Carné

2010-026311
Nombre jose Ordoñez González

Phishing

Phishing es el delito de engañar a las personas para que compartan

información confidencial como contraseñas y números de tarjetas de crédito. Como
ocurre en la pesca, existe más de una forma de atrapar a una víctima, pero hay una
táctica de phishing que es la más común. Las víctimas reciben un mensaje de correo
electrónico o un mensaje de texto que imita (o “suplanta su identidad”) a una persona
u organización de confianza, como un compañero de trabajo, un banco o una oficina
gubernamental. Cuando la víctima abre el correo electrónico o el mensaje de texto,
encuentra un mensaje pensado para asustarle, con la intención de debilitar su buen
juicio al infundirle miedo. El mensaje exige que la víctima vaya a un sitio web y actúe
de inmediato o tendrá que afrontar alguna consecuencia. 
Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web
que es una imitación del legítimo. A partir de aquí, se le pide que se registre con sus
credenciales de nombre de usuario y contraseña. Si es lo suficientemente ingenuo y lo
hace, la información de inicio de sesión llega al atacante, que la utiliza para robar
identidades, saquear cuentas bancarias, y vender información personal en el mercado
negro. Fuente (malwarebites)

spear phishing

El spear phishing es una estafa de correo electrónico o comunicaciones dirigida

a personas, organizaciones o empresas específicas. Aunque su objetivo a menudo es
robar datos para fines maliciosos, los cibercriminales también pueden tratar de instalar
malware en la computadora de la víctima.
Funciona así: llega un correo electrónico, aparentemente de una fuente
confiable, que dirige al destinatario incauto a un sitio web falso con gran cantidad de
malware. A menudo, estos correos electrónicos utilizan tácticas inteligentes para
captar la atención de las víctimas. Por ejemplo, el FBI advirtió de estafas de spear
phishing que involucraban correos electrónicos supuestamente procedentes del Centro
Nacional para Menores Desaparecidos y Explotados.
En numerosas ocasiones, estos ataques son lanzados por hackers y activistas
informáticos patrocinados por gobiernos. Los cibercriminales hacen lo mismo con la
intención de revender datos confidenciales a gobiernos y empresas privadas. Estos
cibercriminales emplean enfoques diseñados individualmente y técnicas de ingeniería
social para personalizar de forma eficaz los mensajes y sitios web. Como resultado,
incluso objetivos de alto nivel dentro de las organizaciones, como altos ejecutivos,
pueden acabar abriendo correos electrónicos que pensaban que eran seguros. Ese
descuido permite que los cibercriminales roben los datos que necesitan para atacar
sus redes fuente (Kaspersky)

Baiting

El baiting, también conocido como gancho o cebo, es un ataque informático

que utiliza la ingeniería social para lograr el objetivo. Este ciberataque consiste en
dejar abandonado un dispositivo de almacenamiento extraíble (ya sea un USB, CD,
DVD o móvil) infectado con un software malicioso en algún lugar a la vista para tentar
a la víctima a cogerlo y ver lo que contiene. Una vez que lo ejecuta en su ordenador, el
malware hará su trabajo.
Un estudio llevado a cabo en una universidad americana, demostró que este
ataque informático es bastante eficaz. Los ciberataques por baiting tenían una tasa de
éxito entre un 45 y 98 por ciento. Durante el experimento, se abandonaron en el
campus 297 memorias USB, de las cuales un 45 por ciento fueron insertadas en un
ordenador para ver el contenido de ella o encontrar al dueño.
La idea del baiting es similar al phishing, pero lo diferencia de otros ataques de
ingeniería social en el hecho de que se emplea un dispositivo físico para atraer a la
víctima.

Pretexting

Podemos decir que el Pretexting es una forma de ingeniería social que utilizan
los piratas informáticos para el robo de información personal. Lo que busca el atacante
es que la víctima ceda información confidencial y valiosa o que acceda a un
determinado servicio o sistema.
El atacante utiliza para ello un pretexto, una historia, para engañar al usuario.
Se ponen en contacto con la hipotética víctima y se hacen pasar por alguien con
autoridad para poder recopilar información y datos confidenciales y que serían de
importancia. El objetivo, al menos lo que indican, es ayudar y evitar que haya algún
problema.
Los piratas informáticos pueden utilizar el Pretexting para atacar a usuarios
particulares y también empresas. Suele ser común solicitar información para acceder a
cuentas bancarias y datos privados. Por ejemplo podrían hacerse pasar por un banco
pidiendo información al cliente para poder comprobar su identidad o resolver alguna
incidencia.
La persona que recibe la llamada o correo puede creer que realmente es algo
serio, algo que debe tener su atención. Se creen el pretexto que utilizan y les indican
ciertos datos sensibles que el atacante solicita. Por ejemplo, información fiscal, datos
de la cuenta, dirección… Todo esto podría ser utilizado en su contra, para acceder a
las cuentas o llevar a cabo cualquier otro ataque.
¿Qué necesita el atacante para llevar a cabo esta amenaza denominada
Pretexting? Básicamente la clave está en disponer del número de teléfono o correo
electrónico de la víctima, así como información relacionada con algún servicio que
utiliza.
Pongamos como ejemplo una llamada a un cliente de una entidad bancaria. El
atacante llama por teléfono y le habla por su nombre indicando que sospechan que ha
habido un pago fraudulento, un intento de robo o algún acceso incorrecto a la cuenta.
Le piden a la víctima que ofrezca ciertos datos para que esa persona que llame,
supuestamente con autoridad, pueda confirmar que todo está correcto.

spamming de contactos

Comprensiblemente, esto puede ser preocupante y puede crear problemas de

capacidad de entrega si algunos de estos registros resultan ser direcciones activas
que terminan marcando su correo electrónico como correo no deseado. Intentaremos
responder algunas de las preguntas comunes que pueda tener. ¿Por qué está
pasando esto? Los piratas informáticos malintencionados crean "bots" que registran
una sola dirección de correo electrónico en miles de formularios en línea. Esta única
dirección se inundará de correos electrónicos y se volverá inútil temporalmente. Piensa
en miles de mensajes por minuto. Esto a menudo se hace para deshabilitar la cuenta
para que se pueda robar otra información confidencial, o para que se puedan realizar
transacciones financieras fraudulentas sin que la cuenta de correo electrónico reciba
avisos de esta actividad. Por lo general, el bot también registrará miles de otras
direcciones para ocultar aquellas a las que apunta. Suelen ser direcciones falsas
generadas aleatoriamente.

quid pro quo

Si sabes latín seguramente conozcas cuál es el significado de la expresión

quid pro quo. Esta podría traducirse literalmente como "una cosa por otra" o "algo
sustituido por otra cosa". La frase se utiliza para hacer referencia a una equivocación
consistente en tomar una cosa por otra distinta o a una persona por otra.
En el ámbito de la ciberseguridad, quid pro quo se usa para definir un
determinado tipo de ciberataque, en concreto uno de ingeniería social. Para algunos
también es un tipo de método de baiting (cebo) porque se proporciona un supuesto
beneficio si se realizan ciertas tareas. 
En los ataques quid pro quo los ciber malos ofrecen una cosa a las víctimas a
cambio de cierta información o dato sensible. Puede ser un descuento, un regalo o
una contraprestación. 
Estas amenazas se caracterizan por una suerte de intercambio y se basan en
el principio de reciprocidad. Es decir, psicológicamente los seres humanos nos vemos
impelidos a devolver un favor cuando nos hacen uno. 
En muchos casos lo que proporcionan es "soporte técnico" a cambio de brindar
acceso a información segura. Ellos nos hacen una auditoría o análisis de nuestro
equipo para eliminar potenciales virus y nosotros solo debemos proporcionar nuestro
usuario y contraseña. 
Este último caso es el ejemplo más claro. Los ciberdelincuentes se hacen
pasar por representantes del servicio técnico de una compañía proveedora de algún
tipo. En principio parece que prestan ayuda y a cambio tú les das acceso a tu
ordenador. Sin embargo, aprovechan este para plantar malware, instalar un
ransomware

Whaling

Un ataque de whaling es un método que usan los cibercriminales para simular

ocupar cargos de nivel superior en una organización y así atacar directamente a los
altos ejecutivos u otras personas importantes dentro de ella, con el objeto de robar
dinero, conseguir información confidencial u obtener acceso a sus sistemas
informáticos con fines delictivos. El whaling, también conocido como CEO fraud, es
similar al phishing en cuanto a que usa métodos, como la suplantación de sitios web y
correos electrónicos, para engañar a la víctima y hacer que revele información
confidencial o haga transferencias de dinero, entre otras acciones.
A diferencia de las estafas de phishing (que no tienen un objetivo específico) y
de spear phishing (que tiene como objetivo personas en específico), el whaling lleva el
ataque al siguiente nivel: no solo está dirigido a estas personas importantes, también
lo hace de una forma en que parezca que las comunicaciones fraudulentas provienen
de una persona influyente o que tiene un cargo de nivel superior dentro de la
organización. De esta estrategia proviene el nombre de "whaling" (caza de ballenas,
en inglés): un ataque específico dirigido a los "peces gordos" de las empresas, como
el director ejecutivo (CEO) o el gerente de finanzas. Esto incorpora un elemento de
ingeniería social al ataque, ya que los empleados sienten la obligación de responder a
las solicitudes de una persona que consideran importante.
La amenaza está muy presente en la actualidad y continúa en crecimiento. En
el año 2016, el departamento de nóminas de Snapchat recibió un correo electrónico de
whaling que parecía provenir de su director ejecutivo. En él, se solicitaba información
sobre la nómina de empleados. El año pasado, Mattel (una de las principales
empresas de fabricación de juguetes) fue víctima de un ataque de whaling luego de
que un ejecutivo financiero de alto nivel recibiera un correo electrónico de un estafador
que suplantaba al nuevo director ejecutivo y que solicitaba una transferencia de dinero.
Como resultado, la empresa casi pierde USD 3 millones.
Malware
“software malicioso” es un término amplio que describe cualquier programa o
código malicioso que es dañino para los sistemas.
El malware hostil, intrusivo e intencionadamente desagradable intenta invadir,
dañar o deshabilitar ordenadores, sistemas informáticos, redes, tabletas y dispositivos
móviles, a menudo asumiendo el control parcial de las operaciones de un dispositivo.
Al igual que la gripe, interfiere en el funcionamiento normal.
La intención del malware es sacarle dinero al usuario ilícitamente. Aunque el
malware no puede dañar el hardware de los sistemas o el equipo de red —con una
excepción que se conozca (vea la sección Android de Google)—, sí puede robar, cifrar
o borrar sus datos, alterar o secuestrar funciones básicas del ordenador y espiar su
actividad en el ordenador sin su conocimiento o permiso.

Tailgating

Tailgating, también conocido como piggybacking, es una de las formas más

comunes para que los piratas informáticos y otros personajes maliciosos tengan
acceso a áreas restringidas. Después de todo, es más fácil simplemente seguir a una
persona autorizada en una empresa que irrumpir en ella.
Este tipo de ataque involucra a un atacante que solicita acceso a un área
restringida del espacio físico o digital de una organización. Un escenario común que
vemos normalmente es un atacante que le pide a un empleado que «mantenga abierta
la puerta» en un área restringida porque olvidó su acceso o tarjeta de identidad, o
incluso simplemente le pide a un empleado que tome prestada su máquina.
Este ataque puede ser bastante útil en organizaciones grandes donde es
probable que los empleados no conozcan a todos sus compañeros de trabajo. A
menudo se les engaña fácilmente para que den acceso.

Vishing

Si alguna vez hemos recibido una llamada de teléfono sospechosa, donde el

supuesto operador que se identifica como un trabajador de una empresa conocida,
nos solicita datos personales o incluso acceso remoto a alguno de nuestros
dispositivos, es posible que hayamos sido víctimas del fraude conocido como vishing.
En este artículo profundizaremos sobre cómo funciona y cómo podemos detectarlo
para evitar ser víctimas.
Hoy en día, los usuarios pasamos tanto tiempo conectados a nuestros
dispositivos que es importante que estemos alerta, ya que los ciberdelincuentes no
descansan y siempre estarán tratando de elaborar nuevas estafas y fraudes con los
que hacerse con nuestra información personal.
En esta ocasión, nos centraremos en un tipo de fraude que se lleva a cabo a
través de llamadas telefónicas, conocido como vishing. Es un tipo de fraude basado en
la ingeniería social y en la suplantación de identidad. Se realiza a través de llamadas
telefónicas, donde el atacante suplanta la identidad de una empresa, organización o
incluso de una persona de confianza, con el fin de obtener información personal de
sus víctimas.
Su modus operandi se divide en dos pasos. Primero, el atacante debe haber
obtenido información confidencial sobre su víctima, como su nombre y apellidos, el
correo, domicilio, parte de los datos de su tarjeta de crédito, etc. Esto lo obtiene
gracias a otros ataques realizados sobre sus víctimas, como el phishing.
Una vez obtenida esta información, es el momento de realizar una llamada
telefónica al cliente, haciéndose pasar por su banco, una empresa de mensajería o un
servicio técnico para utilizar la información anterior y que su víctima confíe en él. Tras
esto, tratará de obtener más información, conseguir que el usuario instale algún
malware en su equipo o realice algún tipo de pago.

water-holing

El término “watering hole attack” hace referencia a una táctica empleada

durante la realización de campañas de ataques dirigidos donde la distribución del APT
se realiza a través de una web de confianza que suele ser visitada por los empleados
de la empresa o entidad objetivo. Supongamos el siguiente ejemplo:
Una empresa hidroeléctrica posee oficinas en una localidad europea que
cuenta con varios periódicos regionales. Los empleados de dicho edificio de oficinas
suelen visitar todos los días la edición digital de esos periódicos. Durante la etapa de
recopilación de información este comportamiento es detectado por un grupo que tiene
como objetivo robar información estratégica de la empresa.
Los atacantes analizan los periódicos en busca de vulnerabilidades y detectan
que en uno de ellos es posible inyectar código malicioso en los anuncios de la web,
mostrándose a todos los visitantes. Aprovechan esta vulnerabilidad para introducir un
script que detecte la procedencia del visitante y si coincide con la IP del proxy de la
empresa hidroeléctrica ejecute un exploit para su navegador.
En muchas ocasiones las medidas de seguridad adoptadas por las empresas –
tanto a nivel de infraestructura como de entrenamiento de los empleados- dificultan
poder realizar una intrusión en la misma a través de los paradigmas clásicos tales
como la explotación de vulnerabilidades en elementos expuestos al exterior o el uso
de campañas de spear phishing. En estos casos puede ser más sencillo y efectivo
comprometer una web de un tercero que suela ser visitada por los empleados y
utilizarla como vehículo para la distribución del APT.
En estos escenarios los agentes que pretenden introducir su APT en la
empresa objetivo realizan un profundo estudio sobre las costumbres de los
empleados, localizando websites claves por la afluencia y la confianza depositada.
Una vez analizados las posibles webs objetivo se procede a buscar vulnerabilidades
cuya explotación permita introducir código malicioso que vaya ser ejecutado por los
visitantes.