Formas de Ataque en el Cibercrimen y Soluciones con la Ciberseguridad
Introducción
Hoy en día, quedan pocos negocios que no dependan parcialmente de internet. Casas de apuestas, negocios de compra-ventas y demás registran la mayoría de sus ganancias vía internet. Es por ello que muchos de estos negocios, sean un objetivo muy jugoso para cibercriminales.
Según Andra Zaharia, periodista para Comparitech, un portal de noticias especializado en tecnología, que contribuye para la BBC, theguardian, y WIRED, “España es el país que estuvo más afectado por los ciberataques en 2008 y el 93.7% de las empresas fueron afectadas por al menos una vez”. Esto demuestra que España no está al día respecto a la ciberseguridad y supone grandes problemas, como demuestran las estadísticas, para las empresas españolas. Aunque no se cuante con los mismos recursos, se debería tomar como ejemplo países como Estados Unidos y China, que cuentan con unos cuerpos de ciberseguridad inigualables, algo que afecta muy positivamente a las empresas localizadas en dichos estados.
El campo de la ciberseguridad es un campo que tiene muchos puntos de enfoque sobre los que se podrían escribir en este ensayo. Al ser un tema que siempre me ha llamado la atención, he decidido orientar el trabajo hacia la temática de los ciberataques, sus distintos tipos y formas de poder evitarlos.
Desarrollo
Según estadísticas del Departamento de Justicia y el F.B.I. de los Estados Unidos, el daño a nivel económico causado por el cibercrimen (globalmente), ha estado en constante crecimiento desde el año 2001. Aunque los métodos de defensa contra los ataques cibernéticos continúan mejorando, el surgimiento de nuevos tipos de ataques o variaciones de otros ya existentes es inevitable. Este es un claro ejemplo de como la evolución de la infórmatica y la tecnología no sólo traen ventajas.
Lo más obvio es preguntarse: “¿Por qué la ciberseguridad es incapaz de seguir el ritmo del cibercrimen?”. Pero esta pregunta no tendría ningún sentido. Se debe tener en cuenta que, a partir del año 2001, el número de usuarios en internet ha crecido considerablemente. Esto no solo hace que la vulnerabilidad “online” crezca, si no que los nuevos usuarios, cada vez más familiarizados con las nuevas tecnologías, van a estar tentados a involucrarse en ganar dinero facilmente de manera ilegal.
A raíz de la popularidad que toman este tipo de ataques durante el comienzo de siglo XXI, algunos estados se ven involucrados en ciberguerras, que se llevan a cabo contra otros estados, o contra grupos de cibercriminales independientes. Un caso interesante, es el del servicio secreto de Rusia, en los años 2007 y 2008. Aunque no fué probado, se dice que efectuó ataques contra varios estados, entre ellos Estonia y Georgia, con el objetivo de inhabilitar el acceso a páginas web pertenecientes gobiernos de estos estados. Resultó en un enfrentamiento diplomático entre Rusia y estos países. Normalmente, divisiones de ciberseguridad dentro del ejército, son creados por los estados, para poder defenderse de ciberataques que suelen tener como objetivo el espionaje de altos cargos.
Es interesante conocer el término “Ciberterrorismo”, que se define como el intento de atentar contra un estado, mediante métodos informáticos ilegales. Suele estar relacionado con los grupos de hackers independientes, cuya moral suele estar motivada por el anti-capitalismo y el anarquismo. Ataques por parte de estos colectivos, suele tener mucha repercusión en la prensa, al destapar información que se nos oculta al público general. Aquí entra en debate si de verdad estos grupos se deberían considerar cibercriminales.
Los ciberataques son planeados de acuerdo a una serie de vulnerabilidades que son explotadas por el atacante. Estas vulnerabilidades pueden tener origen de cualquier parte del sistema que queremos atacar. Normalmente, se tratan de vulnerabilidades software, pero también pueden ser hardware.
En la mayoría de los casos, el origen de la debilidad del sistema viene causada por algún fallo en el sistema operativo o en un programa que tiene instalado dicho sistema. A continuación, se explicarán brevemente, algunos de los ataques que tratan de aprovechar estas vulnerabilidades.
Denial of Service Attack (DoS)
El primer ataque sobre el que se va a hablar en este ensayo, es el ataque denominado “Denial of Service”. Como su propio nombre indica, este ataque tiene como objetivo el de rechazar un servicio a un espicífico usuario o empresa. Este ataque tiene muchos variantes, pero suele consistir en sobrecargar los puertos por los que se transmite o se recibe información, con el objetivo de no poder conceder acceso a ningún usuario más. La sobrecarga de los puertos suele producirse vía una red de ordenadores “zombies” o bots (bot net). Se tratan de ordenadores automatizados parahacerse pasar por un usuarios reales. De esta manera, se podría simular la simultanea visita de 10 mil personas a una página web, la cual solo soporta acceso a mil usuarios. De la misma manera, una red de bots, podría inhabilitar el acceso a internet en un edificio de una compañía, sobrecargando el sistema de acceso a internet del edificio, enviando una infinidad de datos basura al sistema con cada bot de la red.
La pregunta del lector, tras esta explicación debería de ser: “¿Qué ganan los hackers impidiendo el acceso a internet para los empleados de una empresa? ¿O impedir el acceso a una página web de dicha empresa para el público?”. La respuesta es sencilla, el atacante pedirá una elevada suma económica para liberar los recursos, para que vuelvan a ser utilizables para la empresa.
Este tipo de ataque, tiene cada vez menos éxito. La mejora en el servicio de acceso a internet por las redes wifi y en medidas de seguridad para evitar la creación de bots, ha logrado reducir el número de ataques de este tipo. Aun así, son ataques comunes en el día a día, afectando mayoritariamente a empresas pequeñas, cuyo equipo de ciberseguridad constará de ningún o pocos recursos para defenderse ante estos ataques.
Man in the Middle Atack
Este tipo de ciberataque es uno de los más efectivos que hay. Su objetivo es hacer de intermediario para una conexión entre dos dispositivos, que suelen ser un “router” y un ordenador, y así obtener información que se pasan entre dispositivos e incluso modificarla. En el caso del “router” y ordenador, para lograr ser el intermediario y pasar desapercibido, el ordenador que intermedia (“Man in the Middle”), deberá hacerse pasar por el primer ordenador mientras se comunica con el “router”, y hacerse pasar por el “router” cuando comunica con el primer ordenador. Por lo tanto, el ataque consiste en disfrazar el dispositivo del atacante para poder obtener información de una comunicación limitada a dos bandas. Aunque parezca un ataque muy complicado de ejecutar, la dificultad real viene a la hora de descodificar la información a la que se ha logrado acceder.
Este tipo de ataques conlleva un gran riesgo para bancos. Si un atacante lograra efectuar este ataque correctamente y la víctima estuviera utilizando la página web de su banco, podría llegar a tener acceso a la cuenta bancario de esta víctima, sin que esta fuera consciente.
Los ataques MITM, ya no son tan efectivos como lo eran años atrás. La seguridad contra este tipo de ataques ha sido reforzada enormemente gracias a las mejoras en los dispositivos “router” y ordenadores más modernos y sobre todo, gracias a los avances en el mundo de la criptografía. Anteriormente, los dispositivos se comunicaban con la información sin cifrar, lo que suponía muy sencillo de leer para el atacante. Hoy en día, toda esta información es codificada por medio de algoritmos cuasi-aleatorios.
Un caso que no tuvo gran repercusión en la prensa (sorprendentemente) es el caso del “Flying Pig”. Como se indica en un artículo de la página web “techdirt”, en septiembre de 2013, Edward Snowden publicó documentos confidenciales que delataban a la NSA (National Security Agency) de los Estados Unidos, de haber estado ejecutando este tipo de ataques contra servicios de internet como Google, Yahoo y Microsoft. Se deconocen los fines de estos ataques, pero se presupone que tenían fines económicos.
KeyLogger Atack
Los ataques de “KeyLogger” son los ataques más sencillos de entender. La traducción de su nombre al español, vendría a ser “Grabador de tecla”. Como su traducción indica, este tipo de ataque, tiene como objetivo grabar las acciones de la víctima cuando escribe por teclado con su ordenador. La gran ventaja que tiene este ataque es que la información que consigue “loguear”, será texto que vendrá directamente del teclado, por lo tanto, será información que se podrá entender sin ningún problema, al no estar codificada de ninguna manera. Con suerte, el atacante puede esperar a que la víctima introduzca alguna información sensible, como contraseñas, códigos bancarios y demás. Aunque es un ataque que es muy difícil de que funcione, al tener que inyectar el ordenador de la víctima con un virus o programa maligno, es muy efectivo si se logra implementar.
Los “KeyLoggers” suelen ser detectados por los antivirus, aunque la mayoría vienen escondidos dentro de otros programas, y si este logra pasar desapercibido, al ejecutar este segundo programa, se ejecutará el “KeyLogger” automaticamente. Este, normalmente creará algún tipo de fichero que será actualizado cada vez que la víctima interaccione con el teclado, y será enviado al atacante.
Los antivirus más modernos suelen dejar muy poco margen de error para los atacantes, ya que suelen ser casi infalibles. Aunque es posible infectar un ordenador con un potente antivirus.
En 2011, la compañía Samsung fue absuelta de acusaciones sobre instalaciones de “KeyLogger”(s) en muchos de sus ordenadores de manera ilegal. Instalaban la herramienta “StarLogger”, un potente “KeyLogger” que se inicializaba nada más encender el ordenador. En otro artículo de “techdirt”, se narra como Mohamed Hassan, detectó el problema en dos ordenadores distintos y se puso en contacto con la compañía. Samsung se defendió afirmando que este programa se instaló sin avisar para “monitorizar el comportamiento de sus ordenadores”. A día de hoy, siguen habiendo muchas incognitas sobre lo sucedido.
Phishing Atack
Los ataques de tipo “Phishing”, son un tipo de ataques a los que hemos sido sujeto la mayoría de la gente alguna vez. Este tipo de ataques tratan de confundir a la víctima, haciendose pasar por una compañía o un programa que no es. Suelen atacar por medio de correo electrónico. Envían mensajes que aparentan venir de compañías legítimas. Estos mensajes suelen ofrecer al usuario algún tipo de recompensa o notificarle sobre algún problema en la cuenta. Si el usuario cae en la trampa y cree en este correo que se le ha enviado, en la mayoría de los casos, se le redireccionará a una página donde se le instrucciona que este debe introducir su usuario y contraseña o datos bancarios. El correo o/y la página web que crea el atacante para confundir a la víctima, suele estar basado en las páginas oficiales de las compañías por las que se hace pasar. En un artículo de 2018, el periodista Sam Cook afirma que según un estudio hecho por MacAfee, compañía de antivirus perteneciente a Microsoft, en 2015, “el 97% de personas no saben diferenciar un correo real de uno falso”. Sorprendentemente, en este estudio se demuestra que las personas de edad 55 o superior, saben reconocer un correo “Phishing” con más efectividad que los menores a 55.
Este tipo de ataques son my difíciles de detectar ya que son direccionados por medio de un correo electrónico. A veces, las empresas de correo electrónico son capaces de detectar correos “Phishing” y toman medidas contra la cuenta que envía dichos correos. Pero el atacante solamente necesita cambiar la dirección de correo que estaba utilizando y abrirse otra nueva. Esta es una de las razones por la que este tipo de ataques son tan efectivos, pero la principal, es que otros ataques requieren algún tipo de fallo informático para que pueda funcionar; estos ataques requiren fallos humanos, algo que por desgracia es mucho más común. Muchas veces, estos engaños tienen como objetivos a los directivos de grandes empresas. Si funciona, permite al atacante tener acceso a información confidencial.
Una rama interesante de los ataques “Phishing” es el “Spear Phishing”. Tiene el mismo funcionamiento, con una pequeña variante que hace que sea más eficiente: incluye información confidencial de la víctima en el correo, lo cual hace que parezca más creible. Esta información confidencial ha sido obtenida por el atacante previamente, y crea aún más confusión para la víctima.
Normalmente, para poder evitar caer en estas estafas, muchos expertos recomiendan mejorar el filtro de spam en la cuenta de correo electrónico, aunque no es un método seguro al 100%. Se recomienda también, vigilar los links a los que el correo te redirecciona, y ver si el url comienza por “https”.
Conclusión
Aunque internet parezca un lugar seguro, en el fondo, no lo es. Un usuario que utiliza la red muy a menudo, está expuesto a todo tipo de vulnerabilidades y no todas dependen del tipo de ordenador o sistema operativo que utilice el usuario. Actualizar aplicaciones es algo imprescindible si se quiere evitar estos riesgos. Tampoco vale confiar plenamente en los antivirus ya que no aseguran la seguridad del ordenador, por eso algunos expertos recomiendan tener más de uno instalado.
En este ensayo se han explicado varios de los ataques más comunes a los que un usuario puede estar expuesto. Aun así, hay muchos otros que es útil conocer y saber como contrarestar el peligro al que se expone alguien cuando es víctima de uno de ellos. De todos modos, el campo de la ciberseguridad está mejorando cada día que pasa y cuenta con más colaboradores cada vez. Se espera que llegue algún momento cuando navegar por internet de manera segura sea un derecho fundamental y algo abierto a todos lo públicos.