1
Vulnerabilidades Que La Sociedad Ignora
(mayo de 2022)
María Belen Franco Corrales
Miguel Angelo Lozano Mendez
SEGURIDAD DE SISTEMAS
Resumen – En el presente documento veremos un tema muy
importante en la Seguridad cibernética el cual es:
“Vulnerabilidades que la sociedad ignora”. ¿Por qué no le damos
la suficiente importancia a la seguridad de nuestra información?
¿Como la piratería y el constante uso de páginas no confiables
afecta la seguridad de nuestro equipo e información? Son algunos
temas que abarcaremos a lo largo del articulo
I. INTRODUCCIÓN
E n el momento está expuesto a muchas amenazas, muchas
de ellas llegan a afectar tu vida de manera irreparable, pero no
todas son pueden llegar a ser físicas, muchas de ellas pueden
ser desde una vista virtual el cual encendemos nuestros
equipos y los conectamos a Internet ya se encuentran
expuestos a numerosos peligrosos. Los ciberdelincuentes, para
obtener beneficios utilizan software malicioso que en simples
palabras está diseñado específicamente para perjudicar a los
usuarios o dañar los ordenadores, los dispositivos móviles o el
software que se ejecute en ellos. En ese sentido, para lograr
sus fines utilizan malware, virus, troyanos y demás elementos
que puedan afectar la vida personal de un usuario. Por lo tanto,
debemos estar preparados y buscar las medidas necesarias
para proteger adecuadamente nuestros dispositivos para
mantenerlos alejados de estas amenazas.
Los ciberataques hoy en día se han convertido en un tema
recurrente en los titulares de las noticias en los últimos años.
Gran parte de nuestra sociedad se encuentra conectada a una
red en línea y muchos de estos ataques cibernéticos tienen el
potencial de alterar todo, desde la seguridad de nuestras
finanzas hasta la forma en que consumimos noticias o
contenido en línea.
Veremos información clave para comprender qué sobre los
ciberataques y el daño potencial que pueden causar en la
sociedad.
Documento recibido el 27 de mayo del 2022. Universidad Católica Boliviana
“San Pablo” regional Tarija.
Materia Seguridad de Sistemas. Ing. Isaac Lange Aguilar
II. ANTECEDENTES Y CONCEPTOS BASICOS
Para empezar, debemos de ponernos en situación sobre las
amenazas, para esto debemos de preguntarnos ¿Qué es un
ciberataque? .
El término 'ataque cibernético' puede referirse a muchos
escenarios diferentes, pero se lo puede definir como un intento
por parte de un individuo o grupo de personas que
comprometen un sistema informático, una red o un dispositivo
con la intención de causar daño. Estos ataques pueden ser
contra gobiernos, empresas o individuos, con un fin a su
conveniencia y no siempre son necesariamente a gran escala o
de gran alcance, dependerá de la malicia y disconformidad de
la persona y de lo que quiera utilizar para su beneficio.
Un ataque cibernético puede paralizar un sistema informático,
lo que significa que una empresa pierda dinero porque su sitio
web es inaccesible o puede impedir que un organismo
gubernamental ofrezca un servicio esencial. También podría
provocar el robo de grandes cantidades de datos
confidenciales, lo que luego puede afectar a las personas a
nivel personal o financiero. O en el peor de los casos puede
causar daños físicos.
Pero para entrar un poco más en el tema tenemos que
ponernos en la situación de los demás profesionales en las
distintas áreas laborales que puedan existir, y por qué no,
tomar en cuenta a los emprendedores o personas que busquen
automatizar sus negocios pero que no tengan algún
conocimiento informático ni mucho menos sean capaces de
evitar o prevenir todas estas posibles amenazas que están en la
red.
¿Cómo se llevan a cabo los ciberataques?
Muchos ataques cibernéticos son oportunistas, y los piratas
informáticos detectan vulnerabilidades en las defensas de un
sistema informático y las explotan. Esto puede implicar
encontrar fallas en el código de un sitio web, lo que les
permite insertar su propio código y luego eludir los procesos
de seguridad o autenticación. También podría significar que
instalan 'malware' (software diseñado específicamente para
dañar un sistema) a través de un sitio de terceros vulnerable.

Aunque terminología como 'ataques cibernéticos' y 'piratas
informáticos' puede evocar imágenes de equipos sofisticados
de expertos informáticos con equipos de alta tecnología,
estudiando minuciosamente las líneas de código, la realidad
suele ser bastante diferente. Es mucho más probable que los
ataques cibernéticos ocurran a través de errores mundanos,
como que un usuario elija una contraseña fácil de adivinar o
que no cambie la contraseña predeterminada en algo como un
enrutador.
Por ejemplo; El 'phishing' también es una forma común de
obtener acceso a un sistema, lo que implica extraer
información personal con pretextos. Por ejemplo, en un
licenciado este puede recibir un correo electrónico de aspecto
muy oficial que le pide que cambie su contraseña, que en
realidad ha sido enviado por piratas informáticos que intentan
engañarlo, estafas electrónicos o mensajes con doble
intención, como estos hay cientos de ejemplos y cada vez va
creciendo la astucia de estos estafadores informáticos, dando
así con nuevas estrategias cada vez más novedosas.
Otro método muy conocido son los ataques (DDoS) , donde se
envían grandes cantidades de tráfico a un sistema para
colapsarlo. Un sistema solo puede manejar tantas solicitudes a
la vez, como una callcenter que recibe demasiadas llamadas
telefónicas, y eventualmente colapsará. Una vez que esto
sucede, los usuarios reales ya no pueden acceder al servicio, lo
que significa una pérdida de ingresos para la organización y
repercusiones potencialmente más graves si el servicio fuera
esencial, por ejemplo, un sistema de salud, un sistema de
registros de personas hasta un registro de productos.
Ya sabemos lo suficiente sobre ciberataques, ahora hablemos
de virus, y como detectarlos.
Si tu computadora está lenta, hay archivos extraños en tus
carpetas o los programas se cierran de repente sin que hayas
guardado cambios, entonces ha sido infectada con un “virus”.
Y aunque hay algo de razón en esta afirmación, también es
cierto que los dispositivos sin la protección de un antivirus son
susceptibles a muchos más tipos de malware.
En realidad, estas amenazas son diferentes versiones de
malware un tipo de software malicioso que busca infiltrase en
tu computadora sin tu consentimiento y con intenciones, casi
siempre, de dañarlo.
III. ¿QUE ES MALVERTISING? Y RECOMENDACIONES
En este punto llegamos a la cúspide de nuestro trabajo, aquella
que a la que nuestra sociedad pasa por desapercibido a tal
punto de ignorar cualquier advertencia o mensaje, donde
puedes ingresar por morbo, por ocio, o tal vez por necesidad,
2
donde puedes caer en este aspecto de internet, hablamos de los
anuncios maliciosos, o como tocamos en el título,
Malvertising.
Sabias que los ciberdelincuentes utilizan técnicas de
publicidad online para que hagamos click en los enlaces
maliciosos que ofrecen para acceder a nuestros dispositivos
que es lo que se conoce como malvertising, malicioso
advertising o publicidad maliciosa a la hora de hacer click en
estos enlaces lo que buscan principalmente es buscar los
agujeros de seguridad del navegador que estemos utilizando o
de los plugins o complementos asociados al mismo.
Tiene un funcionamiento algo interesante, para esto hay que
retroceder un poco en el tiempo y entender que es el adwer,
que es el hermano mayor por así decirlo, es un programa que
muestre publicidad a un usuario, generando beneficios a sus
creadores, muchos de estos pueden llegar a ser algo
inofensivos y más de uno de nosotros incluyendo ingenieros
en el area informática cayeron en este tipo de trampas, el
ejemplo más común, es cuando instalas una aplicación y
aceptas todo sin leer o darte cuenta que tiene un programa por
detrás, que no te estes dando cuenta, los cuales llegan una
definicion muy peculiar como secuestradores de navegador,
estos son los que se producen cuando software no deseado
modifica la actividad del navegador de Internet para espiar a
los usuarios, robar su información o para mostrar publicidad
persistente y causan un año directo, si son invasivos, un
ejemplo simple, es cuando en nuestra pantalla comienzan a
salir anuncios sin consentimiento.
Y para esto, debemos de tener en cuenta que estamos viviendo
cada vez más en una sociedad mucho más actualizada donde
los atacantes han tenido que reinventarse para seguir siendo
efectivos naciendo así el malvertising, a diferencia del adware,
es más invasivo y no necesita del 100% de una aplicación
externa para provocar la invasión, aprovecha una rotura de
seguridad para entrar mediante un programa externo y colocar
anuncios maliciosos sobre nuestros programas.
Por este motivo es muy importante es muy importante seguir 5
consejos de ciberseguridad en casos así.
- Tener siempre todas las aplicaciones actualizadas y de
repositorios oficiales, principalmente
navegadores, plugins, complementos, sistemas operativos,
antivirus.
- Segunda es solo tener habilitados los complementos de uso
diario, de nuestros navegadores
- Tercera recomendación es utilizar la función click to play
que tiene muchos navegadores es decir cada vez
que un plugin quiera ejecutarse siempre te va a permitir
permiso
- Cuarta recomendación y de seguro la más morosa y aburrida,
es leerse los términos y condiciones legales de los plugins o
complementos que nos estemos instalando a nuestros
navegadores
- Finalmente la quinta y una de las más importante sin
importar el area en el que te encuentres, siempre es importante

tener claro los conocimientos básicos de los peligros que están
expuestos hoy en día en internet, confiarse no es algo bueno,
más aún si tu vida comienza a depender de la tecnología
IV. ENLACES MALICIOSOS Y DESCARGAS DE DOBLE
FILO
Cada día compartimos millones de enlaces. Actualmente
vivimos en una sociedad digital, tendemos a hacer click por
instinto en cualquier enlace que veamos o nos llegue con tal de
acceder a información y esto es más que conocido por los
ciberdelincuentes en las redes
¿Cómo consiguen que caigamos en la trampa de los enlaces
maliciosos más de una vez? Utilizando técnicas de “Ingenieria
social”, un tema un poco amplio para abarcarlo en este
artículo, pero en resumen; es una técnica que emplean los
ciberdelincuentes para ganarse la confianza del usuario y
conseguir así que haga algo bajo su manipulación y engaño,
Suena un poco perverso si, y lo es pero en fin este es el modo
en el que consiguen información personal de las víctimas que
luego venden en el mercado negro o utilizan para cometer
delitos de suplantación de identidad.
Pero volviendo al punto principal, ¿Qué es un enlace
malicioso? También lo conocemos como ‘link’ que es
aparentemente fiable e inofensivo pero que, al pinchar en él,
redirige a una web falsa que imita ser una web oficial legítima.
Una vez que el usuario cree estar navegando por una web de
confianza, podría introducir datos personales como su correo
electrónico, contraseñas e incluso datos bancarios.
Pero también existen otras formas de llegar a estos links, y
aqui llegamos al conocido tema de “piratería”. Bastante
conocido por nosotros e incluso personas con ningún
conocimiento en seguridad informática lo conocen. Quien no
ha descargado softwares crackeados, sobre todo videojuegos,
incluso conociendo los riesgos que esto puede traer, de todas
maneras hacemos click en descarga de paginas muy dudosas
que te envían 5 anuncios por segundo.
¿Qué puede ocurrir al descargar software crackeado?
Muchos usuarios optan por descargar programas crackeados o
piratas de Internet. La realidad es que de una u otra forma
podemos decir que están disponibles en la red. No es difícil
encontrarnos con software popular en páginas de descargas.
Ahora bien, esto también supone un problema de seguridad
importante.
Hay que indicar que nuestros datos personales tienen un gran
valor en Internet. Son objetivo de los piratas informáticos para
lanzar ataques, poder incluirnos en campañas de Spam o
incluso venderlos a terceros y lucrarse. Es por ello que en todo
momento hay que mantener nuestros equipos a salvo, ya que
indirectamente estaremos protegiendo nuestra información
3
personal, nuestras cuentas y registros. Es necesario para evitar
que puedan robar contraseñas y afectarnos.
• El programa puede no funcionar (algo muy usual al
descargar algo ‘pirata’)
• Acabar infectados con malware
• Afectar a otros equipos en la red e información de
nuestro equipo.
• Puede instalar softwares adicionales que trae
escondidos.
No tiene soporte técnico, problemas legales, etc, etc. En
definitiva, descargar software crackeado o pirateado puede
suponer un riesgo para nuestra seguridad. Hay que tener
presente todo lo que hemos mencionado. Es algo que debemos
aplicar siempre, sin importar si estamos utilizando dispositivos
móviles, equipos de escritorio, se trata de un ordenador
personal o empresarial.
V. CONCLUSIONES Y RECOMENDACIONES
Si todos tomamos conciencia de los peligros que conlleva
estar conectado a una red, no significa que estos desaparecerán
de nuestras vidas, porque tener seguridad en nuestra vida
personal es parte de nuestros derechos como sociedad, aun así,
sea virtual, real, o cualquier modo de vida que pueda existir en
esta o futuras generaciones, la sociedad siempre se verá
afectada por una vulnerabilidad de información, de datos o de
contenido que pueda servir para perjudicar a las personas.
Para esto podíamos darnos el tiempo para recomendar varias
soluciones o respuestas, principalmente contratar una
consultora o un equipo de seguridad que pueda cuidar y
resguardar tu información, pero suena algo tedioso y es poco
convencional hoy en día, en esta nueva generación, el cual las
personas carecen de tiempo libre, es por eso que estas
consultoras optan por hacerse de manera virtual o trabajar en
línea, pero este será otro punto a tratar, lo que vamos a
recomendar el día de hoy va directamente a cualquier
ingeniero, doctor, abogado, licenciado o cualquier persona que
tiene una computadora e internet y cree que su equipo este
pasando por alguna vulnerabilidad, sospecha y no tenga el
tiempo o el dinero para contratar algún servicio de seguridad
externo.
- Cuidado con las descargas. El correo electrónico es
el principal foco de entrada de virus. Es importante
no utilizar el correo personal en la oficina y
comprobar la veracidad de los emails que incluyen
adjuntos o enlaces.
- Gestión de contraseñas y permisos. Los permisos
de administrador deben ser la excepción, no la
norma. También debe restringirse el acceso a
determinados documentos, programas, carpetas y
webs. Respecto a las contraseñas, es importante que
sean seguras (longitud aceptable y mezcla de
caracteres especiales y alfanuméricos). También es
aconsejable modificarlas periódicamente (cada tres
meses).
 4

- Copias de seguridad. Una medida proactiva que estos cambios, el resto de los miembros de la
puede ahorrarnos más de un disgusto si ocurre algún empresa les seguirán.
incidente. La información debe ser salvada y cifrada - Continúe investigando las nuevas tecnologías y
para evitar la pérdida de los datos. analizando nuevos proveedores. Por último, le
- Gestionar las incidencias de seguridad con aconsejamos que trate de permanecer informado con
rapidez. Es importante informar al equipo técnico de respecto a las últimas buenas prácticas de seguridad,
cualquier incidente o problema que se detecte, para operadores, proveedores y tecnologías. Prepárese
que pueda resolverse a la mayor brevedad posible y para actualizar su software, utilizar nuevas
evitar que vaya a más. Una buena labor de herramientas y tecnologías y mantener su
concienciación de los empleados en materia de infraestructura protegida en Internet.
seguridad informática debe ser una prioridad.
- Cuidado con lo que publica sobre otras personas y Esperamos que estos consejos de ciberseguridad para su
sobre usted mismo. Su manera de hablar de otras empresa, negocio, institucion le hayan hecho pensar en la
personas en Internet dice mucho de usted, y también importancia de garantizar la seguridad de su organización.
le podría ocasionar problemas legales o incluso Recuerde que las amenazas pueden surgir en el seno de su
hacerle vulnerable frente a robos o ataques de propia organización y, de hecho, con frecuencia su origen no
hackers. Puede haber personas vigilando sus será externo. Piense siempre que su organización es vulnerable
comentarios en Internet, de manera que, si publica a ataques y prepárese para lo inevitable.
que se va una semana de vacaciones, no sería difícil
que alguien encontrase su dirección y fuese a su casa
a robar. También debe extremar las precauciones para
no violar acuerdos de confidencialidad, contratos
laborales y cualquier otro acuerdo que haya suscrito.
Asimismo, puede cometer un delito al revelar
información personal sobre otros o difamarlos en
público sin pruebas.
- Habilite el protocolo HTTPs en su sitio web. Los
sitios web HTTPs cuentan con un certificado
SSL/TLS instalado en el servidor. Este certificado
cifra los datos transmitidos desde el navegador hasta
el servidor ya se trate de información personal o
financiera transmitida a través del sitio o del
contenido del propio sitio web y los protege frente a
intrusos (por ejemplo, terceros malintencionados,
servicios de vigilancia gubernamentales, etc.). Los
certificados SSL también permiten vincular su
identidad de marca con su presencia web, lo que
ayuda a los visitantes a determinar que su sitio
efectivamente está controlado por su empresa y no
por impostores (descartando así que se trate de un
sitio de phishing). Los certificados SSL EV
evidencian esta autenticidad al activar la barra de
direcciones verde y mostrar de forma prominente el
nombre de su empresa.
- Use contraseñas sólidas y no las reutilice. Válido:
"34bGUI7&89@))". No válido: "12345 o Eddy1"
- Habilite un firewall para proteger su conexión a
Internet. Los firewalls están diseñados para evitar
accesos no autorizados a las redes privadas. Puede
crear un conjunto de reglas en su firewall para
determinar qué accesos están autorizados y cuáles
deben ser bloqueados. Un buen firewall debe ser
capaz de supervisar los datos entrantes y salientes.
- Anime a los directivos de su empresa a liderar una
cultura de ciberseguridad. Como sucede con todas
las estrategias de cambio aplicables a toda la
organización, los directivos deben ser los primeros en
asumir los cambios. Si los líderes demuestran aceptar
 5

REFERENCE