En computadora y redes de computadoras, un ataque es un intento de exponer, alterar, desestabilizar, destruir, eliminar para obtener acceso sin autorización o utilizar un activo. Un ciberataque o ataque informático es cualquier maniobra ofensiva de explotación deliberada que tiene como objetivo tomar el control, desestabilizar o dañar un sistema informático (ordenador, red privada, etc.).[1][2][3] El atacante es un individuo u organización que intenta obtener el control de un sistema informático para utilizarlo con fines maliciosos, robo de información o de hacer daño a su objetivo. Un ciberataque utiliza códigos maliciosos, para corromper los códigos, datos privados o algoritmos, generando consecuencias que comprometen y vulneran la seguridad de los sistemas de información.[3]
Algunos ciberataques, dependiendo de dónde se realice, a quién o cuándo, forman parte de una guerra informática o de un ataque de ciberterrorismo. Actualmente los ataques son más sofisticados e incluso más ingeniosos.
Definiciones
Desde la creación de internet se han estado usando diferentes métodos para vulnerar sitios con información delicada. Es debido a ello que el término ciberataque o ataque informático ha ido cambiando y variando según el tiempo y el tipo de ataque.
"Forma de ciberguerra o ciberterrorismo donde, combinado con ataque físico o no, se intenta impedir el empleo de los sistemas de información del adversario o el acceso a la misma":[5]
Fenix directo lo define asÍ:
"Intento organizado causado por una o varias personas para provocar daños a un sistema informático o red".
Un ataque informático también consiste en aprovechar alguna vulnerabilidad o debilidad en el software o en el hardware, principalmente con el fin de obtener algún beneficio económico. Normalmente, los ciberataques tiende a ser realizados por individuos solitarios. Sin embargo, en ocasiones cuando los ataques son realizados en conjunto ,suelen ser hechos por grupos, organizaciones o bandas, que se hacen llamar piratas informáticos, puesto que se enfocan en hacer daño mediante ataques conocidos como delitos informáticos.
Consecuencias
Los ataques informáticos suelen tener consecuencias de diferentes tipos, desde daños pequeños a computadoras personales a daños millonarios. Por ejemplo, según americaeconomia.com se calcula que tan solo para México los ataques superaban los 8.000 millones de dólares para abril de 2019.[6]
Los daños triviales o menores son aquellos ataques que no causan mucho daño o pueden ocasionar pérdidas de funcionalidad en ciertas aplicaciones, tales como un virus de computadoras o borrado de información. Los daños severos o mayores son ataques que generan pérdidas totales de información o incluso daños físicos, como borrados de discos duros, robo de datos personales e inclusive ataques industriales. Un estudio de 2015 señaló que, en tan solo 2 años, este tipo de ciberataques causaron un aumento de 512 millones de dólares en 2012 a 800 millones de dólares en 2014.[7] Para 2019, en la Encuesta anual de percepción de riesgos laborales del Foro Económico Mundial, se considera a los ciberataques entre las 10 amenazas con más probabilidades de ocurrir, ocupando la quinta posición y la séptima como mayor impacto económico.[8]
Dado el incremento de este tipo de ataques, los Gobiernos deben de tomar medidas en cuanto a leyes y métodos de detección de actividades fraudulentas en el llamado IoT o Internet of Things, donde se producen el 80% de robo de datos (smartwath, Google Home, etc.). El teléfono de atención al ciudadano, para poner una denuncia en caso de ciberataque en España, es el 017.[9]
La investigación accesible al público relacionada con la seguridad de la información se centra principalmente en aspectos técnicos, en lugar de enfatizar el impacto en las políticas y los negocios. Los investigadores recomiendan que es necesario que haya más información disponible para el público sobre los países que albergan actividades maliciosas. Esto incluye detalles sobre la propagación y correlación de los ataques, así como los paralelismos entre estas métricas y la demografía nacional.[10]
Tipos de ataques
Por fijación de objetivo
Ataques indistintos
Estos ataques son amplios, globales y no distinguen entre gobiernos, compañías ni civiles.
Operación Shady RAT, serie de ataques informáticos persistentes que empezó en el 2011 y terminó afectando a más de 70 organizaciones internacionales.[11]
World of Hell, colectivo de hackers que se adjudicaron varios ataques informáticos de gran nivel, algunos de sus objetivos fueron la Agencia de Defensa de Sistemas de la Información, Rolex, Hard Rock Café, etc.
Ataque a Sony Pictures, fue un ataque perpetrado por el grupo nor-coreano "Guardians of Peace" (GOP) en el cual más de 100TB de información fueron divulgados en el internet.
Red October, descubierto en 2012, operó en todo el mundo por cinco años antes de su descubrimiento, transmitiendo información que va desde secretos diplomáticos hasta información personal, incluyendo de dispositivos móviles.[12]
Ataques dirigidos
Estos ataques se refieren a infligir daño a organizaciones específicas.
Great Hacker War. Una guerra de dos grupos de hackers, Masters of Deception (MOD) y Legion of Doom (LOD).
LulzRaft, grupo de hackers conocido por ataques de bajo impacto en Canadá.
Operación Ababil, realizado contra instituciones financieras americanas.
Ciberataque y ruptura resultante en TV5 Monde de abril de 2015.
Shamoon, virus modular de computadora, fue usado en 2012 en un ataque sobre 30,000 estaciones de trabajo Saudi Aramco, causando a la compañía gastar una semana arreglando sus servicios.[13][14]
Wiper - en diciembre del 2011, el malware exitosamente borró información de discos duros en la sede del Ministerio de Petróleo.[15][16]
Titan Rain, dirigida hacia contratistas de defensa de los Estados Unidos.
Google - en 2009, hackers chinos violaron los servidores corporativos de Google obteniendo acceso a una base de datos con información clasificada sobre presuntos espías, agentes y terroristas bajo vigilancia del gobierno de los Estados Unidos.[17]
Gauss troyano, descubierto en 2012, es una operación de espionaje informático patrocinado por el estado que utiliza el software de estado de arte para extraer una gran cantidad de datos confidenciales de miles de máquinas situadas en su mayoría en Medio Oriente.[18]
Gawker - en 2010, una banda de hackers anónimos había radicado en los servidores del sitio y filtrado medio gigabyte en datos privados.[19]
IEEE - en septiembre del 2012, se expusieron usuarios, contraseñas y actividades en la web de casi 100,000 miembros.[20]
LivingSocial - en 2014 la compañía sufrió una violación de seguridad que expuso nombres, correos electrónicos y contraseñas de más de 50 millones de sus usuarios.[21]
RockYou - en 2009, la compañía sufrió una violación de seguridad resultando en la exposición de más de 32 millones de cuentas.
Yahoo! - en 2012, hackers revelaron credenciales de acceso de más de 453,000 cuentas.[22] Se repitió en enero de 2013[23] y enero del 2014.[24]
MasterCard - en 2005, la compañía anunció que 45.1 millones de tarjetahabientes pudieron haber sufrido robo de información en sus cuentas debido al hackeo de procesadores de pago.[25][26][27][28]
VISA y MasterCard - en 2012, advirtieron a los emisores de tarjetas bancarias que la tercera parte del procesador de pagos sufrió un fallo de seguridad, afectando hasta 10 millones de tarjetas de crédito.[29][30]
Subway - en 2012, dos hombres rumanos admitieron participar en una conspiración internacional que hackearon terminales de pago de tarjetas de crédito en más de 150 franquicias Subway y robaron datos de más de 146.000 cuentas.[31]
StarDust - en 2013, comprometieron 20,000 tarjetas en campaña activa, afectando a comerciantes estadounidenses.[32]
Target - en 2013, aproximadamente 40 millones de tarjetas de crédito y débito pubieron haber sido afectadas por un fallo en dichas tarjetas.[33][34][35]
Industrias Goodwill - en septiembre del 2014, la compañía sufrió fallos en tarjetas de crédito que afectó a tiendas minoristas de caridad en al menos 21 estados.[36][37]
The Home Depot - en septiembre del 2014, criminales cibernéticos que comprometieron la red de Home Depot e instalaron malware en los sistemas de puntos de venta que aproximadamente robó información de 56 millones de tarjetas de pago.[38]
Robo de datos médicos
En mayo de 2015, tres organizaciones de salud fueron atacadas en los Estados Unidos: Anthem Inc., Premera Blue Cross y CareFirst. Los tres ataques compensaron información sobre más de 91 millones de personas.[39]
Métodos
Hay diversos tipos de ataques informáticos, algunos de ellos son:
Ataque de denegación de servicio,[40] también llamado ataque DoS (Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, normalmente provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Ataque a cadena de suministro. Consiste en comprometer proveedores digitales de servicios externos (proveedores de servicios de internet, proveedores de telecomunicaciones, proveedores de software, proveedores de servicios externos, proveedores de hardware,...) como instrumento para infiltrarse desde allí en una organización objetivo.[41]
Ataque de abrevadero. Es una estrategia de ataque contra organizaciones en la que el atacante infecta con malware sitios web de terceros muy utilizados por los usuarios de la organización. De esta forma cuando los usuarios de la organización acceden a ese sitio web quedan infectados.[42]
Ataque Man-in-the-middle,[43] a veces abreviado MitM, es una situación donde un atacante supervisa (generalmente mediante un rastreador de puertos) una comunicación entre dos partes y falsifica los intercambios para hacerse pasar por una de ellas.
Ataques de reinyección,[44] una forma de ataque de red, en el cual una transmisión de datos válida es maliciosa o fraudulentamente repetida o retardada. Es llevada a cabo por el autor o por un adversario que intercepta la información y la retransmite, posiblemente como parte de un ataque enmascarado.
Ataque de día cero, ataque realizado contra un ordenador, a partir del cual se explotan ciertas vulnerabilidades, o agujeros de seguridad de algún programa o programas antes de que se conozcan las mismas, o que, una vez publicada la existencia de la vulnerabilidad, se realice el ataque antes de la publicación del parche que la solvente.[45][46]
Este ocurre generalmente cuando un usuario anota su login y password en un papel y luego, cuando lo recuerda, lo arroja a la basura. Esto por más inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar al sistema.
Monitorización:
Este tipo de ataque se realiza para observar a la víctima y su sistema, con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro.
Ataques de autenticación:
Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password (su forma más común es recibir un correo electrónico con un enlace de acceso directo falso de páginas que más visitas).
Los protocolos existentes actualmente fueron diseñados para ser hechos en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma.
Modificación (daño):
la modificación o daño se puede dar como:
Tampering o Data Diddling:
Esta categoría se refiere a la modificación desautorizada de los datos o el SOFTWARE INSTALADO en el sistema víctima (incluyendo borrado de archivos).
Borrado de Huellas:
El borrado de huellas es una de las tareas más importantes que debe realizar el intruso después de ingresar en un sistema, ya que, si se detecta su ingreso, el administrador buscará como conseguir "tapar el hueco" de seguridad, evitar ataques futuros e incluso rastrear al atacante.
Otros ataques
Ataque de fuerza bruta. No es necesariamente un procedimiento que se deba realizar por procesos informáticos, aunque este sistema ahorraría tiempos, energías y esfuerzos. El sistema de ataque por fuerza bruta, trata de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que se busca, y que permite el acceso al sistema, programa o archivo en estudio.
Tipos de protección
El primer paso a realizar consiste en un análisis de la situación, donde se establecen cuáles son nuestras posibles amenazas, el daño que pueden causar a nuestro ordenador o sistema y la probabilidad de que esto suceda. De esta manera se podrá pensar en como protegerse realmente y permitir conformar una política de seguridad a ejecutar que defina privilegios y reglas para minimizar el efecto de los ataques, si éstos se producen, y para detenerlos en el momento adecuado. Las acciones que emprendamos para implementar la política de seguridad se denominarán mecanismos y se dividirán en tres grupos: de prevención, de detección y de restauración.
Mecanismos de Prevención: Son aquellos que aumentan la seguridad de un sistema durante el funcionamiento normal de éste, ayudando a imposibilitar el caso de violaciones a la seguridad establecida. Un ejemplo sería el cifrado de las transmisiones de datos para evitar que un posible intruso, al interceptar nuestra información, pueda leerla y examinarla sin esfuerzo alguno. Aunque parezca mentira, son demasiadas las empresas, y más los usuarios, que no utilizan ningún tipo de codificación en el envío de sus mail, datos e informes.
Mecanismos de Detección: Son aquellos utilizados para detectar violaciones ya ocurridas o intentos de éstas, son los conocidos IDS (programas de detección de intrusos). En nuestros días cualquier usuario puede implementar uno de éstos, en su modalidad de freeware o en versión trial, en su ordenador como una forma de auditar y ver que sucede en la máquina.
Mecanismos de Restauración: Son aquellos que utilizamos cuando el daño ya está hecho y el intruso obtuvo lo que buscaba, son por lo general sistemas de copias de seguridad. Dentro de éstos existe otro grupo de mecanismos denominado “mecanismos de análisis a posteriori” cuya finalidad no es simplemente devolver el sistema a su estado normal de trabajo, sino averiguar mediante monitorización hasta dónde se produjo la intrusión, los actos que realizó el atacante en nuestro sistema y la puerta utilizada para su incursión, de esta manera el administrador tendrá una forma más acertada para prevenir futuros ataques del mismo tipo.
Los tres tipos de mecanismos son importantes y deben ser implementados, debemos poner un especial interés en el uso de mecanismos de prevención y detección.
Ser capaz de detectar un intento de asalto a nuestra máquina o sistema, o detectar un asalto exitoso en tiempo récord, ahorrará muchos dolores de cabeza y mucho tiempo de trabajo en la restauración de la máquina hasta su normal funcionamiento. Aunque es absolutamente imposible, lo idóneo sería conseguir un sistema sin vulnerabilidades y con un continuado soporte y alimentación mediante mecanismos de prevención, lo cual dejaría fuera de lugar los mecanismos de detección y restauración (salvo casos extraños).
En la práctica, será en los mecanismos de detección, y en los de prevención, en los que se debe centrar nuestro esfuerzo. Los mecanismos de prevención más habituales podemos clasificarlos de la siguiente forma:
Mecanismos de Autentificación e Identificación: Estos mecanismos identifican entidades del sistema de forma única, y después de ser identificadas, las validan. Son los más importantes en cualquier sistema, ya que forman el soporte de otros mecanismos que basan su funcionamiento en la identidad de las entidades que acceden a un objeto. Un grupo importante de estos mecanismos son los Sistemas de Autentificación de Usuarios.
Mecanismos de Control de Acceso: Se debe proteger los diversos elementos del sistema, ya sean ficheros, recursos, servicios, y todo aquello susceptible de ser utilizado por los usuarios, para ello se crearán listas de control de acceso a dichos objetos para los diferentes usuarios del sistema. De esta manera se pueden monitorizar sus accesos y controlar posibles violaciones en su seguridad.
Mecanismos de Seguridad en las Comunicaciones: Muy importante para la seguridad de nuestro sistema es proteger la integridad y la privacidad de los datos cuando son transmitidos entre ordenadores, la red o Internet. La implementación de esta seguridad en las comunicaciones pasa por el uso de la encriptación de nuestros datos: cifrado de clave pública, de clave privada, firmas digitales; aunque cada vez se utilizan más los protocolos seguros (como SSH o Kerberos), es de gran asombro la cantidad de conexiones en formato texto plano todavía existentes, ya no sólo entre máquinas de una misma subred, sino también entre redes diferentes y navegando en Internet. Una de las mayores amenazas a la seguridad en las redes de comunicación, es este flujo de datos sin cifrar, que hace muy trivial ataques con el objetivo de robar contraseñas o suplantar la identidad de máquinas de la red (spoofing).
Recordar que un sistema operativo instalado tal y como se distribuye (normalmente en entornos visuales el famoso “siguiente, siguiente”) representa una puerta abierta para cualquier intruso sin apenas grandes conocimientos; al dedicarle un poco de tiempo a configurar mínimamente el sistema antes de ponerlo a funcionar, un intruso necesitaría conocimientos de cierto nivel, tanto del OS en cuestión como de la red donde se encuentra, si quiere quebrantar su seguridad.[47]
↑ abFrett, Nahun (9 de junio de 2015). «¿Qué es un ciberataque?»(html). Auditool. Archivado desde el original el 18 de abril de 2019. Consultado el 18 de abril de 2019. «Los ciberataques son actos en los cuales se cometen agravios, daños o perjuicios contra las personas o grupos de ellas, entidades o instituciones y que por lo general son ejecutados por medio de computadoras y a través de la Internet. No necesariamente pueden ser cometidos totalmente por estos medios, sino también a partir de los mismos.»
↑Kioskea.net (16 de octubre de 2008). «Ataque Man in the Middle». Archivado desde el original el 14 de abril de 2009. Consultado el 26 de abril de 2009.
↑Diario Tecnológico. «Vulnerabilidades al ataque de día cero». Archivado desde el original el 26 de abril de 2009. Consultado el 26 de abril de 2009. «Los ataques del día cero -aquellos que se propagan más rápido de lo que tardan en actualizarse los antivirus- por definición incluye nuevos malware [...]».
↑Marta Cabanillas para PCWorld (25 de febrero de 2009). «Los hackers lanzan ataques de día cero contra Excel». Archivado desde el original el 27 de febrero de 2009. Consultado el 26 de abril de 2009. «[...] ataques de “día cero” – o dirigidos contra vulnerabilidades aún no parcheadas - [...]».
↑Pérez, J., Míguez, C., Matas, A.M., Picouto, F., & Ramos, A.A. (2006). La biblia del Hacker. Anaya Multimedia.