SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE

LA INFORMÁTICA

Temario de la Clase: Seguridad Informática. Algunos Tipos de Ataques

Informáticos: Ataque por Denegación de Servicio, Ataque por Técnicas de
Escaneo de Puertos, Ataque por Suplantación de Identidad ARP, Ataque por
Saturación de ICMP, Ataque a través de Intermediario, Ataques para
Secuestro de Datos, Ataques por Ingeniería Social, Ataque por Determinación
de Sistema Operativo, Ataque por Grabación de Teclas Oprimidas y Ataque
por Virus Informáticos. Amenazas Informáticas del Futuro. Prácticas Útiles
para Aplicar en Seguridad Informática. Algunos Consejos de Seguridad
Informática. Aspectos para Seleccionar el mejor Software de Seguridad
Informática.

SEGURIDAD INFORMÁTICA

Algunos tipos de ataques informáticos

Se podría afirmar que la última década ha sido testigo del importante cambio
de paradigma en el que los ciberdelincuentes buscan explotar
vulnerabilidades dentro de las organizaciones y de las infraestructuras
nacionales.

Por ello, actualmente es casi imposible definir un listado actualizado de todos

los tipos de ataques en forma realista, ya que el mundo de la seguridad
informática es altamente cambiante, es más, se podría decir que
prácticamente en forma diaria y constante aparecen nuevos tipos de ataques
informáticos.

Bajo estas consideraciones para mantener un cierto grado de seguridad

informática, lo primero y principal será conocer y entender cómo podrán
atacarnos y en qué consistirán dichas amenazas, con el propósito de poder
solucionarlas de la mejor forma posible.

1
Conocer y entender distintos tipos de ataques informáticos servirá para
comprender las definiciones de todos los ataques y síntomas asociados a ellos.

1) Ataque por Denegación de Servicio (Denial of Service – DoS): En un

ataque por denegación de servicio (DoS), el atacante intentará evitar la
posibilidad legitima que los usuarios autorizados accedan a los datos o a los
servicios.

La forma más común y obvia de un ataque DoS ocurrirá cuando un atacante

"inunde" una red con datos. Cuando se escribe un nombre o dirección de un
sitio web en particular en un navegador, se estará enviando una solicitud al
servidor web del sitio para poder ver la página web en concreto. El servidor
solo podrá procesar una cierta cantidad de solicitudes de una vez, por lo que,
si un atacante sobrecarga el servidor con solicitudes, este no podrá procesar
dicha solicitud. A esto se lo denomina un "ataque por denegación de servicio
DoS" ya que no se podrá acceder al sitio.

Los principales síntomas de un ataque por denegación de servicio DoS serán:

• El rendimiento de la red será inusualmente lento, tanto al abrir archivos

como para acceder a sitios web.
• Indisponibilidad de un sitio web en particular.
• Incapacidad para acceder a cualquier sitio web
• Aumento dramático en la cantidad de spam que se reciben.

2
Los ataques de red distribuidos se denominan ataques por denegación de
servicio distribuido (DDoS). Este tipo
de ataque aprovechará los límites de
capacidad específicos que se aplican a
cualquier recurso de red, como la
infraestructura que habilita el sitio web
de una empresa. El ataque DDoS
enviará múltiples solicitudes al recurso
web atacado, con el objetivo de exceder
la capacidad del sitio web para manejar
múltiples solicitudes y evitar que el
sitio web funcione correctamente.

Los principales objetivos para ataques por denegación de servicio distribuido

DDoS incluyen:

✓ Sitios de compras por internet

✓ Casinos en línea
✓ Empresas u organizaciones que dependan de la prestación de servicios en
línea.

Se podrán considerar distintos tipos de ataques por denegación de servicio

DoS:

a) Ataque por denegación de servicio por saturación de Ping o saturación

ICMP o Ping Flood o ICMP Flood
Attack: En una red para intercambiar
datos de estado o mensajes de error,
los nodos deberán utilizar el protocolo
de control de mensajes de internet en
ingles Internet Control Message
Protocol (ICMP).
Durante un funcionamiento normal
del sistema, las solicitudes de ping
serán utilizadas para probar la
conectividad de dos computadoras

3
midiendo el tiempo de ida y vuelta desde que se envía una solicitud de eco
ICMP hasta que se recibe una respuesta de eco ICMP.

Sin embargo, durante un ataque, se utilizarán las solicitudes de ping para

sobrecargar una red objetivo con paquetes de datos.

La ejecución de un ataque por denegación de servicio por Saturación de Ping

dependerá básicamente que los atacantes conozcan la dirección IP de su
objetivo. Los ataques podrán, por lo tanto, dividirse en tres categorías, según
el objetivo y cómo se resuelve su dirección IP.

✓ Ataque por denegación de servicio por una saturación de ping dirigida a

una sola computadora en una red local. Para ello el atacante necesitara tener
acceso físico a la computadora para descubrir su dirección IP. Un ataque
exitoso daría como resultado que la computadora objetivo sea apagada o
eliminada.

✓ Ataque por denegación de servicio a través de la saturación de ping de un

enrutador para interrumpir las comunicaciones entre computadoras en una
red. Para ello el atacante deberá conocer la dirección IP interna de un
enrutador local. Un ataque exitoso daría como resultado que todas las
computadoras conectadas al enrutador sean apagadas o eliminadas.

✓ Ataque por denegación de servicio a través de la saturación de ping a

ciegas, esto implicara el uso de un programa externo para descubrir la
dirección IP de la computadora o enrutador de destino antes de ejecutar un
ataque.

Se deberá tener en cuenta que para que ataque por denegación de servicio a
través de la saturación de ping sea sostenida, la computadora atacante deberá
tener acceso a más ancho de banda que la víctima. Esto limitara la capacidad
de llevar a cabo un ataque DoS, especialmente contra una red grande o muy
grande.

4
Para que un ataque sobre una red grande o muy grande tenga un grado de
éxito probable se podrá realizar un ataque por denegación de servicio
distribuido (DDoS), ejecutando el ataque con la utilización de una red botnet.

b) Ataque por denegación de servicio por segmentación de paquetes de

datos o TearDrop Attack: Las
implementaciones de los protocolos TCP/IP
podrán diferir ligeramente de una plataforma a
otra, algunos sistemas operativos podrán
contener un tipo error de reensamblado de
fragmentación TCP/IP. Los ataques por
denegación de servicio por segmentación de
paquetes de datos o teardrop attack serán
diseñados para explotar esta debilidad.

En estos ataques, el atacante envía un paquete de información fragmentado

intencionalmente a un dispositivo objetivo. Como los paquetes se superponen,
se producirá un error cuando el dispositivo intente reensamblar el paquete.
El ataque aprovecha ese error para causar un bloqueo total en el sistema
operativo o la aplicación que maneja el paquete.

c) Ataque por denegación de servicio distribuido a través de una segunda

cuenta o DDoS Smurf Attack:
Es un tipo de ataque por denegación de
servicio distribuido (DDoS) que podrá dejar
totalmente inoperativas a las redes
informáticas. El ataque DDoS Smurf lograra
su objetivo aprovechando las vulnerabilidades
del Protocolo de Internet (IP) y de los Protocolos
de Mensajes de Control de Internet (ICMP).

Los pasos que se deberán seguir para un

ataque por denegación de servicio a distribuido
a través de una segunda cuenta o DDoS Smurf
Attack: serán los siguientes:

5
✓ En primer lugar, el código o programa malicioso deberá crear un paquete
de datos de red adjunto a una dirección IP falsa; a esta técnica se la denomina
"suplantación".

✓ El paquete de datos contendrá un mensaje ping de ICMP, que hará que los
nodos de red reciban el paquete, para luego enviar de vuelta una respuesta.

✓ Posteriormente, estas respuestas o "ecos" serán enviadas nuevamente a

las direcciones IP de la red, configurando un ciclo infinito.

✓ Cuando se combina el ataque por denegación de servicio a través de una

segunda cuenta o Smurf Attack se realiza con difusión a través de IP (un
método que permite enviar el paquete malicioso a todas las direcciones IP en
la red), el ataque podrá causar una denegación de servicio completa con
mucha rapidez y eficiencia.

Un código o programa maligno o troyano Smurf, se podrá descargar

involuntariamente de un sitio web no verificado o a través de un enlace de
correo electrónico infectado. Por lo general, el código o programa malicioso se
mantendrá inactivo en una computadora hasta que un usuario remoto lo
active. Esto permitirá a los hackers crear puertas traseras para acceder con
facilidad al sistema liberando a numerosos troyanos Smurf que se
encontraban empaquetados con el rootkits de acceso. Una manera de
contrarrestar un ataque por denegación de servicio a través de una segunda
cuenta o Smurf Attack será el de desactivar la difusión de direcciones IP en
cada enrutador de la red. Esta función no se utiliza con frecuencia y, si se
desactivan, el ataque será incapaz de saturar la red.

Si un ataque DDoS Smurf lograra su objetivo, podrá inhabilitar los servidores

de una empresa durante horas o días, lo que generaría pérdida de ingresos y
frustración entre los clientes, pero lo más importante será que este ataque
también podrá ocultar algo aún más siniestro, como el robo de archivos u otra
propiedad intelectual (PI). Para hacer frente a los ataques Smurf y otros
ataques DDoS similares, se necesitará implementar una estrategia de
prevención sólida que permitirá monitorear el tráfico de red y detectar
cualquier anomalía, como volumen de paquetes, comportamiento y firma.

6
Numerosos botnets de malware (malicious software) poseen características
específicas y el servicio de seguridad informática correcto podrá ayudar a
desarmar un ataque por denegación de servicio a través de una segunda
cuenta o DDoS Smurf Attack o cualquier otro ataque DDoS, antes que
comience a hacer daño.

d) Ataque por denegación de servicio distribuido por saturación de

sincronismo SYN o DDoS SYN Flood. Los paquetes del protocolo TCP de
sincronismo SYN se utilizan para sincronizar los números de secuencia en
tres tipos de segmentos: petición de conexión, confirmación de conexión con
reconocimiento ACK (acknowledge – reconocer) activo y la recepción de la
confirmación con reconocimiento ACK activo.

Al ataque por denegación de servicio

distribuido por saturación de
sincronismo o DDoS SYN Flood se lo
considera un ataque semiabierto que
intentara dejar al servidor atacado sin
disponibilidad para el tráfico legítimo al
consumir todos sus recursos
disponibles. El atacante lo logrará
enviando repetidamente paquetes de
sincronismo (SYN) durante la conexión
inicial (generalmente con direcciones IP falsificadas), de esta forma repetida
se producirá una saturación en todos los puertos disponibles en el sistema
del servidor fijado como objetivo y causará que el mismo responda al tráfico
legítimo con lentitud o que la saturación sea tal que no responda en absoluto,
es decir denegara el servicio de la red.

El funcionamiento de un ataque por denegación de servicio distribuido por

saturación de sincronismo SYN o DDoS SYN Flood será mediante la alteración
del proceso del protocolo de enlace de una conexión TCP.

Bajo condiciones normales, la conexión TCP realizará tres procesos distintos

para lograr una conexión: Primero, el cliente enviará un paquete SYN al
servidor para iniciar la conexión. Luego el servidor responderá al paquete

7
inicial con un paquete SYN/ACK para reconocer la comunicación. Finalmente,
el cliente devolverá un paquete ACK para reconocer la recepción del paquete
del servidor. Tras finalizar esta secuencia, la conexión TCP estará abierta y
podrá enviar y recibir información.

Para generar una denegación de servicio, un atacante utilizará el hecho que,

tras la recepción de un paquete SYN inicial, el servidor responderá con uno o
más paquetes SYN/ACK, y esperará el último paso del protocolo de enlace.
El ataque se podrá realizar de la siguiente forma:

✓ El atacante enviará una alta cantidad de paquetes SYN al servidor fijado

como objetivo, generalmente con direcciones IP falsificadas.
✓ El servidor responderá a cada una de las solicitudes de conexión y dejará
abierto un puerto, listo para recibir la respuesta.
✓ Mientras el servidor espera el último paquete ACK, que nunca llegará, el
atacante continuará enviando paquetes SYN.
✓ La llegada de cada paquete SYN nuevo provocará que el servidor mantenga
temporalmente una conexión de puerto abierto nueva.
✓ Una vez utilizados todos los puertos disponibles, el servidor ya no podrá
funcionar con normalidad.

Un ataque por denegación de servicio distribuido por saturación de

sincronismo o DDoS SYN Flood se podrá realizar de 3 (tres) formas distintas,
a saber:

▪ Ataque directo: es un ataque por saturación de paquetes de sincronismo

SYN donde no se falsificará la dirección de IP, es decir, que el atacante no
ocultara la dirección IP, esto lo hará muy vulnerable a que lo descubran y
neutralicen. En la práctica, este método no se utilizará muy seguido o nunca,
ya que la neutralización será bastante directa – solo se bloqueará la dirección
IP de cada sistema malicioso. Pero si el atacante utiliza una red de robots
(botnet), no le importará ocultar la IP de ningún dispositivo.

▪ Ataque falsificado: es un ataque por saturación de paquetes de

sincronismo SYN donde el atacante podrá falsificar la dirección IP de cada
paquete de sincronismo SYN que enviará para inhibir los esfuerzos de

8
neutralización y dificultar aún más el descubrimiento de su identidad. Si bien
la dirección IP de los paquetes se podrá falsificar, existe la posibilidad de
rastrearlos hasta su origen. Si bien el rastreo será bastante difícil de realizar,
no será imposible, especialmente si los proveedores de servicios de Internet
(ISP) colaboran con la tarea.

▪ Ataque distribuido (DDoS): es un ataque por saturación de paquetes de

sincronismo SYN donde el ataque se realizará mediante una red de robots
(botnet), de esta manera la probabilidad de rastrear el origen del ataque será
muy baja. Este ataque se podrá complicar aún más si el atacante puede hacer
que cada dispositivo distribuido también falsifique las direcciones IP de las
cuales envía los paquetes de sincronismo SYN.

Un atacante utilizará un ataque por denegación de servicio distribuido por

saturación de sincronismo SYN para
generar una denegación de servicio en
un dispositivo o servidor, que ha
establecido como objetivo, con una
cantidad considerablemente menor de
tráfico que con otros ataques del tipo
por denegación de servicio distribuido
DDoS, es decir, en lugar de realizar
ataques volumétricos, que apuntaran
a saturar la infraestructura de la red
que rodea al objetivo, los ataques SYN solo necesitaran ser mayores que el
registro disponible en el sistema operativo del objetivo. Para ello el atacante
deberá determinar el tamaño del registro y la cantidad de tiempo que
permanecerá abierta cada conexión antes del tiempo de espera, así podrá
apuntar a los parámetros exactos necesarios para deshabilitar el sistema. De
este modo, reducirá el tráfico total al mínimo necesario para crear una
denegación de servicio.

Los ataques por denegación de servicio distribuido por saturación de

sincronismo o DDoS SYN Flood se conocen desde hace bastante tiempo por lo
que se podrán utiliza distintas estrategias para la defensa y/o su
neutralización, entre ellos:

9
➢ Aumento de la cola de registros: en esta estrategia el sistema operativo
de un dispositivo fijado como objetivo para el ataque tendrá cierto número de
conexiones semiabiertas que permitirán una respuesta a los volúmenes altos
de paquetes SYN, la defensa consistirá en aumentar el número máximo de
conexiones semiabiertas posibles que pueda permitir el sistema operativo.
Para aumentar con éxito el máximo de registros, el sistema deberá reservar
recursos de memoria adicionales para resolver con éxito las solicitudes
nuevas. Si el sistema no dispone de memoria suficiente para poder manejar el
tamaño de la cola de registros en aumento, el rendimiento del sistema se verá
afectado de forma negativa; sin embargo, esta última opción podrá ser mejor
que la denegación de servicio.

➢ Reciclado de la conexión TCP semiabierta más antigua: esta estrategia

de neutralización involucrará reescribir la conexión semiabierta más antigua,
cuando se hayan llenado todos los registros. Para ello, necesitará que las
conexiones legítimas puedan establecerse completamente en menos tiempo
del que tardan en llenarse los registros con paquetes SYN del atacante. Esta
defensa en particular falla cuando el volumen de ataque aumenta demasiado
o si el tamaño del registro es demasiado pequeño para ser práctico.

➢ Defensa utilizando SYN cookies (una cookie es un pequeño archivo

que enviará un sitio web y que se almacenará en el navegador del usuario, de
manera tal que el sitio web podrá consultar la actividad del navegador,
posibilitando identificar al usuario y llevando un registro de su actividad en el
mismo). Esta estrategia implicará que el servidor cree una cookie, para evitar
el riesgo de eliminar conexiones cuando se hayan llenado los registros. Para
ello el servidor responderá a cada solicitud de conexión con un paquete SYN-
ACK, pero luego retirará la solicitud SYN del registro, esto hará que el puerto
quede abierto y listo para una conexión nueva. Si la conexión es una solicitud
legítima y el paquete ACK final se envió de la máquina cliente al servidor, el
servidor reconstruirá (con algunas limitaciones) la entrada de la cola del
registro SYN. Si bien este esfuerzo de neutralización podrá perder algo de
información sobre la conexión TCP, será mejor que permitir que suceda una
denegación de servicio a los usuarios legítimos como resultado de un ataque.

10
e) Ataque por denegación de servicio a la red local o DoS LAN (Local Area
Network Denial Attack). Un ataque por denegación de servicio a la red local
o DoS LAN se iniciará creando un paquete TCP SYN, especialmente diseñado
de forma tal que la dirección IP de origen y el puerto se configuraran para que
sean iguales a la dirección y al puerto de destino, que a su vez estará
configurado para apuntar a un puerto abierto en el sistema de la víctima.

El sistema victima recibirá dicho mensaje y

responderá a la dirección de destino
enviando efectivamente el paquete para
reprocesarlo en un bucle infinito. Por este
motivo la CPU de la máquina, de ese
sistema víctima, dedicará todo su
procesamiento a ese bucle infinito
congelándola indefinidamente, esto
provocará un bloqueo parcial o una
denegación total del servicio. Resumiendo,
el atacante enviará un paquete TCP SYN falsificado en el que la dirección IP
del objetivo se completará en los campos de origen y destino. Al recibir el
paquete falsificado, el servidor objetivo se confunde y se bloquea.

Las técnicas de defensa o neutralización deberán incluir la instalación

permanente de parches en los sistemas vulnerables o la utilización de un
firewall configurado para filtrar los paquetes LAND.

f) Ataque por denegación de servicio distribuido por choque de paquetes

o Jolt Attack. Este tipo de ataque buscará
consumir toda la capacidad de
procesamiento del sistema. El atacante
deberá enviar una serie de paquetes UDP
fragmentados y mal formados, de tal manera
que el equipo destino intentará
interpretarlos, al ser estos una gran
cantidad, el procesador deberá emplear
mucho tiempo en interpretarlos y
descartarlos, lo que origina la denegación de

11
servicios para paquetes auténticos. Actualmente este tipo de ataque será muy
difícil de realizar ya que en general se detendrá desde los firewalls y en caso
de llegar al equipo los procesadores no se sobrecargan tan fácilmente.

g) Ataque fragmentado para denegación de servicio distribuido o Fraggle

DoS Attack. Este tipo de ataque implicará enviar una gran cantidad de tráfico
UDP falso a la dirección IP de difusión de un
enrutador dentro de una red. Es muy similar a un
Smurf Attack, que utiliza tráfico ICMP falsificado en
lugar de tráfico UDP para lograr el mismo objetivo.
Considerando que los actuales enrutadores ya no
reenvían paquetes dirigidos a sus direcciones de
transmisión, en general la mayoría de las redes
actualmente serán inmunes a los ataques Fraggle
y Smurf. Sin embargo, en una red de difusión de
acceso múltiple, cientos de computadoras podrán
responder a cada paquete cuando la red objetivo es abrumada por todos los
mensajes enviados simultáneamente, por lo tanto, la red será incapaz de
trabajar con normalidad.

2) Ataque por técnicas de escaneo de puertos. Se considera el escaneo de

puertos como una de las técnicas de reconocimiento más populares que
utilizaran los ciberdelincuentes para descubrir los servicios expuestos a
posibles ataques. Todas las máquinas conectadas a una red de área local
(LAN) o Internet ejecutan muchos servicios que escuchan sobre puertos
conocidos y no tan conocidos. Un escaneo de puertos ayudará al
ciberdelincuente a encontrar qué puertos están disponibles, es decir, qué
servicio podría estar trabajando o escuchando sobre un puerto.

Esencialmente, un escaneo de puertos consistirá en enviar un mensaje a cada

puerto, uno a uno. El tipo de respuesta recibida indicará si el puerto está a la
escucha y, por lo tanto, podrá probarse más detalladamente para detectar
debilidades y realizar un ataque.
✓ Puertos conocidos (0 - 1023)
✓ Puertos registrados (1024 - 49151)
✓ Puertos dinámicos y/o privados (49152 - 65535)

12
3) Ataque por suplantación de identidad ARP o Spoofing Attack. ARP
(Address Resolution Protocol) protocolo de comunicaciones de la capa de
enlace de datos, responsable de encontrar la dirección de hardware, ethernet
MAC, que corresponde a una determinada dirección IP.

Se denomina ataque por suplantación de identidad ARP o spoofing attack a la

técnica utilizada para atacar una red cableada o inalámbrica de Ethernet.

A través de esta técnica el atacante podrá detectar frameworks de datos en

una red de área local (LAN), modificar el tráfico o detener el tráfico por
completo. Este tipo de ataque solo se podrá realizar sobre redes que realmente
utilicen el protocolo ARP y no en otro método de resolución de direcciones.

El atacante realizará la detección mediante el protocolo ARP inverso (RARP)

que se utiliza para consultar la dirección IP asociada con una dirección MAC
dada. Si se devuelve más de una dirección IP, la clonación MAC estará
realizada.

Tipos de ataques por suplantación de identidad ARP o Spoofing Attack:

a) Ataque de saturación MAC: el equipo se saturará con paquetes, cada

uno con diferentes direcciones MAC de origen. La intención será consumir la
memoria limitada reservada en el equipo para almacenar la tabla de
traducción de puerto lógico a dirección física de MAC. El resultado de este
ataque hará que el equipo ingrese a un estado llamado modo de apertura
fallida, en el cual todos los paquetes entrantes se emiten en todos los puertos,
como con un concentrador, en lugar de simplemente hacia la dirección del
puerto correcto según la operación normal. Un atacante podría utilizar un
analizador de paquetes para capturar datos confidenciales de otras
computadoras (como contraseñas no encriptadas, correo electrónico,
conversaciones de mensajería instantánea, etc.), que no serían accesibles si el
equipo funcionara con normalidad.

b) Ataques de un servidor de nombres de dominio (DNS) DNS Spoofing,

DNS Cache Poisoning y DNS hijacking: El sistema de nombres de dominio
(o DNS por sus siglas en inglés) será lo que permitirá resolver el nombre de

13
una página web por su dirección IP. De esta forma, los usuarios no deberán
acordarse de la secuencia de números que conforman una IP (o números y
letras en IPV6) y poder acceder, por ejemplo, a una web como
“www.facebook.com” escribiéndola tal cual, en el navegador, en lugar de
escribir “31.13.92.36”. Esta acción se realizará en el DNS basándose en una
base de datos distribuida y jerárquica que almacenará a qué dirección IP
corresponde cada nombre de dominio, entre otras funciones. Dada la
importancia de estos servidores, hará que muchos atacantes intentaran
aprovechar vulnerabilidades en ellos o en la forma en la que los usuarios los
utilizan.

Técnicamente existen algunas diferencias entre los distintos ataques DNS. En

líneas generales, se podría decir que el de DNS Cache Poisoning es una de las
múltiples formas de conseguir un DNS Spoofing, refiriéndose este último a la
amplia variedad de ataques existentes que buscan suplantar la información
que se almacena en los servidores DNS.

Normalmente el ataque DNS Spoofing estará orientado al usuario. Un ejemplo

de esto sería la suplantación de la dirección de los servidores DNS
configurados en el sistema operativo o router del servidor. Lo normal sería que
se introduzca la dirección de los DNS del proveedor de Internet u otros como
los de Google. Una vez que un servidor DNS ha recibido datos no auténticos y
los almacena en caché para aumentar el rendimiento en el futuro, se lo

14
considera envenenado, proporcionando los datos no auténticos a los clientes
del servidor.

En lo que respecta al ataque DNS Cache Poisoning, se refiere a la situación en

la que muchos usuarios finales utilizaran la misma cache donde se almacenan
los registros que relacionan cada dirección IP con un dominio. En el caso que
un atacante consiguiera manipular una entrada DNS en ese registro, los
proveedores de Internet que utilizaran esa cache lo tomarían como auténtico,
por mucho que haya sido manipulado para dirigir a una web fraudulenta.

En un ataque DNS hijacking los códigos maliciosos también podrán ser

utilizados para afectar a las correctas resoluciones de nombres de dominio y
conseguir que las víctimas se conecten a un servidor controlado por los
delincuentes.

Esto le permitirá al atacante realizar una amplia variedad de ataques que van
desde el phishing, utilizando webs fraudulentas a las que la víctima se
conectara pensando que son reales y a las que ha accedido introduciendo en
su navegador la dirección correcta, hasta el uso de exploits para aprovecharse
de vulnerabilidades cuando el usuario navegue por lo que cree que son
páginas de confianza pero que han sido generadas por el atacante para poder
infectarle.

Las redes de computadoras zombis o botnets serán el ejemplo más didáctico,

ya que muchas de ellas modificaran los servidores DNS que tendrán
configurados sus víctimas para que apunten a otros controlados por los
atacantes; de esta forma, además de las acciones maliciosas que se han
descripto, los delincuentes podrán enviar comandos a los bots, actualizar la
versión del malware o incluso eliminarse del sistema si lo creen necesario.

c) Ataque por suplantación de IP o IP Spoofing: Los datos transmitidos

por Internet se dividirán primero en
múltiples paquetes, y esos paquetes se
transmitirán de forma independiente y
se volverán a ensamblar al final. Cada
paquete tiene un encabezado IP

15
(Protocolo de Internet) que contendrá la información sobre el paquete, incluida
la dirección IP de origen y la dirección IP de destino.

En la suplantación de IP, un atacante informático utilizará herramientas para

modificar la dirección de origen en el encabezado del paquete para hacer que
el sistema informático receptor piense que el paquete proviene de una fuente
confiable, como la computadora se encuentra en una red legítima, lo aceptará.
Debido a que esto ocurrirá a nivel de red, no habrá signos externos de
manipulación.

Este tipo de ataque será de los más utilizados en los ataques de denegación
de servicio (DoS), para saturar las redes de computadoras con tráfico. En un
ataque DoS, los ataques informáticos utilizarán direcciones IP falsificadas
para saturar a los servidores de la computadora con paquetes de datos,
congelándolos. Las redes de bots dispersas geográficamente (redes de
computadoras comprometidas) a menudo se utilizarán para enviar los
paquetes. Cada botnet contiene potencialmente decenas de miles de
computadoras capaces de falsificar múltiples direcciones IP de origen. Como
resultado, el ataque automatizado es difícil de rastrear.

Una variación de este enfoque se podrá realizar utilizando miles de

computadoras para enviar mensajes con la misma dirección IP de origen
falsificada a una gran cantidad de destinatarios. Las máquinas receptoras
transmitirán automáticamente el acuse de recibo a la dirección IP falsificada,
saturando el servidor de destino.

4) Ataque por saturación de ICMP o Ping Flood. Al ataque por saturación

de ping o saturación ICMP, se lo considera como el más común de los ataques
de denegación de servicio (DoS) en el que un atacante derribara la
computadora de una víctima al abrumarla con solicitudes de eco ICMP,
también conocidas como pings. El ataque implicará inundar la red de la
víctima con paquetes de solicitud, sabiendo que la red responderá con el

16
mismo número de paquetes de
respuesta. Esto saturara los
canales entrantes y salientes de la
red, consumiendo un ancho de
banda significativo y da como
resultado una denegación de
servicio.

La ejecución de un ataque por

saturación de ping dependerá
básicamente que los atacantes
conozcan la dirección IP de su objetivo. Los ataques podrán, por lo tanto,
dividirse en tres categorías, según el objetivo y cómo se resolverá su dirección
IP.

▪ Ataque por saturación de ping dirigida a una sola computadora en una red
local. El atacante necesitará tener acceso físico a la computadora para
descubrir su dirección IP. Un ataque exitoso daría como resultado que la
computadora objetivo sea eliminada.

▪ Ataque por saturación de ping a través de un enrutador que encaminará

al enrutador de destino para interrumpir las comunicaciones entre
computadoras en una red. Dependerá que el atacante conozca la dirección IP
interna de un enrutador local. Un ataque exitoso daría como resultado que
todas las computadoras conectadas al enrutador sean congeladas.

▪ Ataque por saturación de ping a ciegas implicara la utilización de un

programa externo para descubrir la dirección IP de la computadora o
enrutador de destino, antes de ejecutar el ataque.

5) Ataque a través de intermediario o Man-In-The-Middle (MITM). Se

producirá un ataque con intermediario o Man-In-The-Middle (MITM) cuando
una comunicación entre dos sistemas es interceptada por un atacante. Esto
podrá suceder en cualquier forma de comunicación en línea, como correo
electrónico, redes sociales, navegación web, etc. El atacante no solo estará
tratando de escuchar las conversaciones privadas de la víctima, sino que

17
también podrá interceptar y dirigir toda la información dentro de los
dispositivos.

Tipos de ataques a través de intermediario o Man-In-The-Middle (MITM).

El ataque con intermediario o Man-In-The-Middle (MITM) más habitual, se
realizará utilizando un router inalámbrico o WiFi para interceptar las
comunicaciones de la víctima.

Esto se podrá realizar de dos formas diferentes: configurando el router

atacante para que parezca legítimo o buscando un error en la red del mismo
e interceptando la sesión de la víctima. En el primer caso, el atacante
configurará su computadora u otro
dispositivo para que actúe como red
inalámbrica, nombrándola como si
fuera una red pública (de un café, de
un shopping o un aeropuerto).
Cuando la víctima se conecta al
“router” y navega, en páginas de
compras online o de algún banco, el
atacante le capturará las
credenciales para utilizarlas posteriormente. En el segundo caso, el atacante
buscará una vulnerabilidad en la configuración del sistema de cifrado de la
red inalámbrica de la víctima y la utilizará para interceptar las
comunicaciones entre la víctima y el router. Éste será sin dudas el método
más complejo de los dos, pero también será el más efectivo; ya que el atacante
tiene acceso continuo al router de la víctima durante horas o días. Además, el
atacante podrá investigar en las sesiones de forma silenciosa sin que la víctima
sea consciente de nada.

Como ejemplo sencillo podríamos hacer que un atacante se colocara entre el

navegador y el sitio web que se está visitando. En este caso el atacante podrá
interceptar y capturar cualquier información que se envíe al sitio, como
credenciales de inicio de sesión, información personal, información financiera,
etc.

18
Los ataques a través de intermediario o Man-In-The-Middle (MITM) se podrán
dificultar y/o evitar utilizando:

Encriptación en los correos electrónicos.

Certificados digitales.
Firmas digitales
Redes privadas virtuales (VPN).

6) Ataques para secuestro de datos o Ransomware: básicamente, este

ataque impedirá que las victimas
accedan a su sistema o archivos
personales y exigirá el pago de un rescate
para recuperar el acceso. Las primeras
variantes del ransomware se
desarrollaron a fines de la década de
1980, y el pago debía enviarse por correo
postal. Hoy, los autores de ransomware
ordenarán que el pago se envíe mediante criptomoneda o tarjeta de crédito.
El ransomware es popular entre los ciberdelincuentes porque es el malware
más rentable que existe en la actualidad.

Habrá varias formas diferentes en que el ransomware podrá infectar la

computadora:

➢ Uno de los métodos más comunes será a través del correo electrónico no
deseado que podrá incluir archivos adjuntos infectados como archivos PDF,
documentos de Word y/o podrán contener enlaces a sitios web maliciosos.

➢ Otro método de infección popular, que alcanzó su punto máximo en 2016,

será el de la publicidad maliciosa. La publicidad maliciosa será la utilización
de publicidad en línea para distribuir malware con poca o ninguna interacción
de la víctima. Mientras se navega por la web, incluso sitios legítimos, las
victimas podrán ser dirigidos a servidores criminales incluso sin hacer clic en
un anuncio. Estos servidores catalogaran detalles sobre las computadoras
víctimas y sus ubicaciones, y luego seleccionaran el malware más adecuado
para entregar. A menudo, ese malware es ransomware.

19
Tipos de ataques para secuestro de datos o Ransomware. Básicamente se
conocen tres tipos principales de ataques por secuestro de datos, que variarán
en severidad, desde un poco hasta muy peligrosa y serán:

• Ataque para secuestro de datos por software de engaño o Scareware;

se podrá dar en forma de ventanas emergentes. Estas aparecen como
advertencias legítimas de compañías de software antivirus que afirmaran que
los archivos de la computadora se han infectado. Están hechos de forma tan
hábil que a las víctimas se les intimida para que paguen un monto y así
adquirir rápidamente un software que solucionará el supuesto problema. Sin
embargo, lo que terminaran descargando será un software antivirus falso que
en realidad será un malware destinado a robar datos personales de la víctima.

Los ciberdelincuentes también podrán utilizar otras tácticas, como será el

envío de correo spam para distribuir scareware. Una vez que se abre el correo
electrónico, se engaña a las víctimas para que compren servicios inútiles. Al
caer en estas estafas y divulgar la información de la tarjeta de crédito, se abrirá
la puerta a futuros delitos de robo de identidad.

• Ataque para secuestro de datos por bloqueadores de pantalla o Screen

lockers. Cuando un bloqueador de pantalla entra en la computadora,
significará que la víctima ya no
tendrá el control de la misma. Como
ejemplo, al iniciarla podrá aparecer
una ventana de tamaño completo, a
menudo acompañada por un sello
oficial del FBI o del Departamento de
Justicia de los EE. UU. que dirá que
se detectó actividad ilegal en la
computadora y deberá pagar una
multa. Otras ventanas que podrán
aparecer con el mismo propósito podrían ser de la Policía Metropolitana a de
algún Juzgado de Instrucción.

La única forma de desbloquearla será la de pagar la multa por sus supuestas

indiscreciones digitales. También podrá aparecer un video en vivo en la

20
pantalla de la computadora portátil, ahora verá su propia cara mirándole
fijamente. Está horrorizado alguien ha pirateado su cámara web y le está
espiando.

• Ataque para secuestro de datos encriptados o Encrypting

Ransomware. Será el peor ataque por secuestro de datos que se podrá recibir
ya que al infectar la computadora todos los archivos serán cifrados, y se
exigirá un determinado pago para descifrar y volver a entregar el sistema en
condiciones. La razón por la cual este
tipo de ransomware es tan peligroso es
porque una vez que los cibercriminales
encriptan los archivos, ningún software
de seguridad o restauración del sistema
podrán recuperarlos. Incluso pagando
no habrá garantía que los
ciberdelincuentes devuelvan esos
archivos.

Ejemplo de un ataque para secuestro de datos con el Encrypting

Ransomware WannaCry. El viernes 12 de mayo de 2017, Corea del Norte
lanzó un enorme ataque con el ransomware WannaCry que se extendió por
todo el mundo, siendo el ataque de ransomware más destructivo y extendido
del mundo hasta la fecha: infectaron más de 230.000 computadoras en 150
países. Como pago de rescate exigieron U$S 300, una señal clara que estaban
dirigidos a pequeñas empresas, organizaciones e individuos. El ransomware
WannaCry continúa siendo temido en los círculos de ciberseguridad por su
capacidad de autorreplicación. WannaCry no necesita que se abra un correo
electrónico o se descargue un archivo adjunto de un sitio web ya que se replica
a través de un virus enviando copias de sí mismo a través de Internet.
WannaCry obtiene acceso a través de vulnerabilidades del sistema operativo
y se hará cargo de la computadora, encriptando los datos y exigiendo un
rescate.

Ejemplo de un ataque para secuestro de datos con el Encrypting

Ransomware SamSam. En marzo de 2018 se realizó un notable ataque con
el ransomware SamSam que paralizó la ciudad de Atlanta al bloquear varios

21
servicios esenciales de la ciudad, incluida la recaudación de ingresos y el
sistema de mantenimiento de registros policiales. En total, el ataque de
SamSam le costó a la ciudad de Atlanta U$S 2.6 millones para solucionarlo.

Los ataques para secuestro de datos o ransomware inicialmente fueron

dirigidos a sistemas individuales de personas comunes. Sin embargo, los
ciberdelincuentes comenzaron a tener verdadero redito cuando lanzaron sus
ataques ransomware a las empresas y tuvieron tanto éxito que para 2017, el
35 por ciento de las pequeñas y medianas empresas habían experimentado
un ataque de ransomware. De hecho, los ataques de ransomware en las
empresas aumentaron un 88% en la segunda mitad de 2018 a medida que los
cibercriminales se alejan de los ataques centrados en el consumidor.
Geográficamente, los ataques de ransomware todavía se centran en los
mercados occidentales, con el Reino Unido, EE. UU. y Canadá como los tres
principales países objetivo, respectivamente. A medida que los mercados
emergentes en Asia y América del Sur aumenten el crecimiento económico, se
verá un aumento en el ransomware (y otras formas de malware) también en
estas regiones.

¿Qué hacer si estoy infectado? La regla número uno si se encuentra

infectado con ransomware será nunca pagar el rescate ya que pagando se
alentará a los cibercriminales a lanzar ataques adicionales contra usted o
alguien más. Sin embargo, será posible que se puedan recuperar algunos
archivos cifrados utilizando descifradores gratuitos.

La mejor forma de protección del ransomware será primero evitando que

ocurra, después tener un buen software de protección junto con copia de
archivos y datos actualizadas.

22
7) Ataques por Ingeniería Social - Social Engineering: La ingeniería
social basa su comportamiento en una premisa básica: será más fácil
manipular a las personas que a las
máquinas. Para llevar a cabo este
tipo de ataque se utilizarán técnicas
de manipulación psicológica con el
objetivo de conseguir que los
usuarios revelen información
confidencial o realicen cualquier tipo
de acción que pueda beneficiar al
cyberdelincuente. Entonces se
podría afirmar que la ingeniería
social es el arte de manipular psicológicamente a las personas para que
divulguen datos que de otra forma no lo harían.

Los tipos de información que buscarán los delincuentes podrán variar, pero
cuando los individuos son blancos, los delincuentes generalmente intentarán
engañarlo para obtener su contraseña o información bancaria o acceso a su
computadora con el propósito de instalar en secreto algún software malicioso,
que le dará acceso a sus contraseñas, información bancaria, fotos, videos, así
como para darles el control total sobre la misma computadora.

Los ataques de Ingeniería Social más comunes incluirán a los correos

electrónicos de suplantación de identidad (phishing), llamadas telefónicas de
personas que se harán pasar por una organización respetada (vishing) o que
el atacante deja abandonadas unidades de USB cargadas con malware y luego
simplemente espera que el usuario las conecte a su máquina (baiting del inglés
“carnada”).

La Ingeniería Social también se podrá extender a las búsquedas de empresas

y de amigos en LinkedIn y Facebook respectivamente, donde los
cibercriminales utilizaran las redes sociales para generar confianza y obtener
datos. Con bastante frecuencia, el resultado final será la extorsión o el robo.
Un buen ejemplo será el que realizo un preso por estafa, en el Reino Unido,
este personaje utilizó Ingeniería Social durante su condena para escapar de
prisión. A través de la utilización de un teléfono móvil ilícito creo una cuenta

23
de correo electrónico falsa, se hizo pasar por un empleado de la suprema corte
de justicia y luego envió sus “instrucciones de libertad bajo fianza” a los
funcionarios de la prisión, logrando su liberación.

Tipos de ataques de ingeniería social

a) Hunting: se trata de obtener los datos con la menor exposición directa

posible y con el menor contacto personal. Se orientan a la obtención solamente
de un dato o una acción muy concreta (obtener una clave, desactivar una
configuración, etc.).

b) Farming: busca mantener el engaño el mayor tiempo posible, para

explotar al máximo los conocimientos, recursos o posición de la víctima.
Recurre a grupo de identidades previamente robadas para crear falsos perfiles
atractivos.

Según el famoso hacker Kevin Mitnick, la ingeniería social tiene su base en

cuatro principios básicos:
✓ Todos queremos ayudar.
✓ No nos gusta decir No.
✓ La primera actitud suele ser la de confiar en la otra persona.
✓ A todas las personas nos gusta ser alabadas.

¿Cómo prevenir ataques de ingeniería social?

• Ir más despacio. Los spammers pretenderán que se actúe primero y se

piense después. Si el mensaje transmite una sensación de urgencia o utiliza
tácticas de venta de alta presión, se deberá ser escépticos. Nunca se deberá
dejar que la urgencia influya en la decisión final.

• Investigar los hechos. Se deberá sospechar de cualquier mensaje no

solicitado. Si el correo electrónico parece ser de una empresa que se utiliza
normalmente se deberá hacer una investigación. Se podrá utilizar un motor
de búsqueda para ir al sitio de la compañía real, o una guía telefónica para
encontrar el número de teléfono.

24
• Eliminar cualquier solicitud de información financiera o contraseñas.
Si se solicitara responder a un mensaje con información personal, seguro será
una estafa.

• Rechazar las solicitudes de ayuda u ofertas de ayuda. Las empresas y

organizaciones legítimas normalmente no se pondrán en contacto con el
propósito de brindar ayuda. Si no se solicitó específicamente la ayuda del
remitente, se deberá considerar cualquier oferta de 'ayudar' será una estafa.

• No permitir que un enlace direccione a un lugar incorrecto. Se deberá

mantener el control, yendo al sitio web utilizando un motor de búsqueda para
asegurar que se termina donde se ha planeado terminar. Al pasar el ratón
sobre los enlaces de un correo electrónico, se mostrará la URL real en la parte
inferior, pero una buena copia falsa, podrá direccionar al sitio del
ciberdelincuente.

• Secuestro de correo electrónico. Los piratas informáticos, los

generadores de correo no deseado y los generadores de redes sociales que
toman el control de las cuentas de correo electrónico de las personas (y otras
cuentas de comunicación) han crecido descontroladamente. Una vez que
controlan la cuenta de correo electrónico de alguien, se aprovecharán de la
confianza de todos sus contactos. Incluso cuando el remitente parece ser
alguien que se conoce, si no se espera un correo electrónico con un enlace o
archivo adjunto, deberá verificar antes de abrir enlaces o hacer una descarga.

• Cuidado con cualquier descarga. Si se desconoce personalmente al

remitente y no se espera recibir un archivo de ellos, descargar cualquier cosa,
podrá ser un error.

• Ofertas extranjeras falsas. Si se reciben correos electrónicos de loterías o

sorteos extranjeros, dinero de un pariente desconocido o solicitudes para
transferir fondos hacia un país extranjero por parte de desconocidos seguro
que será una estafa.

• Establecer correctamente los filtros antispam. Normalmente todos los

programas de correo electrónico deberán tener filtros de spam.

25
• Asegurar los dispositivos informáticos. Se deberán instalar software
antivirus, cortafuegos, filtros de correo electrónico y mantenerlos
actualizados. Asimismo, se deberán configurar los sistemas operativos para
que se actualicen automáticamente. También se podrán utilizar herramientas
anti-phishing.

8) Ataque por determinación de sistema operativo - OS Finger Printing

attack. Este tipo de ataque hace referencia a los distintos métodos que
utilizará un atacante para determinar qué sistema operativo se ejecuta en una
computadora remota. Para ello deberá analizar ciertos indicadores de
protocolo, opciones y datos en los paquetes que un dispositivo envía a la red,
En base a los datos recolectados podrá hacer conjeturas relativamente
precisas sobre el sistema operativo que envió esos paquetes. Al identificar el
sistema operativo exacto de un host, un atacante podrá lanzar un ataque
preciso contra una computadora destino.

Tipos de ataques OS Finger Printing

• OS Finger Printing activo: el atacante lo realizará enviando paquetes

especialmente diseñados a una computadora víctima y registrando su
respuesta. Posteriormente el atacante hará el análisis de la información
recopilada para determinar el sistema operativo de la víctima.

• OS Finger Printing pasivo: El atacante basara su ataque en la detección

de rastros de los paquetes que va dejando el sistema operativo de la
computadora de la víctima mientras esta navegando en internet.

9) Ataque por grabación de teclas oprimidas o KeyLoggers attack. Un

keylogger podrá ser un hardware o un software que utilizará un atacante para
grabar las teclas que se oprimen en el teclado de una víctima. A través de los
datos grabados con un keylogger, un atacante podrá conocer remotamente las
contraseñas, números de tarjetas de crédito / débito, mensajes, correos
electrónicos y todo lo que escriba la víctima en su computadora.

26
Normalmente estos programas estarán basados en software más que en
hardware, ya que estos últimos requerirán acceso físico al dispositivo, pero
serán más difíciles de detectar.

Los programas de grabación de teclas oprimidas basados en software

generalmente infectarán al sistema en
forma de un programa malicioso que
la víctima podría haber descargado
haciendo clic en un enlace generado
por el atacante, ya sea en línea o
habiendo sido enviado por correo
electrónico. Este software se ejecutará
en segundo plano sin que la víctima se dé cuenta de ello y grabará cada una
de las teclas oprimidas por ella. Posteriormente enviara al atacante, con cierta
frecuencia, los datos recolectados.

Con los datos recolectados el atacante podrá conocer los sitios web visitados
por la víctima y la información que ingresó en ellos, lo que le permitirá de una
forma fácil acceder a distintas contraseñas, datos de la tarjeta de crédito,
credenciales de banca por Internet como toda la información escrita y/o
enviada por mail.

¿Cómo prevenir ataques por grabación de teclas oprimidas o Key Loggers

attack? Si bien se han desarrollado varias herramientas para detectar y
eliminar los keyloggers implementados por software, no existiría un software
de seguridad para detectar o identificar un keylogger implementado por
hardware.

▪ Si se considera que los programas de grabación de teclas oprimidas por

software son básicamente programas maliciosos (malware), bastara con un
buen programa antivirus para proteger a la computadora en tiempo real.

También hay disponibles distintos programas específicos antimalware que

podrán detectar y eliminar a los keylogger. En caso de utilizar computadoras
desconocidas la recomendación será la de utilizar el teclado virtual de los sitios
web bancarios para ingresar los datos y/o contraseñas.

27
▪ Si se sospechara que las teclas oprimidas estarían siendo grabadas, y la
protección antivirus o los programas específicos antimalware no pudieron
evitarlo, entonces probablemente alguien podría haber ingresado un keylogger
hardware en la computadora. Estos grabadores de teclas oprimidas por
hardware generalmente vendrán en forma de conectores USB. Uno de los
extremos estará conectado al teclado y el otro al USB de la PC, y aunque todo
funcione sin problemas, el hardware interceptará y transmitirá al atacante las
teclas oprimidas.

10) Ataque por virus informáticos. Se consideran virus informáticos a los

programas o fragmentos de código que han sido diseñados para provocar
daños en un equipo informático corrompiendo archivos del sistema,
malgastando recursos, destruyendo datos, alterando el funcionamiento
normal del sistema o incluso destruyendo hardware. Los virus se diferencian
de otros tipos de programas maliciosos (malware) en que se replican
automáticamente, es decir, son capaces de copiarse de un archivo o una
computadora o de un sistema a otro sin que la víctima se dé cuenta de ello,
siendo altamente contagiosos.

¿Por qué se crean los virus y cuáles serán sus funciones?

a) Por diversión: los primeros virus informáticos se crearon,

fundamentalmente, por programadores con ganas de divertirse un rato. Tal
vez el que quizás fuera el primero de los virus fue el Creeper, que significa
«enredadera» y data del año 1971. Este virus mostraba el mensaje «¡I’m the
creeper, catch me if you can!» (Soy la enredadera, ¡atrápame si puedes!). Otro
de los primeros virus por diversión fue el Elk Cloner, que recitaba una
pequeña poesía:

28
También se puede mencionar el virus Ika-tako, que sustituía los archivos y
programas por imágenes de calamares:

O el virus Stoned, que mostraba arbitrariamente el texto «Your computer is

stoned. ¡Legalize marihuana!» (Tu computadora está drogada. ¡Legalicen la
marihuana!) en la pantalla y se quedaba congelado sin hacer nada más.

Otros virus famosos desarrollados por “divertidos” programadores fueron el

que fingía ser un mensaje de una empresa conocida de software que, si se
descargaba y ejecutaba hacia abrir bandeja de CD de la computadora y el que,
hacia vibrar las cabezas del disco rígido para generar efectos musicales,
dañando seriamente el disco.

b) Para generar daño: Algunas personas siempre han deseado ver el mundo
en crisis, y los virus informáticos resultan ser una forma muy efectiva de
extender el caos por todos los rincones. Entre los virus informáticos más
dañinos se podrán mencionar:

➢ El ataque, en el año 2000, que se realizó con el virus ILOVEYOU que

destruyó los archivos de más de 50 millones de internautas de todo el planeta,
impidió el encendido de las computadoras y copió las contraseñas de las
víctimas para enviarlas a sus creadores. El valor de los daños ocasionados se
estimó en 9.000 millones de dólares.

➢ El ataque, en el año 2003, que se realizó con el virus Sobig.F. Este virus
se ha considerado el que más se ha propagado en menos tiempo, en toda la
historia de la informática. El ataque se realizaba a través del correo electrónico

29
generando en la computadora
infectada un auténtico servidor de
spam, logrando en pocos minutos
hacer colapsar a toda una red. El
ejemplo más notorio fue el que detuvo
a todo el tráfico informático en
Washington DC e inclusive
impidiendo el despegue de aviones de
Air Canadá durante un largo tiempo.
Se estima que las pérdidas
ocasionadas por este virus superaron
los 37 000 millones de dólares.

➢ En el año 2004 apareció el virus Mydoom que, si bien no causo perdida de

datos, causó tal congestión cibernética que se cree que llegó a ralentizar el
tráfico digital en un 10 % solo en el día de su aparición, generando una gran
repercusión social, logrando en poco tiempo que 1 de cada 6 mensajes de
correo electrónico, a nivel mundial, estuvieran infectados.

A partir del año 2020 tenemos varios virus informáticos, cada vez más difíciles
de detectar y combatir, que estarán especialmente diseñados para robar datos
confidenciales y dañar en forma permanente la computadora:

➢ La nueva versión del virus informático CryptoMix Clop Ransomware será

una amenaza no solo por la afectación de datos confidenciales de la víctima
principal, sino también para los datos de otras personas conectadas a la
misma red. Es decir que lugar de atacar a una computadora individual, este
poderoso virus atacará a toda la red. Lo primero que hará este virus será el
desactivar el antivirus presente en la computadora de la víctima, luego cifrará
todos los archivos existentes en la computadora y cambiará la extensión de
los archivos. Después de hacer todo esto, mostrará una leyenda donde le
informará a la víctima sobre el ataque y exigirá un importante pago para su
recuperación.

➢ La nueva versión del virus informático Slammer Worm actuará

replicándose y propagándose más rápido de lo que parece. Este virus será

30
capaz de infectar más de 75.000 computadoras en tan solo 10 minutos. Se
sabe que ralentizará Internet y que una vez que infecta un sistema, se
propagará a otras computadoras mediante la replicación de sí mismo a una
velocidad asombrosa.

Amenazas informáticas del futuro

Expertos en seguridad informática han utilizado grandes volúmenes de datos

para identificar las tendencias y, así, poder vaticinar lo que estará por venir
en materia de amenazas informáticas en un futuro inmediato.

1) Ciberguerra fría: La creciente tensión internacional será sin lugar a duda

motivo del aumento de ciberataques dirigidos o apoyados por unos estados
contra otros. Por eso se deberá poner atención sobre el potencial riesgo de una
ciberguerra fría. La guerra comercial entre Estados Unidos y China y las
consecuencias de la pandemia del coronavirus podrán ser claros ejemplos de
lo que está por venir.

2) Desinformación y manipulación a través de las redes sociales:

Normalmente muchas personas dan como un “axioma” o “verdad de fe”, todo
lo que ven en las redes sociales sin siquiera tratar de buscar varias fuentes
para verificar la veracidad de dicha información. Así las cosas, los
ciberdelincuentes se han dado cuenta que, con ayuda de la automatización
(Bots y similares) además de la inteligencia artificial, será relativamente fácil
viralizar campañas con fines de desinformación y manipulación de la opinión
publica. Seguramente, para muchos, esto parecerá la escena de una película
de ciencia ficción, pero vale la pena recapacitar sobre la manera cómo algunos
actores logran utilizar el algoritmo de muchas plataformas como YouTube,
Facebook, Twitter y otras redes sociales a su conveniencia, dado que este
podrá ser el futuro de la ciberdelincuencia.

31
3) Aumento en los ataques de secuestro de datos (Ransomware): El
fenómeno del secuestro de datos para obtener una recompensa por parte de
la víctima no es nuevo, pero, durante el año 2019 había perdido relevancia
frente a otras amenazas más nuevas. Ahora bien,
los analistas presumen a partir del año 2020 van
a volver a tomar fuerza las campañas extorsivas
donde la víctima se verá forzada a pagar un
rescate para que su información no sea expuesta
públicamente y, así, evitar que la imagen propia
y/o de las organizaciones sea afectadas.

4) Ataques a proveedores de servicios: Los ciberdelincuentes seguramente

intentarán atacar a empresas que proveen software de utilización masiva para
temas de gestión, marketing, contables, de comunicación y otros tantos que,
muchas organizaciones contratan para la operación del día a día.
Generalmente, estas empresas proveedoras de servicios tienen un gran
número de clientes (usuarios) y, aunque invierten mucho dinero en nuevas
funciones suelen dejar de lado la ciberseguridad, por ello serán un blanco
relativamente fácil y muy redituable.

5) Windows 7 lleno de virus: Aunque será difícil de creer, actualmente hay

muchas organizaciones que continúan utilizando esta versión de Windows
cuyo soporte técnico por parte de Microsoft finalizó el 14 de enero de 2020, lo
cual, no es más que una invitación para que los cibercriminales “actúen sin
restricciones”, ya que no se van a generar más parches para eliminar las
vulnerabilidades de un sistema que lleva tantos años en el mercado.

6) Robo de credenciales relacionadas a sitios de entretenimiento: Hace

años que se utilizan distintos artilugios para engañar a los usuarios que de
manera legítima pagan por acceder a contenidos “premium” pero, debido a la
creciente guerra del streaming, las oportunidades de comerciar dichas
credenciales de acceso ilegal a las plataformas también han crecido de manera
exponencial. Por ello seguramente, a partir del año 2020 se verán más ataques
orientados a apoderarse de este tipo de credenciales para revenderlas en el
mercado de la Dark o Deep Web.

32
7) La vulnerabilidad de la nube. La computación en la nube se volverá cada
vez más compleja, por lo que los errores de los operadores se estarán
convirtiendo en un riesgo creciente. Este hecho, sumado al enorme caudal de
datos que se almacena en la nube, convierte a estos entornos en un objetivo
muy interesante para los cibercriminales, que intentarán atacarlos mediante
distintos métodos.

8) SIM Swapping: desde el surgimiento del

segundo factor de autenticación, los
cibercriminales han intentado clonar a los
abonados de sus presas con el fin de realizar
actividades ilícitas, como el robo de identidad o
conseguir acceso a sitios financieros con el
objetivo de vaciar las cuentas de la víctima. Este
tipo de amenaza se presume se intensificará en los próximos años.

9) Extorsiones dirigidas a organizaciones y grandes corporaciones: Las

organizaciones y grandes corporaciones generalmente están observadas por
los gobiernos y el público que podrán llegar a penalizarlos por los incidentes
de fuga de datos. Por ello los cibercriminales intentarán aprovecharse esto
para extorsionar a las víctimas que, se verán en el dilema de elegir entre pagar
la penalidad impuesta por la ley o pagarle al criminal, causando pérdidas
directas a las organizaciones y grandes corporaciones de la región.

10) Estafas elaboradas y focalizadas (no tan masivas): En lugar de ataque

masivos se elegirá a la víctima y se la acusará de tener contenido ilegal o
bochornos en su equipo, seguido de la correspondiente amenaza de someterlo
al conocimiento público y extorsionarlo para no hacerlo. Para los ataques se
elegirán victimas que utilicen de ciertos mercados específicos, como ser el caso
de los usuarios de sitios de compra, venta o intercambio de criptodivisas.

11) Los peligros del 5G. La implementación del 5G planteará nuevos retos
de ciberseguridad durante los próximos años. Las vulnerabilidades generadas
por la novedad y la falta de preparación de los proveedores podrán ponérselo
muy fácil a los ciberdelincuentes. Se prevé que las operaciones con software
vulnerable será el principal foco de amenazas.

33
Prácticas útiles para aplicar en seguridad informática:

1) Sensibilización y capacitación de empleados. Uno de los principales

riesgos para la información de las empresas serán las prácticas descuidadas
de sus empleados al utilizar Internet. Estas prácticas incluirán abrir correos
electrónicos con programas malintencionados, uso de WiFi libre que podrá
comprometer la transferencia de información e incluso la pérdida de
dispositivos de almacenamiento, teléfonos inteligentes o tabletas que podrán
contener información relevante o claves de acceso de la empresa. Por ello será
muy importante sensibilizarlos y capacitarlos sobre buenas prácticas en la
utilización de Internet, distintos dispositivos informáticos y seguridad
informática.

2) Realizar copias de seguridad fiables de toda la información relevante.

La información de las empresas no sólo podrá estar amenazada por robos o
malware, también por sucesos como inundaciones o incendios, en cualquiera
de los casos será muy recomendable tener respaldo y un plan de recuperación.
Estas copias de seguridad se podrán hacer en dispositivos externos como
discos duros, servidores especializados o en la nube.

3) Contar con un servidor propio. Es recomendable si en la empresa se

utilizan más de cinco computadoras, ya que disminuirá el riesgo de pérdida
de datos y archivos.

4) Instalación de antivirus y antispam. Según el tamaño de la organización

se podrán instalar diferentes productos que se adecuan a las necesidades y
presupuesto de cada una. Estos servirán para evitar malware que puedan
borrar o dañar archivos, phishing o robo de claves de acceso, entre otros. Se
recomienda su instalación en todos los equipos que contengan o envíen
información.

5) Seguridad en el acceso de teléfonos. Es bastante común que los

teléfonos inteligentes o tabletas se pierdan o sean robadas y, para que no se
tenga acceso a la información que contienen, será importante colocar buenas
claves de acceso biométricas.

34
6) Establecer contraseñas robustas y cambiarlas periódicamente. Las
claves de acceso a equipos, correos electrónicos o archivos deberán ser
contraseñas robustas, esto significa que sean difíciles de descifrar. Se deberá
evitar el uso de nombres comunes, fechas relevantes o de cumpleaños, de
preferencia deberán ser alfanuméricas y ser cambiadas periódicamente.

7) Análisis de riesgo y creación de plan de contingencia. Antes que suceda

cualquier emergencia, lo más recomendable será realizar un análisis de riesgo
y vulnerabilidad, conocer las fortalezas y debilidades de los equipos, la red
interna, los servidores, las conexiones a Internet, etc. Conociendo los riesgos
y puntos débiles, será más fácil tomar decisiones en cuanto a las medidas de
seguridad que se deberán implementar y los protocolos a seguir en caso de
que los datos de la organización se vean comprometidos.

8) Proteger los datos de un negocio significara proteger el

funcionamiento de éste. La protección de los datos también permitirá evitar
o reducir pérdidas financieras que podrán tomar años en recuperar, o el daño
podrá ser tan grave que este cause su total desaparición.

Algunos consejos de seguridad informática: Para prevenir un ciberataque

convendrá tomar algunas medidas de seguridad informática:

a) Mantener actualizados los sistemas informáticos tanto en hardware, como

en firmware, como en software.

b) Invertir en herramientas de seguridad informática eficientes y confiables.

c) Realizar evaluaciones regulares de vulnerabilidades y riesgo de terceros.

d) Evitar realizar operaciones comerciales en computadoras de uso público o

en redes abiertas.

e) Verificar los archivos adjuntos de mensajes sospechosos y evitar su

descarga en caso de duda.

f) Hacer copias de seguridad con frecuencia.

35
g) Usar contraseñas fuertes (evitar nombres, fechas, datos conocidos o
deducibles, etc.).

h) Instalar software legal (se obtiene garantía y soporte).

i) No facilitar la cuenta de correo a desconocidos o publicarla en sitios

desconocidos.
j) Observar que la dirección web comience por https cuando se esté
comprando o consultando un banco por internet.

k) Tener en cuenta que el banco nunca pedirá información confidencial por

correo electrónico ni por teléfono.

l) En las organizaciones además verificar las políticas de seguridad respecto

a los empleados tanto los que trabajan en forma presencial como aquellos que
trabajan en forma remota.

Aspectos para seleccionar el mejor software de seguridad informática.

Cuando se desea adquirir software de seguridad se encontrarán con distintas

opciones, las cuales será complicado elegir. El usuario sabe que necesitará un
buen antivirus, pero no sabe qué otros aspectos deberán cumplir. El problema
será que todas las empresas de software de seguridad comercializan sus
productos como los mejores, vendiendo el mejor antivirus o firewall. Sin
embargo, ¿en quién confiar? ¿Cómo acertar al elegir un antivirus?

Se podría decir que habrá tres aspectos principales para tener en cuenta, que
podrán guiar al usuario en su selección de software de seguridad. Se tratará
de los siguientes:

✓ Deberá tener protección todo incluido. Esto equivaldrá a no solo tener solo
un buen programa antivirus, sino también que sean capaces de proteger
contra las amenazas informáticas modernas, con protección con cortafuegos,
protección contra los delitos informáticos al navegar por Internet, protección
contra el secuestro de datos, etc.

36
✓ Deberá ser un producto confiable, es decir que deberá proteger el equipo
sin causar conflictos con otros programas instalados en la computadora o
servidor, proteger sus procesos contra la terminación no deseada, brindar
protección actualizada y automatizar los análisis de seguridad.

✓ Deberá prevenir un impacto negativo en el rendimiento de la computadora

o servidor, es decir que deberá ser rápido y eficiente en el arranque y en la
exploración de amenazas, consumiendo la menor cantidad posible de recursos
del sistema.

Además de estos tres aspectos para la elección de software de seguridad,

convendrá tener en cuenta la facilidad de uso, el soporte y la reputación del
proveedor.

37