Professional Documents
Culture Documents
Introduccion ALas Ciberamenazas
Introduccion ALas Ciberamenazas
ciberamenazas
PID_00274039
Roger Martínez
Carlos Fouz
Ninguna parte de esta publicación, incluido el diseño general y la cubierta, puede ser copiada,
reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea este eléctrico,
mecánico, óptico, grabación, fotocopia, o cualquier otro, sin la previa autorización escrita
del titular de los derechos.
© FUOC • PID_00274039 Introducción a las ciberamenazas
Índice
Introducción............................................................................................... 5
Objetivos....................................................................................................... 6
4. Ingeniería social................................................................................. 19
4.1. Factores psicológicos y sociales ................................................... 20
4.2. Diferentes tipos de atacantes ...................................................... 23
4.3. Ataques comunes en ingeniería social ........................................ 24
4.4. Herramientas más comunes utilizadas en ataques de
ingeniería social .......................................................................... 26
4.5. Técnicas de defensa ..................................................................... 28
Resumen....................................................................................................... 34
Glosario........................................................................................................ 35
Bibliografía................................................................................................. 36
© FUOC • PID_00274039 5 Introducción a las ciberamenazas
Introducción
Fuente: World Economic Forum (2019). The Global Risks Report 2019 (14.ª edición).
El uso cada vez más generalizado de la tecnología y de los procesos que de-
penden de esta, hace que cada vez más aumenten los riesgos globales para
individuos, gobiernos y empresas debido a la evolución y sofisticación de las
amenazas relacionadas con este ámbito.
© FUOC • PID_00274039 6 Introducción a las ciberamenazas
Objetivos
Ejemplos de oportunidad
En la figura 2 podemos ver la relación entre los tres elementos de las cibera-
menazas y su interdependencia.
Detrás de cualquier ciberataque hay siempre un adversario que tiene una mo- Lectura complementaria
tivación; esta puede ser de tipo económico, político, activista, etc. A continua-
ENISA (2019). ENISA Threat
ción se muestran los principales actores que podemos encontrar detrás de los Landscape Report 2018 15 Top
ciberataques, así como los vectores de ataques que más utilizan. Cyberthreats and Trends. Dis-
ponible en:
www.enisa.europa.eu/publi-
2.1. Estados cations/enisa-threat-landsca-
pe-report-2018.
Este tipo de acciones son recurrentes por parte de los estados debido a la gran
dificultad que tienen los investigadores a la hora de atribuir su autoría; esto
les permite llevar a cabo acciones principalmente de espionaje y�sabotaje con
un bajo riesgo de ser descubiertos.
Un caso claro es el caso llamado Dragonfly 2.0, que en septiembre de 2017 publicó la
compañía de seguridad Symantec. En este caso, la campaña estaba enfocada en infectar
las redes y los sistemas de información de compañías energéticas con un primer objetivo
orientado al ciberespionaje y un objetivo final enfocado a dejar abiertas «puertas traseras»
que permitieran posteriores sabotajes. Los equipos de profesionales que investigaron el
caso detectaron este tipo de ataques en empresas energéticas de Estados Unidos, Turquía
y Suiza.
Otro caso conocido es el relacionado con un ciberataque que provocó la caída de una
buena parte de la infraestructura eléctrica de Ucrania. En junio de 2017, la empresa de
seguridad ESET publicó un informe relacionado con el código malicioso que se usó du-
rante el ataque. El código usado, al que los investigadores llamaron Industroyer, podía
comunicarse con los sistemas de control industrial (ICS) que se utilizan para el control
de redes eléctricas. En este caso, se encontraron evidencias que permitían relacionar que
el autor del ataque ya había estado actuando durante varios años en campañas de espio-
naje contra empresas e instituciones de Ucrania y contra diversos sectores en Europa y
Estados Unidos, incluido el sector energético, el gobierno, las telecomunicaciones y el
sector académico.
© FUOC • PID_00274039 10 Introducción a las ciberamenazas
2.2. Ciberterroristas
Hoy en día, la actividad de los grupos terroristas en la red está asociada a com-
portamientos muy definidos de grupos terroristas convencionales. Las accio-
nes más habituales que podemos encontrar asociadas a este tipo de grupos son
aquellas destinadas a:
Lectura complementaria
De acuerdo con el informe de Europol, Internet organised crime threat as-
sessment (IOCTA) 2018, la obtención de fondos y el reclutamiento de EUROPOL (2018). Internet or-
ganised crime threat assessment
personal son los principales objetivos de los grupos terroristas que ope- (IOCTA) 2018.
ran en internet. Disponible en:
https://
www.europol.europa.eu/
activities-services/main-re-
Las herramientas principales que utilizan los ciberterroristas para llevar a cabo ports/internet-organised-cri-
me-threat-assessment-ioc-
su actividad son las redes� sociales y el uso de criptomonedas, lo que está ta-2018.
exigiendo una estrecha colaboración entre los cuerpos policiales y servicios de
inteligencia de todo el mundo.
Al igual que en el plano físico en la red, también hay grupos que tienen como
objetivo la reivindicación de diferentes causas sociales o políticas y que tratan
de llevar a cabo acciones para dar visibilidad a sus demandas.
2.4. Ciberdelincuentes
Este escenario hace que existan auténticos paraísos cibernéticos donde, por
falta de regulación, los delincuentes encuentran un ecosistema perfecto des-
de donde llevar a cabo sus operaciones en contra de otros países, personas o
empresas.
En este apartado veremos cuáles son los métodos y técnicas de ataque más
habituales de acuerdo con sus características principales, tipo de objetivos se-
leccionados, vectores de infección, etc.
Phishing
Los términos phishing y spearphishing provienen del inglés y simbolizan el tipo de ataque
que llevan a cabo. El primero, phishing (en castellano, ‘pesca’), busca engañar usuarios
de alguna organización o servicio sin concretar en ninguna persona concreta; de ahí que
podamos pensar en una red de pesca que busca capturar peces -aquí víctimas- sin dife-
renciar ninguna persona en especial. En el caso del spearphishing (en castellano, ‘pesca
con lanza’), busca objetivos concretos de los cuales se suele hacer un estudio previo me-
diante información que sea de carácter público por medio de redes sociales o engañando
previamente a alguien de su círculo de amistades; de ahí que podamos pensar en la pesca
con arpón, donde se selecciona el objetivo concreto que se quiere capturar.
En términos generales, los ataques mediante este tipo de técnicas suelen ser
la primera fase de un ciberataque de mayor envergadura, ya que al sustraer
credenciales de acceso o conseguir la infección de un terminal dentro de una
organización, establecen un primer punto de entrada para posteriores acciones
de sabotaje o espionaje.
• el que cifra los ficheros de datos que tienen los usuarios y posteriormen-
te pide un rescate para dar la clave que permite recuperar el acceso a la
información.
La forma en que los ciberdelincuentes suelen infectar a sus víctimas suele ser
mediante uno de los siguientes vectores de ataque:
rio visita una página web sin necesidad de que el usuario afectado genere
ninguna otra interacción.
(1)
Un explotador o exploit (del inglés, to exploit, ‘explotar o aprovechar’), es una pieza
de software, un fragmento de datos o una secuencia de comandos para automatizar el
aprovechamiento de un error, fallo o vulnerabilidad a fin de causar un comportamiento
no deseado o imprevisto en los programas informáticos, hardware o componente elec-
trónico (en general computado). A menudo, esto incluye cosas como la violenta toma
de control de un sistema de cómputo o permitir la escalada de privilegios o un ataque
de denegación de servicio.
(2)
Un troyano es un programa nocivo con apariencia de software legítimo que permite
el acceso a usuarios externos mediante una red de área local o de internet con el fin de
recabar información o controlar remotamente la máquina anfitriona, pero sin afectar el
funcionamiento de la misma.
El uso de software de secuestro por parte de los ciberdelincuentes se hizo me- Enlace recomendado
diático a partir del caso de Wannacry, que en el año 2017 supuso un ciberata-
Sobre Wannacry: shorturl.at/
que a escala mundial y que afectó a numerosas compañías, muchas de ellas pIS56.
con sede en España.
• troyano,
• virus,
• gusano informático,
• programa espía y software de publicidad,
• registrador de teclado,
• etcétera.
Hoy día, el software malicioso, o malware, es una de las amenazas más rele-
vantes para los usuarios, sean particulares o empresas.
Habitualmente las redes zombi se utilizan para llevar a cabo otras tareas delic-
tivas bajo el control de un panel centralizado que permite distribuir órdenes
remotas en toda la red infectada. Habitualmente los usuarios de los equipos
o dispositivos infectados no son conscientes de que sus equipos han sido vul-
nerados y puede que no perciban ninguna anomalía en su funcionamiento.
• el robo de credenciales,
• el acceso a la potencia de cálculo de los equipos infectados,
• el uso del ancho de banda,
• ataques de denegación de servicio,
• etcétera.
Las redes zombi se suelen diseñar de manera modular, lo que permite a los
delincuentes desplegar funcionalidades sobre un programa base en función
de sus objetivos o necesidades. Últimamente se han incrementado mucho las
infecciones de dispositivos IoT (del inglés, internet of things) debido a las ca-
rencias de estos tipos de dispositivos en materia de seguridad.
En el apartado anterior hemos visto que uno de los objetivos de las redes zom-
bi, o botnets, es la ejecución de diferentes tipologías de ataque que, por sus
características, requieren de numerosos dispositivos o equipos informáticos y
actúan de manera simultánea. Una de las tipologías de ataque más común y
que dio a conocer las redes zombis son precisamente los ataques de denega-
ción de servicio o ataques distribuidos de denegación de servicio (del inglés,
Denial of Service DoS o Distributed Denial of Service DDoS).
Los ataques DDoS suelen ser un recurso habitual de grupos «hacktivistas» que Lectura complementaria
mediante estas acciones persiguen generar un eco mediático.
Paul�Nicholson (2020).
«Five Most Famous DDoS
3.6. Criptominería furtiva Attacks and Then So-
me». A10. Disponible en:
www.a10networks.com/
blog/5-most-famous-ddos-at-
Las criptomonedas, o monedas criptográficas, funcionan sobre la base de prin-
tacks/.
cipios criptográficos, y para obtenerlas es necesario hacer uso de la capacidad
de cómputo de los equipos informáticos.
Enlace recomendado
En los últimos años se ha observado una tendencia al alza por parte de los Sobre las criptomonedas:
ciberdelincuentes que intentan obtener beneficios utilizando la potencia de https://ca.wikipedia.org/wi-
ki/Criptomoneda.
cálculo de los sistemas informáticos de terceros con el fin de llevar a cabo las
tareas de criptominería de nuevas monedas (cryptomining); es lo que se llama
criptominería furtiva, o cryptojacking.
Este tipo de ataque suele pasar bastante inadvertido para las víctimas, ya que,
a diferencia por ejemplo del software de secuestro (ransomware), las víctimas
no tienen que hacer nada para que los delincuentes obtengan beneficios. El
único impacto que este tipo de software malicioso genera en los equipos in-
fectados es una reducción de su rendimiento, si bien en muchos casos esta
disminución puede ser bastante insignificante para que un usuario no perciba
ningún cambio de comportamiento en su equipo.
OWASP genera un documento llamado OWASP Top 10, que recoge las diez vul- Lectura complementaria
nerabilidades más importantes en aplicaciones web detectadas cada tres años
OWASP (2017). OWASP
con el fin de concienciar sobre la seguridad en las aplicaciones y los riesgos Top Ten 2017. Disponi-
que asumen las organizaciones. El último informe publicado por OWASP co- ble en: www.owasp.org/
index.php/
rresponde al Top Ten 2017. Top_10-2017_Top_10.
4. Ingeniería social
(4)
La ingeniería social es muy poderosa y permite obtener unos resultados muy Pretexto: Excusa o motivación
razonada que utiliza el atacante
buenos sin una inversión económica exagerada. Principalmente se basa en
para convencer a la víctima.
atacar el eslabón más débil de la organización, el usuario. De este modo, aun-
que tengamos los mejores productos de seguridad informática, si realizan un
ataque de ingeniería social sobre un usuario que tiene privilegios para realizar
la acción y este cree que debe realizar esta acción bajo un pretexto que ha ge-
nerado el atacante, la ejecutará. Por ejemplo, si un administrador de red reci-
be una llamada de un atacante que le hace creer con algún tipo de pretexto4
que es un directivo de su empresa y que necesita que le cambie la contraseña,
probablemente tenga éxito.
Para suplantar una identidad digital, se deben tener en cuenta tres tipos de
credenciales o formas de acceder que puedan ser requeridas por el servicio:
© FUOC • PID_00274039 20 Introducción a las ciberamenazas
El atacante que quiere suplantar una identidad digital debe intentar obtener
el máximo de estos valores y, aunque parezca imposible, se pueden obtener
todos.
Ejemplo
Se pide hacer un clic o visitar una página que parezca una recogida de firmas para una
obra benéfica, pero en realidad nos facilita la información de su navegador o, incluso, en
caso de ser posible, instalar un software malicioso a su máquina.
(5)
3)�Miedo�a�ser�descubierto5. Existen varios casos en los que se ha grabado a Existe el capítulo «Shut Up and
Dance» de la serie Black Mirror que
una víctima que estaba viendo páginas pornográficas por medio de su propia trata sobre este tema. Un virus ha
webcam, y más tarde le han reclamado dinero para no difundir estos vídeos. infectado el ordenador y ahora se
enfrenta a una terrible decisión: o
Es evidente que si en lugar de dinero quisiéramos que la víctima realizara una sigue las órdenes que le ordenan
por SMS o sus secretos más ínti-
acción, la haría para evitar ser descubierta.
mos saldrán a la luz.
© FUOC • PID_00274039 21 Introducción a las ciberamenazas
Ejemplo
Hace un tiempo hubo muchos problemas porque unos revisores de compañías de gas o de
luz pedían revisar tus recibos para poder realizarte una oferta. Mucha gente simplemente
les dejaba ver el recibo desconociendo que esta acción podría conllevar problemas para
los datos de los que estos disponían.
Por otra parte, las personas somos fáciles de persuadir en determinadas situa- Lectura recomendada
ciones. El doctor Robert B. Cialdini es un conocido psicólogo y escritor esta-
R.�B.�Cialdini (2008).
dounidense, trabajó durante tres años de manera «encubierta» en diversos tra- Influence: Science and Practice.
bajos y recibió enseñanzas en ventas de coches usados, organizaciones carita- Pearson Education.
Ejemplo
Ejemplo
En las ventas de productos, como automóviles o hipotecas, suelen intentar modificar pre-
cios o características en el último momento, y a menudo funciona porque el comprador
ya ha decidido comprar. Estos factores de distracción suelen ser empleados en descargas
de complementos de juegos o sms de pago.
Ejemplo
Ejemplo
El atacante provoca un error en el ordenador de la víctima sin que esta lo sepa y después
se lo reparara como si le hubiera hecho un favor. De esta manera nos podría pedir un
favor a cambio y sentiríamos la necesidad de hacerlo.
5)�Hackers�éticos. La seguridad de una compañía suele ser auditada por una Enlace recomendado
empresa externa mediante un servicio de pentesting o red team, donde se rea-
Sobre el concepto
lizan pruebas de intrusión. Dentro de todas las pruebas que realizan para dar de red team: https://
este servicio, también pueden hacer servir ingeniería social para intentar acce- en.wikipedia.org/wi-
ki/Red_team.
der a información confidencial u obtener algún tipo de información para un
ataque posterior. En definitiva, intentan realizar los mismos procedimientos
que haría un ciberdelincuente para comprobar si la empresa es vulnerable.
Este soporte puede ser un CD, USB, etc. que tenga una apariencia de interés
para la víctima, como «facturas 2020» o «clientes compañía X», pero tendrá
un software malicioso que se ejecutará en el ordenador de la víctima.
Para que tenga éxito, sería conveniente tener conocimientos del software y
hardware que tiene la víctima para poder utilizar un código malicioso apro-
piado.
Agencias de espionaje utilizan esta técnica y es muy útil para recopilar infor-
mación sobre una posible víctima, como costumbres o preferencias, nombres
de proveedores, correos de confianza u otros datos que nos permitan suplan-
tar la identidad de una persona a la que la víctima conoce o con la que tiene
relación.
© FUOC • PID_00274039 25 Introducción a las ciberamenazas
La primera parte del ataque consiste en crear un reclamo para la víctima para,
posteriormente, generar una falsa confianza, brindar nuestra colaboración en
algún asunto y, finalmente, aprovecharnos de alguna vulnerabilidad.
Ejemplos
En el caso del foro web, se puede solucionar algún problema tecnológico que la víctima
tenga para acceder correctamente. Otro ejemplo habitual es crear un perfil falso en las
redes sociales, por ejemplo, con fotos de una persona que pueda atraer sexualmente a la
víctima y que tenga preferencias similares para atraer su atención.
Ejemplo
El atacante espera a que un usuario abra una puerta que requiere una autentificación o
autorización que él no tiene y entra detrás de la víctima antes de que se cierre la puerta.
Del mismo modo, el atacante podría esperar a que un usuario finalizara el uso de un or-
denador y despistarlo para que no cerrara la sesión. Así, accedería después él al ordenador
y se aprovecharía de los privilegios de la víctima.
10)� Scareware. Software malicioso que hace servir la ingeniería social para
causar ansiedad o percepción de una amenaza, generalmente dirigida a un
usuario confiado y sacar un provecho económico.
Ejemplo
El ejemplo más común son los softwares gratuitos que se pueden descargar por internet
y que se hacen pasar por antivirus; estos informan a la víctima de que tiene un virus en
el ordenador (que no es cierto o lo ha instalado el mismo software descargado) y de que
se puede eliminar si se compra una versión no gratuita del mismo software haciendo un
pago en línea o por SMS para que se le facilite un código de activación del software.
Parece muy simple, pero puede ser muy eficaz si se genera una falsa confian-
za con la víctima, y puede ser explotada tanto por personal interno como ex-
terno.
Como hemos visto, la ingeniería social puede existir sin tener en cuenta nin-
guna vertiente tecnológica, pero es evidente que la tecnología permite que los
ataques lleguen a un número de víctimas potenciales mucho más elevado.
© FUOC • PID_00274039 27 Introducción a las ciberamenazas
Se puede utilizar cualquier herramienta para ponerse en contacto con las víc-
timas, como correos anónimos, redes sociales, telefonía, etc.
red social.
Existen muchas herramientas de este tipo, como Maltego, The Harvester, Tin-
foleaks, Metagoofil, ExifTool, etc.
2)� Social� engineer� toolkit� (SET). Conjunto de herramientas diseñadas para Enlace recomendado
realizar ataques de ingeniería social, la cual permite aprovechar vulnerabilida-
Web de la herramienta SET:
des conocidas y realizar ataques personalizados para tener más éxito. https://github.com/trusted-
sec/social-engineer-toolkit.
• Generar una web maliciosa, la cual al ser visitada por la víctima intentará
aprovechar cualquier vulnerabilidad conocida de su ordenador para sacar
un provecho.
© FUOC • PID_00274039 28 Introducción a las ciberamenazas
• Generar un punto de acceso wifi falso para suplantar una wifi legítima y
capturar el tráfico de datos o realizar ataques tipo MITM.
Hemos visto varios tipos de ataques y por lo tanto tenemos que diseñar polí-
ticas para evitarlos. Por ejemplo, entre otros:
• Sand-box para las ejecuciones de archivos adjuntos a los correos de los tra-
bajadores.
Velar por la seguridad de una organización a nivel global es muy difícil y, cada
vez más, se requieren perfiles muy especializados como el de ciberseguridad
para integrar la dirección de la empresa y poder diseñar y aplicar las medidas
de seguridad en todas las escalas de la organización. Asimismo, es conveniente
realizar pruebas de intrusión (pentest) externas y de forma periódica por medio
de empresas expertas y que contemplen la ingeniería social como vector de
ataque.
© FUOC • PID_00274039 29 Introducción a las ciberamenazas
• Verificar los dominios (URL) que usamos en el navegador, sobre todo si los
abrimos mediante un enlace que hemos recibido.
Actividades recomendadas
1) Entrad a la siguiente dirección para ver un vídeo sobre sobre la ingeniería social:
www.youtube.com/watch?v=SSjdJgINu2E.
El término APT nació en 2006 de la mano del ejército del aire de Estados Uni-
dos de América, la United States Air Force (USAF), ante la necesidad de com-
partir información con empresas del sector privado y la voluntad de querer
mantener en secreto las denominaciones internas que el ejército había dado
a determinadas amenazas u operaciones clasificadas.
Fuente: CESICAT.
Una de las ideas equivocadas sobre las APT es que solo afectan a las grandes
empresas de determinados sectores, que su objetivo son únicamente los siste-
mas de importancia crucial, que los usuarios finales (equipos portátiles y de
escritorio) rara vez se ven afectados o que las defensas de seguridad tradicional
ya nos protegen de estos ataques.
Es tan importante conocer qué es una APT como el qué no lo es y, por lo tanto,
tenemos que valorar los siguientes aspectos:
• Una APT no es una muestra aislada de código malicioso (malware), ni si- Enlace recomendado
quiera varias juntas.
The Data Breach Bloc (SC Ma-
gazine) publica las fugas de
• Una APT no es una actividad independiente. datos más importantes que
afectan a organismos públi-
cos y privados. Disponible
en: www.scmagazine.com/
• Una APT nunca inicia sin tener un blanco u objetivo específico.
the-data-breach-blog/.
Actividad recomendada
Resumen
También hemos conocido que los principales actores son estados, ciberterro-
ristas, «hacktivistas», ciberdelincuentes e insiders, así como las metodologías
comunes utilizadas en los diferentes tipos de ataques.
Los ataques de ingeniería social son un tipo de ataque difícil de parar, ya que
emplean y manipulan diversos factores psicológicos del ser humano, o de la
sociedad. En el módulo hemos podido ver los diferentes tipos de ataques que
la utilizan, así como los atacantes que utilizan estas técnicas y diversas herra-
mientas informáticas que nos ayudan y automatizan tareas relacionadas con
estos tipos de ataques.
Glosario
advanced persistent threats m Ciberataques con elevados componentes de sofisticación
que suelen ir dirigidos contra instituciones u organizaciones concretas y que tienen como
objetivo obtener acceso a las redes corporativas para exfiltrar información y propagar el ata-
que a otros sistemas.
Sigla APT
código malicioso m Cualquier tipo de software informático que realiza funciones malin-
tencionadas y no deseadas en un sistema informático.
correo basura m Correos electónicos que bajo el anuncio de productos y ofertas esconden
intentos de fraude.
en spam
cryptojacking m Infectar equipos legítimos con código malicioso, o malware, que dedica
los recursos computacionales de la víctima en el minado.
Denial of Service DoS o Distributed Denial of Service DDoS m Ataque con el objetivo
de consumir todos los recursos de la víctima de forma simultánea por parte de todos los
componentes de la red zombi, de tal manera que el sistema de la víctima deje de prestar
servicios.
ingeniería social f Acciones efectuadas sobre las personas, utilizando el engaño o mani-
pulación psicológica, para conseguir que realicen una acción de forma voluntaria a fin de
sacar provecho y obtener información, acceso a sistemas no autorizados o efectuar un fraude.
insider m Atacante que forma parte interna de la empresa, sea como colaborador o traba-
jador.
malspam m Correos electrónicos que llevan un archivo adjunto que esconde un software
malicioso.
Open Web Application Security Project f Fundación formada por empresas, organi-
zaciones educativas y particulares de todo el mundo dedicada a detectar vulnerabilidades y
crear artículos, metodologías, documentación e incluso herramientas de detección que son
empleadas en las pruebas de intrusión.
sigla OWASP
pretexto m Excusa o motivación razonada que utiliza el atacante para convencer a la víc-
tima.
spearphishing f Técnica de phishing que busca objetivos concretos, de los que se suele
hacer un estudio previo mediante información que sea de carácter público por medio de
redes sociales o engañando previamente a alguien de su círculo de amistades.
© FUOC • PID_00274039 36 Introducción a las ciberamenazas
Bibliografía
Cesicat. «Que és l’enginyeria social?»
Cialdini, R. B. (2008). Influence: Science and Practice (5.ª ed.). Harlow (Reino Unido): Pearson
Education.
Piper, S.; Fireeye (2013). Definitive guide to next generation threat protection. Annapolis: Cy-
berEdge.
Ramos Varón, A. Á.; Barbero Muñoz, C. A.; Marugán Rodríguez, D.; González
Durán, I. (2015). Hacking con ingeniería social Técnicas para hackear humanos. Paracuellos de
Jarama (Madrid): Editorial Ra-Ma. ISBN: 978-84-9964-539-1.