La proliferación de ciberataques ha alcanzado proporciones sin precedentes. Cada día, organizaciones y usuarios individuales se enfrentan a amenazas cada vez más sofisticadas. Este artículo se sumerge en el mundo de los ciberataques, explorando sus ataques más insidiosos, desglosando conceptos cruciales y desvelando las técnicas que dan forma al paisaje de la ciberseguridad.
¿Te gustaría enterarte de cuando lanzamos descuentos al Máximo o Nuevos Cursos?
Denegación de servicio
Los ataques de denegación de servicio (DoS)
son un tipo de ataque de red que es relativamente sencillo de llevar a cabo, incluso por parte de un atacante no cualificado. Un ataque DoS da como resultado cierto tipo de interrupción del servicio de red a los usuarios, los dispositivos o las aplicaciones.
Cantidad abrumadora de tráfico:
Esto es cuando se envía una gran cantidad de datos a una red, a un host o a una aplicación a una velocidad que no pueden procesar. Esto ocasiona una disminución de la velocidad de transmisión o respuesta o una falla en un dispositivo o servicio.
Paquetes malicioso formateados:
Un paquete es una colección de datos que fluye entre una computadora o aplicación de origen y una receptora a través de una red, como Internet. Cuando se envía un paquete con formato malicioso, el receptor no puede manejarlo. Por ejemplo, si un atacante reenvía paquetes que contienen errores o paquetes formateados incorrectamente que no pueden ser identificados por una aplicación, esto hará que el dispositivo receptor funcione muy lentamente o se bloquee. Los ataques de DoS se consideran un riesgo importante porque pueden interrumpir fácilmente la comunicación y causar una pérdida significativa de tiempo y dinero.
DoS distribuido: Un ataque DoS distribuido (DDoS) es similar a un ataque DoS pero proviene de múltiples fuentes coordinadas. Por ejemplo:
- Un atacante crea una red (botnet) de hosts infectados llamados zombies, que son controlados por sistemas de manejo.
- Las computadoras zombis constantemente analizan e infectan más hosts, creando más y más zombis.
- Cuando está listo, el hacker proporciona instrucciones a los sistemas manipuladores para que los botnet de zombies lleven a cabo un ataque de DDoS.
Botnet
Una computadora bot se infecta generalmente por visitar un sitio web, abrir un elemento adjunto de correo electrónico o abrir un archivo de medios infectado. Una botnet es un grupo de bots, conectados a través de Internet, que pueden ser controlados por un individuo o grupo malintencionado. Puede tener decenas de miles, o incluso cientos de miles, de bots que normalmente se controlan a través de un servidor de comando y control.
Estos bots se pueden activar para distribuir malware, lanzar ataques DDoS, distribuir correo electrónico no deseado o ejecutar ataques de contraseña por fuerza bruta. Los ciberdelincuentes suelen alquilar botnets a terceros con fines nefastos. Muchas organizaciones, como Cisco, fuerzan las actividades de red a través de filtros de tráfico de botnet para identificar cualquier ubicación de botnet.
- Los bots infectados intentan comunicarse con un host de comando y control Internet
- El filtro de botnet de Firewall de Cisco es una función que detecta el tráfico procedente de dispositivos infectados con el código de botnet malicioso.
- El servicio Cisco Security Intelligence Operations (SIO) basado en la nube envía filtros actualizados al firewall que coinciden con el tráfico de las nuevas botnets conocidas.
- Las alertas se envían al equipo de seguridad interno de Cisco para notificarles sobre los dispositivos infectados que generan tráfico malicioso para que puedan prevenirlos, mitigarlos y remediarlos.
Ataques y Descifrado de contraseñas de Wi-Fi
Disfrutas de tu almuerzo en la cantina cuando un colega se te acerca. Parecen angustiados. Explican que parece que no pueden conectarse a la red Wi-Fi pública en su teléfono y preguntan si tiene la contraseña de Wi-Fi privada a mano para que puedan comprobar que su teléfono funciona.
¿Cómo respondería a esto? Deberías decir: \”No estoy seguro de que se nos permita usar la red Wi-Fi privada.» «Déjame consultarlo primero con mi gerente\” Este colega podría estar llevando a cabo un ataque de ingeniería social, manipulándolo para que proporcione la contraseña utilizada para proteger la red inalámbrica privada de la organización.
Nunca puedes ser demasiado cuidadoso. Los hackers tienen otras técnicas bajo la manga. Algunos usan ataques de fuerza bruta, probando posibles combinaciones de contraseñas para intentar adivinar una contraseña. Otros pueden identificar contraseñas sin cifrar escuchando y capturando los paquetes enviados en la red. Esto se denomina rastreo de red. Si la contraseña está cifrada, el atacante aún puede revelarla mediante una herramienta de decodificación de contraseñas.
Ataques de contraseña:
La introducción de un nombre de usuario y una contraseña es una de las formas más populares de autenticarse en un sitio web. Por lo tanto, descubrir su contraseña es una forma fácil para que los ciberdelincuentes accedan a su información más valiosa.
Pulverización de contraseña:
Esta técnica intenta obtener acceso a un sistema «rociando» algunas contraseñas de uso común en un gran número de cuentas. Por ejemplo, un ciberdelincuente utiliza «Password123» con muchos nombres de usuario antes de volver a intentarlo con una segunda contraseña de uso común, como «qwerty». Esta técnica permite que el perpetrador permanezca sin ser detectado, ya que evita los bloqueos frecuentes de la cuenta.
Ataques de diccionario:
Un hacker intenta sistemáticamente todas las palabras de un diccionario o una lista de palabras de uso común como contraseña en un intento de ingresar a una cuenta protegida con contraseña.
Ataques por fuerza bruta:
Son la forma más simple y más utilizada de obtener acceso a un sitio protegido con contraseña. Los ataques de fuerza bruta ven a un atacante utilizando todas las combinaciones posibles de letras, números y símbolos en el espacio de contraseñas hasta que lo hacen bien.
Ataques arco iris:
Las contraseñas de un sistema informático no se almacenan como texto sin formato, sino como valores con hash (valores numéricos que identifican datos de forma única). Una tabla arcoíris es un gran diccionario de valores hash precalculados y las contraseñas a partir de las cuales se calcularon. A diferencia de un ataque de fuerza bruta que tiene que calcular cada hash, un ataque de arco iris compara el hash de una contraseña con los almacenados en la tabla rainbow. Cuando un atacante encuentra una coincidencia, identifica la contraseña utilizada para crear el hash.
Interceptación de tráfico:
El texto sin formato o las contraseñas sin cifrar pueden ser leídas fácilmente por otras personas y máquinas al interceptar las comunicaciones. Si almacena una contraseña en texto claro y legible, cualquier persona que tenga acceso a su cuenta o dispositivo, ya sea autorizado o no, podrá leerlo.
Tiempos de craqueo:
Llevar a cabo ataques de fuerza bruta implica que el atacante intente varias combinaciones posibles en un intento de adivinar la contraseña. Estos ataques generalmente involucran un archivo de lista de palabras, un archivo de texto que contiene una lista de palabras de un diccionario. Un programa como Ophcrack, L0phtCrack, THC Hydra, RainbowCrack o Medusa probará cada palabra y combinación común hasta que encuentre una coincidencia. Debido a que los ataques de fuerza bruta toman tiempo, las contraseñas complejas toman mucho más tiempo en adivinar.
Spoofing
El spoofing consiste en usurpar una identidad electrónica para ocultar la propia identidad y así cometer delitos en Internet. La suplantación de identidad, en lo que respecta a la ciberseguridad, es cuando alguien o algo pretende ser otra cosa en un intento de ganar nuestra confianza, obtener acceso a nuestros sistemas, robar datos, robar dinero o propagar malware. Los ataques de suplantación de identidad vienen en muchas formas, incluyendo:
- Suplantación de correo electrónico
- Suplantación de sitios web y/o URL
- Suplantación de identificador de llamadas
- Suplantación de mensajes de texto
- Suplantación de GPS
- Ataques man-in-the-middle
- Suplantación de extensión
- Suplantación de IP
- Suplantación facial
MiTM – Ataques en el camino
Los atacantes en ruta interceptan o modifican las comunicaciones entre dos dispositivos, como un navegador web y un servidor web, ya sea para recopilar información de uno de los dispositivos o para hacerse pasar por uno de ellos. Este tipo de ataque también se conoce como ataque de hombre en el medio. Un ataque MiTM ocurre cuando un ciberdelincuente toma el control de un dispositivo sin que el usuario lo sepa. Con ese nivel de acceso, el atacante puede interceptar y capturar información sobre el usuario antes de retransmitirla a su destino. Estos tipos de ataques se utilizan a menudo para robar información financiera. Hay muchos tipos de malware que poseen capacidades de ataque MiTM.
MitMo:
Una variación del hombre en el medio, es un tipo de ataque utilizado para tomar el control de un dispositivo móvil. Cuando está infectado, el dispositivo móvil recibe instrucciones de filtrar información confidencial del usuario y enviarla a los atacantes. ZeUS es un ejemplo de paquete de malware con capacidades MitMO. Permite a los atacantes capturar silenciosamente los mensajes SMS de verificación en dos pasos que se envían a los usuario.
ENVENENAMIENTO ARP:
El patrón de ataque típico que se construye sobre un envenenamiento y suplantación ARP permite interceptar/modificar todas las comunicaciones entre dos equipos que se encuentren en el mismo segmento de red que el atacante (o entre un equipo y su puerta de enlace). Este ataque se suele denominar Man in the Middle (MitM). Aunque es un ataque muy frecuente a este nivel, si el envenenamiento y suplantación se producen en una capa superior de la pila de protocolos con el mismo objetivo, también se suele denominar así el ataque.
Primera fase de un ataque MitM típico: envenenamiento de las dos caché ARP de las víctimas:
Si te fijas, en la figura se muestra cómo el atacante consigue ubicarse en medio de las comunicaciones entre los equipos A y B, envenenando sus dos cachés ARP. De esta manera, suplanta al equipo B desde el punto de vista de A, y suplanta al equipo A desde el punto de vista de B. Las tramas ARP Reply con este envenenamiento deben enviarse periódicamente para que se mantenga el engaño en el tiempo.
Segunda fase de un ataque MitM típico: intercepción/modificación de las comunicaciones y re-envío:
En la figura se muestra cómo a partir de este envenenamiento doble el atacante se sitúa en medio de las comunicaciones entre A y B, pudiendo interceptar (y si entra dentro de sus objetivos, y la integridad de las comunicaciones no está adecuadamente protegida, modificar) el tráfico que va de A a B y el que va de B a A. Si el tráfico está cifrado, será necesario combinar este ataque con uno de CRACKEO para romper el sistema criptográfico empleado para proteger las comunicaciones.
Desgraciadamente en redes de área local en las que se confía en el resto de los equipos, la mayoría de las veces el tráfico va en texto claro. Por eso es uno de los patrones más utilizados para robar credenciales (usuarios y contraseñas, que en muchos casos van en claro) y todo tipo de datos e información. Es un ataque que puede afectar a la confidencialidad, a la integridad y al control de acceso; en todos los casos con consecuencias muy severas.
Aunque el tráfico por la red y las latencias de las comunicaciones aumentan debido a este tipo ataque, si el atacante envía periódicamente las tramas ARP Reply para mantener el envenenamiento y realiza correctamente los re-envíos para no levantar sospechas, no son grandes alteraciones y, por lo tanto, son ataques difíciles de detectar.
Master en Metasploit. De 0 a Experto con Prácticas. Año 2023
La herramienta por Excelencia en el Ethical Hacking es Metasploit, ya que cubre todas las fases del Pentesting. Aprende como protegerte y atacar con este curso: Master en Metasploit. De 0 a Experto con Prácticas.
Lo que aprenderás
- Conocimientos básicos para el uso de Metasploit
- Comandos de Metasploit
- Fases del Pentesting con Metasploit
- Hacking Ético con Metasploit
- Laboratorios reales donde podrá aplicar lo aprendido