, como por ejemplo su correo o si tiene perfil en alguna osintframework.com.
red social.
Existen muchas herramientas de este tipo, como Maltego, The Harvester, Tin-
foleaks, Metagoofil, ExifTool, etc.
2)� Social� engineer� toolkit� (SET). Conjunto de herramientas diseñadas para Enlace recomendado
realizar ataques de ingeniería social, la cual permite aprovechar vulnerabilida-
Web de la herramienta SET:
des conocidas y realizar ataques personalizados para tener más éxito. https://github.com/trusted-
sec/social-engineer-toolkit.
La herramienta SET viene configurada y preparada para usar en la distribución

Kali Linux. La aplicación dispone de las siguientes opciones:
Figura 3. Imagen del manual de la aplicación SET
No entraremos a detallar todos los apartados, pero sí mencionaremos los ata-

ques principales que permite:
• Enviar correos con un archivo malicioso adjunto a una dirección de correo

particular o de forma masiva. Dispone de opciones para generar automá-
ticamente este archivo malicioso.
• Generar una web maliciosa, la cual al ser visitada por la víctima intentará
aprovechar cualquier vulnerabilidad conocida de su ordenador para sacar
un provecho.
• Generar archivos de vídeo maliciosos o código malicioso en dispositivos

como USB, DVD, etc.
• Generar SMS de forma masiva (SMSishing).
• Generar un punto de acceso wifi falso para suplantar una wifi legítima y
capturar el tráfico de datos o realizar ataques tipo MITM.
• Generar códigos QR para suplantar otros códigos legítimos, como por

ejemplo códigos QR para descargar aplicaciones.
4.5. Técnicas de defensa
En el ámbito organizativo se deben tener unos protocolos, procedimientos y

políticas de seguridad establecidos que minimicen el efecto de los ataques de
ingeniería social, así como disponer de un plan de respuesta a los incidentes
en caso de detectarse un ataque de estas características.
Hemos visto varios tipos de ataques y por lo tanto tenemos que diseñar polí-
ticas para evitarlos. Por ejemplo, entre otros:
• Forzar que se cierren las sesiones de los ordenadores automáticamente.
• Destruir la documentación antes de tirarla a la basura.
• Disponer de una seguridad física adecuada, mucha formación y sensibili-

zación a nuestros trabajadores (formación específica a nuestros profesio-
nales IT).
• Mecanismos para evitar suplantaciones de identidad mediante diversos

factores de autentificación.
• Sand-box para las ejecuciones de archivos adjuntos a los correos de los tra-
bajadores.
Velar por la seguridad de una organización a nivel global es muy difícil y, cada
vez más, se requieren perfiles muy especializados como el de ciberseguridad
para integrar la dirección de la empresa y poder diseñar y aplicar las medidas
de seguridad en todas las escalas de la organización. Asimismo, es conveniente
realizar pruebas de intrusión (pentest) externas y de forma periódica por medio
de empresas expertas y que contemplen la ingeniería social como vector de
ataque.
En el ámbito personal y de formación de los trabajadores se debe insistir en

desconfiar y contrastar todas las peticiones que se reciban. De esta manera se
deben explicar acciones tan simples como:
• Verificar los dominios (URL) que usamos en el navegador, sobre todo si los
abrimos mediante un enlace que hemos recibido.
• No abrir los adjuntos de correos sospechosos ni sus enlaces. Desconfiar de

las ofertas de publicidad.
• Si un correo de un amigo, compañero o jefe de trabajo nos pide una ac-

ción no esperada, contrastar la petición con la persona por un medio que
tengamos acreditado (contacto de la lista de direcciones de correo, telefó-
nicamente, etc.).
• Observar la comunicación no verbal del que realiza la petición para detec-

tar nerviosismo.
• Desconfiar de los peticionarios que muestren una agresividad no usual y

que amenacen con graves consecuencias si no les hacemos caso, ya que
puede ser un atacante que intente explotar el factor de autoridad como
pretexto.
• Desconfiar de las peticiones que dan información que no se puede con-

trastar y establecer el valor por defecto de las peticiones como «no». Mu-
chas veces es mejor no efectuar una petición y esperar que se pueda con-
trastar más tarde antes de recibir un ataque de ingeniería social.
Además, del mismo modo que se ha de formar a trabajadores sobre el regla-

mento general de protección de datos (RGPD) para que tengan conocimien-
to del valor que tiene la información, también deberían explicar casos reales
sobre ingeniería social y cómo trabajan los atacantes para que el personal al-
cance unos conocimientos que hagan que su sentido común evolucione y sea
mucho más difícil que un ataque de ingeniería social tenga éxito sobre ellos.
Actividades recomendadas
1) Entrad a la siguiente dirección para ver un vídeo sobre sobre la ingeniería social:
www.youtube.com/watch?v=SSjdJgINu2E.
2) Buscad noticias sobre «ataques que han usado la ingeniería social».

5. Amenazas persistentes avanzadas
Las amenazas persistentes avanzadas, en adelante APT (del inglés, ad-

vanced persistent threats), son ciberataques con elevados componentes de
sofisticación que suelen ir dirigidos contra instituciones u organizacio-
nes concretas y que tienen como objetivo obtener acceso a las redes cor-
porativas para filtrar información y propagar el ataque a otros sistemas.
El término APT nació en 2006 de la mano del ejército del aire de Estados Uni-
dos de América, la United States Air Force (USAF), ante la necesidad de com-
partir información con empresas del sector privado y la voluntad de querer
mantener en secreto las denominaciones internas que el ejército había dado
a determinadas amenazas u operaciones clasificadas.
Podemos definir las características principales de los ataques de tipo APT de

la siguiente manera:
• Amenaza significa que hay alguien que tiene la motivación y la capaci-

dad de operar contra sus objetivos y que está organizado para hacerlo. Por
lo tanto, este adversario buscará la oportunidad para alcanzar sus metas
combinando las tácticas, técnicas y procedimientos a su alcance.
• Persistente significa que el adversario tiene la tarea formal de cumplir una

misión. No son intrusos oportunistas y los objetivos no se seleccionan al
azar, al igual que una unidad de inteligencia recibe directrices y trabaja
para satisfacer unos objetivos concretos. En este caso, persistente no quiere
decir necesariamente que necesiten ejecutar constantemente malware en
ordenadores de sus víctimas, sino que mantienen el nivel de interacción
necesario para ejecutarlo cuando es necesario.
• Avanzada significa que el adversario puede operar en todo el espectro de

intrusión de los sistemas de información. Los atacantes pueden utilizar
desde vulnerabilidades públicas y conocidas que están al alcance de todo
el mundo hasta desarrollar explotadores personalizados para su objetivo.
Suelen hacer uso de vulnerabilidades de tipo del día cero, por lo que son
muy peligrosas y difíciles de detectar.
Estos tipos de ataque cumplen los siguientes aspectos:
• Las APT son campañas prolongadas y bien coordinadas cuya intención es

lograr un objetivo contra un blanco específico.
• Una APT incorpora múltiples técnicas de ciberataque y tiene lugar en va-

rias fases que forman un único ataque coordinado.
5.1. Ciclo de vida de una APT
Como ya se ha apuntado anteriormente, las APT tienen de entre sus caracte-

rísticas la voluntad de mantenerse ocultas a lo largo del tiempo con el objetivo
de ir filtrando información y propagándose a más sistemas de información,
tal y como muestra la figura 4.
Figura 4. Fases de una APT
Fuente: CESICAT.
El ciclo de vida consiste en una repetición de las siguientes fases:
1.� Reconocimiento: el primer paso es la selección del objetivo que se va a

atacar y la recolección de tanta información como sea posible sobre la víctima,
ya sea de forma pasiva o activa, utilizando cualquier método.
2.�Ingeniería�social: realizar las técnicas explicadas sobre ingeniería social pa-

ra generar confianza y localizar un punto débil, normalmente un usuario con
ciertos privilegios, con el fin de enviar información maliciosa.
3.�Infiltración: intrusión al sistema e instalación del código malicioso.
4.�Mantenimiento: asegurar la comunicación y la persistencia del código ma-

licioso, es decir, que el código malicioso sea accesible para el atacante y conti-
núe funcionando sin ser detectado por medidas de seguridad (como el antivi-
rus) o sin necesidad de interacción por parte de la víctima.
5.�Movimento�lateral: buscar información de interés y, en caso de no encon-

trarla, intentar ganar acceso a otros ordenadores o fuentes de información de
la empresa u organismo para continuar la búsqueda.
6.�Recolección: extraer la información de interés localizada.
7.�Extracción: uso de la información confidencial para realizar acciones ma-

liciosas.
5.2. Principales objetivos y consecuencias
En general, las APT se consideran el tipo de ciberataque más peligroso de nues-

tro tiempo. Los ciberdelincuentes que las hacen servir son expertos en trabajar
sin ser detectados mientras extraen información confidencial de empresas y
organismos gubernamentales. Desgraciadamente, la mayoría de organizacio-
nes no saben que son víctimas de este tipo de ataque hasta que es demasiado
tarde.
Una de las ideas equivocadas sobre las APT es que solo afectan a las grandes
empresas de determinados sectores, que su objetivo son únicamente los siste-
mas de importancia crucial, que los usuarios finales (equipos portátiles y de
escritorio) rara vez se ven afectados o que las defensas de seguridad tradicional
ya nos protegen de estos ataques.
Como principales�objetivos tenemos:
• Económicos: robo de propiedad intelectual, información confidencial, etc.
• Militar: revelación de información privilegiada.
• Técnico: suplantar credenciales, código fuente, modificar procesos produc-

tivos, etc.
• Político: desestabilizar organizaciones, relaciones entre países, etc. Y afec-

tan a sectores tan diversos y críticos como el gubernamental, financiero,
tecnológico, industrial, etc.
Se pueden generar diferentes consecuencias, entre las que destacamos:
• Pérdidas económicas como consecuencia del paro de los procesos produc-

tivos.
• Pérdidas económicas derivadas de la pérdida de información de los pro-

ductos, de los servicios, etc.
• Pérdidas provocadas por el robo de la propiedad intelectual.

• Costes asociados a aspectos reputacionales debido a la pérdida de confian-

za por parte de clientes, empleados, colaboradores e inversores. Costes aso-
ciados para restablecer la reputación dañada.
• Costes de compensación a terceros.
5.3. ¿Qué no es una APT?
Es tan importante conocer qué es una APT como el qué no lo es y, por lo tanto,
tenemos que valorar los siguientes aspectos:
• Una APT no es una muestra aislada de código malicioso (malware), ni si- Enlace recomendado
quiera varias juntas.
The Data Breach Bloc (SC Ma-
gazine) publica las fugas de
• Una APT no es una actividad independiente. datos más importantes que
afectan a organismos públi-
cos y privados. Disponible
en: www.scmagazine.com/
• Una APT nunca inicia sin tener un blanco u objetivo específico.
the-data-breach-blog/.
Actividad recomendada
Buscad información sobre alguna de les siguientes APT:
• Operación Aurora (2009)

• Stuxnet (2010)
• Ataque a RSA SecurID (2011)
• Flame (2012)
Resumen
En este módulo hemos conocido unas de las mayores preocupaciones de los

estados, los ciberataques. Como hemos podido comprobar, detrás de estos ci-
berataques siempre hay un elemento humano que persigue unos intereses de-
terminados, y eso nos permite establecer tres items importantes que hay que
valorar para establecer si es o no una amenaza real, como son la intención o
voluntad, capacidad operativa para poder materializar la amenaza y su venta-
na de oportunidad.
También hemos conocido que los principales actores son estados, ciberterro-
ristas, «hacktivistas», ciberdelincuentes e insiders, así como las metodologías
comunes utilizadas en los diferentes tipos de ataques.
Dentro de los diferentes tipos de ataque, hemos puesto énfasis en la ingeniería

social, la cual comprende las acciones efectuadas sobre las personas, emplean-
do el engaño o manipulación psicológica, a fin de conseguir que realicen una
acción de forma voluntaria para sacar provecho y obtener información, acceso
a sistemas no autorizados o efectuar un fraude.
Los ataques de ingeniería social son un tipo de ataque difícil de parar, ya que
emplean y manipulan diversos factores psicológicos del ser humano, o de la
sociedad. En el módulo hemos podido ver los diferentes tipos de ataques que
la utilizan, así como los atacantes que utilizan estas técnicas y diversas herra-
mientas informáticas que nos ayudan y automatizan tareas relacionadas con
estos tipos de ataques.
Hemos aprendido diferentes tipos de defensa que se pueden implementar para

evitar ser víctima de un ciberataque, tanto a nivel organizativo como a nivel
personal, como protocolos, procedimientos y políticas de seguridad o plan de
respuesta a incidentes, sin olvidar la formación y sensibilización a nuestros
trabajadores, formación específica a nuestros profesionales IT, verificar los do-
minios, no abrir los adjuntos de correos sospechosos, desconfiar de las peti-
ciones que dan información que no se puede contrastar, etc.
Para finalizar el módulo, hemos analizado los ciberataques más sofisticados,

actualmente llamados amenazas persistentes avanzadas (del inglés, advanced per-
sistent threats), que se caracterizan por ser campañas prolongadas en el tiem-
po y bien coordinadas y cuya intención es la de lograr un objetivo contra un
blanco específico, así como utilizar múltiples técnicas de ciberataque que tie-
nen lugar en varias fases y forman un único ataque coordinado.
Glosario
advanced persistent threats m Ciberataques con elevados componentes de sofisticación
que suelen ir dirigidos contra instituciones u organizaciones concretas y que tienen como
objetivo obtener acceso a las redes corporativas para exfiltrar información y propagar el ata-
que a otros sistemas.
Sigla APT
cazatalentos m Reclutador de personal para otras empresas en el filtrado de candidatos.

en headhunter
código malicioso m Cualquier tipo de software informático que realiza funciones malin-
tencionadas y no deseadas en un sistema informático.
correo basura m Correos electónicos que bajo el anuncio de productos y ofertas esconden
intentos de fraude.
en spam
cryptojacking m Infectar equipos legítimos con código malicioso, o malware, que dedica
los recursos computacionales de la víctima en el minado.
Denial of Service DoS o Distributed Denial of Service DDoS m Ataque con el objetivo
de consumir todos los recursos de la víctima de forma simultánea por parte de todos los
componentes de la red zombi, de tal manera que el sistema de la víctima deje de prestar
servicios.
explotador f Pieza de software, un fragmento de datos o una secuencia de comandos para

automatizar el aprovechamiento de un error, fallo o vulnerabilidad a fin de causar un com-
portamiento no deseado o imprevisto en los programas informáticos, hardware o compo-
nente electrónico (en general computado).
hacker ético m Profesional de la seguridad que es contratado para hackear un sistema e

identificar y reparar posibles vulnerabilidades.
ingeniería social f Acciones efectuadas sobre las personas, utilizando el engaño o mani-
pulación psicológica, para conseguir que realicen una acción de forma voluntaria a fin de
sacar provecho y obtener información, acceso a sistemas no autorizados o efectuar un fraude.
insider m Atacante que forma parte interna de la empresa, sea como colaborador o traba-
jador.
malspam m Correos electrónicos que llevan un archivo adjunto que esconde un software
malicioso.
Open Web Application Security Project f Fundación formada por empresas, organi-
zaciones educativas y particulares de todo el mundo dedicada a detectar vulnerabilidades y
crear artículos, metodologías, documentación e incluso herramientas de detección que son
empleadas en las pruebas de intrusión.
sigla OWASP
phishing m Mensajes que, mediante la suplantación de identidad del emisario, buscan

confundir a los usuarios con el fin de revelar información interna o personal, tal como cre-
denciales de acceso a banca electrónica, redes sociales, accesos corporativos, etc.
pretexto m Excusa o motivación razonada que utiliza el atacante para convencer a la víc-
tima.
ransomware m Software malicioso que impide o restringe el acceso a un equipo o sistema

informático o en la información que tiene alojada y pide un rescate para liberar los recursos
de los que el usuario ha perdido el control.
red zombi f Conjunto de equipos informáticos conectados en la red cuya seguridad ha

sido comprometida mediante un código malicioso, o malware.
spearphishing f Técnica de phishing que busca objetivos concretos, de los que se suele
hacer un estudio previo mediante información que sea de carácter público por medio de
redes sociales o engañando previamente a alguien de su círculo de amistades.
Bibliografía
Cesicat. «Que és l’enginyeria social?»
Cesicat. «Una mirada a la ciberseguretat industrial» [en lí-

nea]. <https://ciberseguretat.gencat.cat/web/.content/PDF/Una-mirada-a-la-seguretat-indus-
trial-CESICAT.pdf>.
Cialdini, R. B. (2008). Inﬂuence: Science and Practice (5.ª ed.). Harlow (Reino Unido): Pearson
Education.
Piper, S.; Fireeye (2013). Definitive guide to next generation threat protection. Annapolis: Cy-
berEdge.
Ramos Varón, A. Á.; Barbero Muñoz, C. A.; Marugán Rodríguez, D.; González
Durán, I. (2015). Hacking con ingeniería social Técnicas para hackear humanos. Paracuellos de
Jarama (Madrid): Editorial Ra-Ma. ISBN: 978-84-9964-539-1.

Introduccion ALas Ciberamenazas

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Introduccion ALas Ciberamenazas

Uploaded by

Copyright:

Available Formats

Introducción a las

Tiempo mínimo de dedicación recomendado: 3 horas

Roger Martínez Carlos Fouz

Responsable de seguridad de la in- Máster universitario en Seguridad

El encargo y la creación de este recurso de aprendizaje UOC han sido coordinados

Primera edición: febrero 2021

1. ¿Qué son las ciberamenazas?.......................................................... 7

2. Principales actores de ciberataques.............................................. 9

3. Metodologías comunes de ataque.................................................. 13

5. Amenazas persistentes avanzadas................................................. 30

Desafortunadamente los ciberataques se han convertido en una de las mayores

Figura 1. Una visión de los riesgos globales

Los objetivos de aprendizaje y conocimientos que el estudiante deberá alcan-

1. Entender el concepto de ciberamenaza.

2. Entender y conocer los principales actores relacionados con los ciberata-

3. Entender y conocer las�metodologías�y�vectores�de�ataque más comunes.

4. Entender el concepto de ingeniería�social y sus factores psicológicos y so-

5. Conocer cómo se identifican y clasifican los diferentes tipos de atacantes

6. Diseñar estrategias para la prevención de los ataques de ingeniería social.

7. Entender el concepto de amenazas�persistentes�avanzadas.

1. ¿Qué son las ciberamenazas?

Para entender el concepto de ciberamenaza es necesario ir un paso más allá de

1) En primer lugar, hay que valorar la intención�o�voluntad de alguien contra

2) Más allá de esta voluntad, el adversario necesita tener una capacidad�ope-

3) Finalmente, el tercer elemento necesario para materializar una amenaza es

Si un determinado actor malicioso ha conseguido acceso a la cuenta bancaria de su víc-

Figura 2. Los tres elementos de las ciberamenazas

2. Principales actores de ciberataques

Con el paso del tiempo se va evidenciando cada vez más el incremento en

En muchas ocasiones, el objetivo de estos tipos de ataques es obtener

Ejemplos de ciberataques de estados

• el reclutamiento de nuevos miembros para la organización,

En relación con la capacidad técnica de los grupos ciberterroristas, de momen-

2.3. Movimientos activistas (hacktivistas)

Habitualmente los grupos de «hacktivistas» realizan campañas de des-

Normalmente se organizan para luchar contra decisiones políticas que afectan

de actuar en nombre de una misma causa o bajo un mismo seudónimo, en

Aparte de la desfiguración de sitios web y de los ataques de denegación de

Desde el punto de vista técnico, los grupos de «hacktivistas» no suelen repre-

La delincuencia ha encontrado en internet un medio cada vez más rentable

Al incremento constante de usuarios de todo el mundo, con grandes

Los objetivos de los grupos cibercriminales suelen estar relacionados directa-

Últimamente los grupos cibercriminales han llevado a cabo diversas campañas

riormente, en una segunda fase, solicitan un rescate de tipo económico para

2.5. Actores internos

Dentro del mundo de la ciberseguridad, se entiende por actores inter-

Dentro de este grupo, podemos encontrar desde usuarios de un sistema de

Dentro de este grupo, podemos encontrar también a trabajadores desconten-

3. Metodologías comunes de ataque

3.1. Correo basura y pesca de credenciales

Habitualmente se denomina correo basura, o spam, a todo el conjunto

Se puede hacer una división en tres categorías de correo no deseado:

• Correo�basura,�o�spam, convencional: suelen ser correos electrónicos que

• Pesca�de�credenciales�o�phising: es un término que engloba aquellos men-

• Malspam: Son aquellos correos electrónicos que llevan un archivo adjunto

llevan a al usuario a una página web que intenta infectar el equipo de la

Normalmente el envío de estos correos maliciosos se suele hacer mediante ser-

3.2. Software de secuestro

El software de secuestro, o ransomware, es un tipo de software malicioso

Principalmente, el software de secuestro se puede dividir en dos grupos:

• el que bloquea el acceso al equipo mediante la manipulación del proceso

Normalmente el pago del rescate se suele hacer en criptomonedas, como por

• Correo�electrónico que lleva adjunto un archivo o un enlace que poste-