Documentos de Académico
Documentos de Profesional
Documentos de Cultura
© Structuralia 2
Introducción a la ciberseguridad - La persona, el eslabón más débil
ÍNDICE
ÍNDICE........................................................................................................................................................................... 3
3. RANSOMWARE ...................................................................................................................................................... 24
5. OTROS ATAQUES.................................................................................................................................................. 37
6. REFERENCIAS ....................................................................................................................................................... 44
© Structuralia 3
Introducción a la ciberseguridad - La persona, el eslabón más débil
Pero en todos los escenarios siempre faltó un factor importantísimo y clave en la seguridad, La
Persona. En la introducción de la Seguridad de la Información vimos que el hecho
diferencial respecto a la ciberseguridad era la introducción y posicionamiento central de la
persona (usuarios, clientes, trabajadores,…) como elemento a proveer de seguridad y como
proveedor de dicha seguridad en la información de una empresa, institución o incluso familia.
Este simple hecho es tan diferencial que ha llevado a toda una serie de estándares, estudios y
procedimientos (además de legislaciones muy importantes como la GDPR1 en Europa o la
HIPAA2 en Estados Unidos, y en cada país de Latinoamérica se están haciendo progresos
importantes para equipararse a estos dos modelos mundiales) que garanticen la Seguridad
de nuestra Información.
“Las empresas invierten millones en firewalls, cifrado y dispositivos para acceder de forma
segura, y es dinero malgastado, porque ninguna de estas medidas corrige el eslabón más débil
de la cadena” Kevin Mitnick1
1
Citas extraídas de Citas del artículo https://protegermipc.net/2017/04/04/las-mejores-frases-
sobre-seguridad-informatica/
© Structuralia 4
Introducción a la ciberseguridad - La persona, el eslabón más débil
Nuestra condición humana y nuestra preparación nos lleva siempre a creer en nosotros
mismos, y en realizar siempre un buen trabajo evitando intromisiones, robos y fugas de
información. Y en esto da igual el nivel de formación o profesionalidad todas las personas
somos igualmente vulnerables y somos el objetivo prioritario de los hackers.
Si todavía no te has convencido, simplemente piensa en los magos (o, más correctamente
llamados, ilusionistas). Independientemente de la persona que escoja del público para hacer el
truco de magia, éste va a funcionar, va a suceder delante de nuestros ojos y no vamos a saber
cómo ha podido ser. Un sentimiento de la magia existe nos recorre por todo el cuerpo y si
pedimos que lo vuelva a hacer el mago lo hará de nuevo, da igual que sea adivinar una carta,
desaparecer y aparecer una moneda, cortar en 2 a una persona, ….. Y sabemos que la magia
no existe, que hay algún truco y que nos ha pasado desapercibido.
Es por eso por lo que da igual cuan bueno sea tu firewall, tu antivirus, tus claves,… si las
personas están bien formadas e informadas sobre estos “trucos” o “engaños” tendrás muchas
menos probabilidades de ser hackeado o de tener compromisos de seguridad.
“Si crees que la tecnología puede solventar tus problemas de seguridad, entonces no entiendes
los problemas y no entiendes de tecnología”. Bruce Schneier2
Así como la única forma de evitar que un mago realice una ilusión delante de ti, te haga
aparecer un conejo de la chistera o acertar tu carta es conocer el “truco”, para la ciberseguridad
funciona el mismo método, conocer los trucos y artimañas que utilizan para engañar a
nuestros sentidos y nuestra voluntad.
2
Cita extraída del artículo Citas de https://protegermipc.net/2017/04/04/las-mejores-frases-
sobre-seguridad-informatica/
© Structuralia 5
Introducción a la ciberseguridad - La persona, el eslabón más débil
En los siguientes puntos vamos a enunciar las prácticas más comunes que los hackers utilizan
para conseguir que tú mismo les proporciones información y que ellos las puedan utilizar para
otros propósitos (normalmente malignos).
1.2 Phising
El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de
confianza en una aparente comunicación oficial electrónica, por lo común un correo
electrónico, o algún sistema de mensajería instantánea.
▪ Revisar los enlaces o links a los que mensajes te inviten, aconsejen u obliguen a clicar.
© Structuralia 6
Introducción a la ciberseguridad - La persona, el eslabón más débil
1.2.5. Ejemplo
Un día por la mañana recibimos un correo de nuestro banco en la dirección de correo del
trabajo en el cual se nos dice que hay un cargo elevado en nuestra tarjeta de crédito y se nos
invita a confirmar o denegar dicha pago de forma fácil clicando en un enlace, o solicitando que
un gestor se ponga en contacto telefónicamente para resolver esta situación de forma rápida y
simple.
El mail parece correcto, tiene toda la pinta de ser un mail como otros que hemos recibido
anteriormente, está correctamente escrito y nos pide una acción inmediata.
Si es la dirección que tiene de contacto con su banco, una buena práctica es utilizar una
de carácter personal. Aún no está a salvo, siga con las siguientes preguntas…
Si el correo ofrece detalles muy vagos (ej.: Estimado cliente, hemos detectado
movimientos, en su tarjeta de crédito, ….) o por el contrario es muy detallado (ej.:
Nombre y apellidos, Número de pasaporte, número de la tarjeta concreto, importe
concreto,…) definitivamente es más que sospechoso ya que los bancos no realizan
comunicaciones vagas o generales con llamadas a la acción concretas, o por el
contrario muy concretas que pongan en cuestión la gestión de los datos personales de
un cliente.
En este caso concreto, ningún banco solicitará acción inmediata si no que toda la
comunicación será informativa, sin poner en conflicto la información sensible (números
de cuenta, números de tarjeta, importes, saldos,…) y se introduciría períodos de
vigencia, carencia o gracia en la comunicación, así como las formas correctas de
resolución. Si se encuentra en esta situación, informe inmediatamente al banco y no
realice ninguna acción sobre el mail.
© Structuralia 7
Introducción a la ciberseguridad - La persona, el eslabón más débil
Si se dan datos completos, tales como el número de cuenta bancaria o de tarjeta con
todas sus cifras y números, estaremos ante un mail sospechoso. Póngase en contacto
con su banco y su oficina de ciberseguridad e informe de los sucedido.
Si los datos se dan parciales y especificados de forma que solamente usted puede
identificarlos (ej.: su tarjeta acabada en **3211,..), aún no está a salvo, siga con las
siguientes preguntas…
Si no hubo urgencia en el mensaje, todavía no está a salvo, siga con las siguientes
preguntas…
Si las direcciones que nos ofrecen en el remite del correo electrónico no finalizan con
@banco.com (o @banco.es, .mx...) muy posiblemente estemos ante direcciones de
correo fraudulentas (no pertenecientes al banco que viene en el mensaje). Ponga en
conocimiento tanto del banco como de su oficina de ciberseguridad dicho mensaje.
Si la dirección sí que parece ser legítima, todavía no está a salvo, siga con las
siguientes preguntas…
Sucede que los gestores de correos electrónicos actualmente muestran el nombre que
informa el correo y no la dirección de la que viene, por lo que podemos encontrarnos
correos con la siguiente estructura:
De: “sugestor@banco.com”
© Structuralia 8
Introducción a la ciberseguridad - La persona, el eslabón más débil
Cuando pasamos el cursos por encima o solicitamos los detalles del mail, el mismo
campo nos puede aparecer
De: “sugestor@banco.com”<sugestor@bancox.com>
Si la dirección sí que parece ser legítima, todavía no está a salvo, siga con las
siguientes preguntas…
▪ ¿Los enlaces nos dirigen a páginas del banco y son de forma segura?
Los enlaces que nos propone el correo deben ser siempre de forma segura (ej.:
https://..) y deben pertenecer al banco (ej.: https://banco.com). Si no cumple esto
informe al banco y a su departamento de ciberseguridad.
Si el enlace sí que parece ser legítimo, todavía no está a salvo, siga con las siguientes
preguntas…
Durante la llamada telefónica me han pedido validar mis datos y me han solicitado mi
contraseña en algún momento. NUNCA bajo ningún concepto debo facilitar mi
contraseña telefónicamente y aunque persista en su empeño el telefonista,
posponer la gestión para realizarla en persona en el banco. Estamos ante una estafa
cada vez que nos solicitan nuestra contraseña telefónicamente.
© Structuralia 9
Introducción a la ciberseguridad - La persona, el eslabón más débil
Todo este proceso nos muestra nuestras vulnerabilidades cuando nos enfrentamos a un simple
mail y recibimos muchos durante el día con lo que la posibilidad de ser víctimas de phishing es
alta. Otros ejemplos son aquellos que nos invitan a participar en sorteos o que nos prometen
premios seguros simplemente accediendo con nuestros datos (login y password).
▪ Addline Phising
▪ Lavado de Dinero
1.3 Vishing
El vishing es un tipo de estafa de ingeniería social por teléfono en la que, a través de una
llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el
fin de obtener información personal y sensible de la víctima.
© Structuralia 10
Introducción a la ciberseguridad - La persona, el eslabón más débil
El cibercriminal, se hace pasar por una persona o empresa de confianza en una aparente
llamada telefónica oficial.
1.3.5. Ejemplo
Cuando contestamos a una la llamada, una grabación o una persona alerta que al
"consumidor" que su tarjeta de crédito está siendo utilizada de forma fraudulenta y que este
debe llamar al número que sigue inmediatamente. El número es un número gratuito que afirma
poder resolver inmediatamente este problema.
Llamamos al número facilitado y somos contestados por una voz computarizada que nos indica
que nuestra cuenta necesita ser verificada y requiere que ingrese los 16 dígitos de su tarjeta de
crédito.
Cuando proveemos dicha información, el visher tiene toda la información necesaria para
realizar cargos fraudulentos en nuestra tarjeta. La llamada puede ser también utilizada para
obtener detalles adicionales como el PIN de seguridad, la fecha de expiración, el número de
cuenta u otra información importante.
© Structuralia 11
Introducción a la ciberseguridad - La persona, el eslabón más débil
Si la llamada ofrece detalles muy vagos (ej.: Estimado cliente, hemos detectado
movimientos, en su tarjeta de crédito, ….) o por el contrario es muy detallado (ej.:
Nombre y apellidos, Número de pasaporte, número de la tarjeta concreto, importe
concreto,…) definitivamente es más que sospechoso ya que los bancos no realizan
comunicaciones vagas o generales con llamadas a la acción concretas, o por el
contrario muy concretas que pongan en cuestión la gestión de los datos personales de
un cliente.
En este caso concreto, ningún banco solicitará acción inmediata si no que toda la
comunicación será informativa, sin poner en conflicto la información sensible (números
de cuenta, números de tarjeta, importes, saldos,…) y se introduciría períodos de
vigencia, carencia o gracia en la comunicación, así como las formas correctas de
resolución. Si se encuentra en esta situación, informe inmediatamente al banco y no
realice ninguna acción sobre el mail.
▪ ¿Me solicitan información que deberían tener como número de tarjeta, etc..?
Si los datos se dan parciales y especificados de forma que solamente usted puede
identificarlos (ej.: su tarjeta acabada en **3211,..), aún no está a salvo, siga con las
siguientes preguntas…
© Structuralia 12
Introducción a la ciberseguridad - La persona, el eslabón más débil
Si las direcciones que nos ofrecen son instalación de un software en nuestro equipo o
teléfono móvil muy posiblemente estemos ante una acción fraudulenta (no
pertenecientes al banco u organización llamante). Ponga en conocimiento tanto del
banco como de su oficina de ciberseguridad dicho mensaje.
Durante la llamada telefónica me han pedido validar mis datos y me han solicitado mi
contraseña en algún momento. NUNCA bajo ningún concepto debo facilitar mi
contraseña telefónicamente y aunque persista en su empeño el telefonista, posponer
la gestión para realizarla en persona en el banco. Estamos ante una estafa cada vez
que nos solicitan nuestra contraseña telefónicamente.
Todo este proceso nos muestra nuestras vulnerabilidades cuando nos enfrentamos a una
simple llamada.
© Structuralia 13
Introducción a la ciberseguridad - La persona, el eslabón más débil
1.4 Smising
Generalmente los SMS pretenden que visitemos, bajo alguna excusa, una página web
fraudulenta aprovechándose de las funcionalidades de navegación web que incorporan los
móviles o smartphones, con el objetivo final de obtener nuestras claves de usuario o
información personal, aunque también puede tener otros propósitos: como venderte productos
o servicios falsos o inexistentes, infectar tu dispositivo móvil (smartphone), etc.
© Structuralia 14
Introducción a la ciberseguridad - La persona, el eslabón más débil
▪ Desconfía de los SMS que te hablan de trabajos (que no existen), premios (sin haber
jugado) o paquetes recibidos (sin haberlos pedido).
▪ No accedas a ninguna dirección web que te llegue a través de SMS, más aún si
desconoces el número telefónico.
▪ Mantente informado sobre las técnicas y modalidades de estafas que se utilizan para
engañar a los usuarios: te evitará muchos problemas
© Structuralia 15
Introducción a la ciberseguridad - La persona, el eslabón más débil
Entonces gracias a ello pueden captar la atención de la víctima. Se hacen pasar por el perfil
oficial de una empresa y pueden pedir datos personales a los usuarios, obtener información,
enviar links para que inicien sesión, etc.
A diferencia del resto de phishing explicados anteriormente que buscaban una forma de
crearnos urgencia, el angler phising aprovecha alguna urgencia que hayamos publicitado en las
redes sociales para introducir una rápida respuesta que nos conduzca a sitios fraudulentos
donde conseguir nuestra información personal.
© Structuralia 16
Introducción a la ciberseguridad - La persona, el eslabón más débil
© Structuralia 17
Introducción a la ciberseguridad - La persona, el eslabón más débil
2. USURPACIÓN DE IDENTIDAD
▪ Correos Falsos: esta técnica permite pasar a un atacante por una organización,
banco o empresa verdaderas para obtener información que garantice acceso a algún
recurso que usted utilice en esa organización, banco o empresa.
▪ Personal: cualquier persona maliciosa podría obtener información que escuchó o vio
de parte suya que le garantice acceso a algún recurso valioso.
Los datos personales necesarios para realizar actividades en nombre de la víctima (ej.:
compras) y también con el fin de perjudicar a una persona, es decir, difamarlo o manchar su
nombre con diversos fines que el criminal busque.
▪ Utilizar contraseñas largas de ocho o más dígitos, en las que se combinen mayúsculas
y minúsculas con números y símbolos.
© Structuralia 18
Introducción a la ciberseguridad - La persona, el eslabón más débil
▪ Introducir los datos personales sólo en aquellos directorios que cuenten con certificado
de seguridad (https).
▪ Si paga algún servicio con la tarjeta de crédito, custodie el justificante que de devuelva
el establecimiento comercial.
▪ Si su tarjeta de crédito es de aquellas en las que debe introducir un número pin, oculte
la marcación de su clave..
2.5 Ejemplo
© Structuralia 19
Introducción a la ciberseguridad - La persona, el eslabón más débil
Esta suplantación de identidad puede suponer un daño enorme, más cuando las
personas afectadas tienen una alta reputación online o su perfil profesional gira en torno
a su visibilidad en la red, los conocidos influencers.
▪ Creación un perfil falso y además se utilizan datos de la víctima, como una fotografía,
(ej.: perfil en red social con fotografía de la víctima y datos y especificación que dicho
perfil le pertenece) se está vulnerando el derecho al propia imagen de la persona que
se encuentra en la Constitución Española. Este caso puede ser sancionado por la ley
con hasta 3 años de cárcel.
Esto se utiliza especialmente con personas famosas, aunque su mayor repercusión
aparece con personas normales y en las que la confianza que pueda generar en su
comunidad es utilizada. Esto es fácilmente visto cuando buscamos en Twitter por
Donald Trump:
© Structuralia 20
Introducción a la ciberseguridad - La persona, el eslabón más débil
O Barak Obama:
▪ Acceso a un servicio de un usuario haciéndose pasar por él, estará infringiendo la ley al
traspasar la barrera de la privacidad de la persona. Además el atacante estará
cometiendo un delito de haber utilizado alguna técnica no legal para acceder al servicio
de ese usuario como el robo de contraseña o entrar en sistemas informáticos.
© Structuralia 21
Introducción a la ciberseguridad - La persona, el eslabón más débil
▪ Caso del CEO de la empresa de seguridad Securitas. Ser el director de una de las
empresas de seguridad más grandes del mundo no evitó que fuera víctima de un robo
de identidad. Alguien accedió a sus datos personales y los utilizó para solicitar un
préstamo a su nombre. Luego, presentó ante las autoridades una solicitud de quiebra.
El nombre, la dirección, el teléfono, la fecha de nacimiento, el número de cuenta del
banco… A veces, sólo con información tan escasa como esta se pueden falsificar
solicitudes de préstamos, de tarjetas de crédito o contratos de teléfono.
© Structuralia 22
Introducción a la ciberseguridad - La persona, el eslabón más débil
▪ Protege tus Datos en Internet – Videos explicativos de cómo actuar en internet y en las
redes sociales y mantener a salvo tus datos a cargo de la Agencia Española de
Protección de Datos - https://www.aepd.es/videos/index.html
© Structuralia 23
Introducción a la ciberseguridad - La persona, el eslabón más débil
3. RANSOMWARE
El atacante camufla el código malicioso dentro de otro archivo o programa apetecible para el
usuario que invite a hacer clic.
© Structuralia 24
Introducción a la ciberseguridad - La persona, el eslabón más débil
3.5 Ejemplo
© Structuralia 25
Introducción a la ciberseguridad - La persona, el eslabón más débil
Estamos ante un claro caso de ransomware, nos han secuestrado el ordenador y no podemos
proseguir hasta el pago de un rescate (disfrazado de pago de multa).
La complejidad tecnológica que acarrea esta modalidad de ataque requiere acciones rápidas y
de cambio de hábitos.
No hay nunca suficientes garantías que pagando el rescate se nos devolverá acceso al
ordenador y que este será totalmente como estaba antes del ataque.
El cambio de hábitos tiene su razón en que si hemos sido infectados seremos fácilmente
infectados de nuevo ya que muy probablemente hayan utilizado alguna vulnerabilidad en
nuestra forma de operar. Cambios que se suelen sugerir :
© Structuralia 26
Introducción a la ciberseguridad - La persona, el eslabón más débil
Al mismo tiempo estos mensajes se propagaban por todas las empresas y el modo pánico se
apoderó de toda la industria española y latinoamericana, ¡El gran proveedor de servicios de
telefonía e internet ha sido pirateado!
¿Estamos infectados?
Estas son solo parte de las preguntas que se debieron contestar todas las empresas (o,
desafortunadamente, suponer para aquellas que no estaban preparadas).
En el ejercicio práctico que cierra este curso veremos con detalle lo que sucedió, como
protegernos y sobretodo como recuperar y seguir proveyendo nuestros servicios a nuestros
clientes de manera segura.
Como veremos este ataque no fue dirigido o en exclusiva a Telefónica, multitud de empresas y
hospitales (caso especial el de organizaciones sanitarias donde se almacenan multitud de
información sensible) en todo el mundo fueron víctimas de este ataque.
La anécdota de esta infección masiva reside en que la vulnerabilidad que explotaba este
ransonware (wannacry) ya había sido detectada y se podía evitar implementando
actualizaciones publicadas con meses de antelación, de ahí la importancia de tener siempre
el software actualizado a la última versión.
© Structuralia 27
Introducción a la ciberseguridad - La persona, el eslabón más débil
Hasta ahora hemos visto el ransomware y sus efectos acotado al ámbito de una sola
organización. Hemos visto sus componentes tecnológicos y sus efectos pero todavía no hemos
respondido a las preguntas, ¿Cómo se infectaron estas organizaciones?, y, ¿Cómo se
pudo propagar por toda la organización tan rápidamente?
Para responder a esta pregunta es muy importante el punto 1 Phising, Vishing, Smishing,
angler phising y familiares, y nunca perder de vista que la Persona es el Eslabón más
Débil.
Los vectores de ataque de los ransomware suelen ser alguno de los tratados en el punto 1
siendo el Phising el más utilizado. En el caso de telefónica el software malicioso se descargó
desde un mail aparentemente lícito que solicitaba seguir un enlace a una página también a
primer aspecto lícita. Así pues, un usuario 0 de la organización fue engañado mediante
técnicas de hackeo social que forman parte del Phising y partir de ese momento el software
descargado empezó a expandirse, lo que nos lleva a…
En el ejemplo final del curso veremos el examen forense y detallado de lo que pasó aquel 12
de Mayo de 2017.
© Structuralia 28
Introducción a la ciberseguridad - La persona, el eslabón más débil
4.1 Malware
Malware (del inglés malicious software), programa malicioso o programa maligno, también
llamado badware, código maligno, software malicioso, software dañino o software
malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una
computadora o sistema de información.
Debido a la gran variedad de malware (virus, troyanos,…) es muy difícil especificar un patrón
de comportamiento.
Sin embargo, para que un software malicioso pueda completar sus objetivos, es esencial que
permanezca oculto al usuario.
Desde destruir archivos en disco duro o corromper el sistema de archivos escribiendo datos
inválidos, pasando por travesuras como dejar el alias del autor del malware en las páginas web
que infecta, hasta llegar a sofisticados métodos de tomar control de ordenadores para usos
fraudulentos.
© Structuralia 29
Introducción a la ciberseguridad - La persona, el eslabón más débil
▪ Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo
debe utilizarse cuando sea necesario cambiar la configuración o instalar un nuevo
software.
4.1.5. Ejemplo
▪ Virus y gusanos. El término virus informático se usa para designar un programa que, al
ejecutarse, se propaga infectando otro software ejecutable dentro de la misma
computadora. Los virus también pueden tener una carga útil que realice otras acciones
a menudo maliciosas, por ejemplo, borrar archivos.
© Structuralia 30
Introducción a la ciberseguridad - La persona, el eslabón más débil
▪ Puertas traseras (malware oculto). Una puerta trasera (en inglés, backdoor) es un
método para eludir los procedimientos habituales de autenticación al conectarse a una
computadora. Una vez que el sistema ha sido comprometido, puede instalarse este
artefacto para permitir un acceso remoto más fácil en el futuro.
Uno de los rootkits más famosos fue el que la empresa Sony BMG Music Entertainment.
Secretamente incluyó, dentro de la protección anticopia de algunos CD de música, los
cuales modificaban a Windows para que no lo pudiera detectar y también resultar
indetectable por los programas antivirus y antispyware. Actuaba enviando información
sobre el cliente, además abrió la puerta a otros tipos de malware que pudieron infiltrarse
en las computadoras.
▪ Troyanos (malware oculto). A grandes rasgos, los troyanos son programas maliciosos
que están disfrazados como algo inocuo o atractivo que invitan al usuario a ejecutarlo
ocultando un software malicioso. Ese software, puede tener un efecto inmediato y
puede llevar muchas consecuencias indeseables, por ejemplo, borrar los archivos del
usuario o instalar más programas indeseables o maliciosos.
© Structuralia 31
Introducción a la ciberseguridad - La persona, el eslabón más débil
Por otra parte los programas adware muestran publicidad al usuario de forma intrusiva
en forma de ventana emergente (pop-up) o de cualquier otra forma. Esta publicidad
aparece inesperadamente en el equipo y resulta muy molesta
Los hijackers son programas que realizan cambios en la configuración del navegador
web. Por ejemplo, algunos cambian la página de inicio del navegador por páginas web
de publicidad o página pornográfica, otros redireccionan los resultados de los
buscadores hacia anuncios de pago o páginas de phishing bancario.
Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un
posterior envío al creador.
Los stealers también roban información privada pero solo la que se encuentra
guardada en el equipo.
© Structuralia 32
Introducción a la ciberseguridad - La persona, el eslabón más débil
Ocurre cuando un sistema de información o proceso diseñado para restringir el acceso sólo a
sujetos autorizados revela parte de la información que procesa o transmite debido a errores en
los procedimientos de diseño o trabajo.
▪ Establecer los controles adecuados sobre la información una vez clasificada (ej.:
ninguna persona sin acreditación de jefe puede acceder a la información confidencial)
4.2.5. Ejemplo
© Structuralia 33
Introducción a la ciberseguridad - La persona, el eslabón más débil
▪ Un protocolo de comunicación por Internet sin cifrar que sea interceptado por un
atacante puede ser fácilmente leído (ej.: WhatsApp hasta 2016). Cuando hablamos de
comunicación sin cifrar nos referimos a enviar la información en texto plano y
comprensible. Para una persona sin una formación tecnológica adecuada esto puede
resultar un tanto alejado y fuera de su campo de acción, a continuación explicaremos
los ejemplos más claros que nos podemos encontrarnos:
© Structuralia 34
Introducción a la ciberseguridad - La persona, el eslabón más débil
▪ Memorias externas sin encriptar, USB o discos duros no encriptados y que son
susceptibles de o bien ser perdidos o bien sustraídos. Estas memorias pueden llegar a
poseer información muy sensible y confidencial y el impacto tanto en el caso de pérdida
como de robo es muy significativo para una organización o individuo. Existen
encriptaciones del contenido o acceso mediante clave a dicha memoria que ayudan a
evitar la fuga de datos de dicha información (la pérdida del dispositivo es una pérdida
menor respecto a la de la información).
▪ Una carta con información confidencial enviada en un sobre sin mayor medida de
seguridad, puede ser abierta y leída por una persona no autorizada; este ejemplo no
estaría ligado a las nuevas tecnologías de la información pero por ello no deja de ser un
soporte válido y utilizado de envío de información, por ello se debe especificar las
condiciones de envío de información sensible por correo que posean seguridad extra
como por ejemplo un envío certificado o burofax.
© Structuralia 35
Introducción a la ciberseguridad - La persona, el eslabón más débil
© Structuralia 36
Introducción a la ciberseguridad - La persona, el eslabón más débil
5. OTROS ATAQUES
Llega un correo electrónico, aparentemente de una fuente confiable, que dirige al destinatario
incauto a un sitio web falso con gran cantidad de malware. A menudo, estos correos
electrónicos utilizan tácticas inteligentes para captar la atención de las víctimas.
▪ El error de un empleado puede tener graves consecuencias para las empresas, los
gobiernos e incluso para organizaciones sin ánimo de lucro. Con datos robados, los
estafadores pueden revelar información sensible desde el punto de vista comercial,
manipular precios de acciones o cometer diversos actos de espionaje.
© Structuralia 37
Introducción a la ciberseguridad - La persona, el eslabón más débil
5.1.5. Ejemplo
Multitud de ejemplos podemos encontrar respecto al spear phising, pero en esta ocasión
mostraremos un caso real que sucedió a uno de los instructores de esta formación.
▪ Al día siguiente de haber realizado una compra el instructor recibió los siguientes SMS
© Structuralia 38
Introducción a la ciberseguridad - La persona, el eslabón más débil
▪ Sin embargo, nuestro deseo e impulso es pensar que este pequeño error tecnológico no
tiene nada que ver con la teórica empresa emisora que sí que es en confianza. Tras la
descarga de la app se procede a la instalación de la misma en nuestro dispositivo con
los siguientes avisos
Como se desprenden de la imagen el sistema operativo del dispositivo móvil nos está
solicitando permiso expreso al usuario y propietario del dispositivo que :
© Structuralia 39
Introducción a la ciberseguridad - La persona, el eslabón más débil
▪ Como podemos ver, la app es capaz de escribir, enviar y recibir SMS, acceder a
nuestros contactos, realizar llamadas, conectarse a internet y funcionar en segundo
plano de forma constante.
▪ Una vez llegado a este punto el riesgo de instalar la app solicitada para nuestro envío
deseado se antoja demasiado arriesgada ya que pone tanto los datos personales del
instructor como el dispositivo y todas sus posibles aplicaciones quedan en peligro de ser
utilizadas por un software no firmado y de dudosa reputación.
▪ El ataque siguió durante unas semanas más esperando a que la insistencia consiguiera
que se instalara.
© Structuralia 40
Introducción a la ciberseguridad - La persona, el eslabón más débil
5.2 Cryptojacking
© Structuralia 41
Introducción a la ciberseguridad - La persona, el eslabón más débil
Uno de los métodos funciona como el malware clásico. El usuario hace clic en un enlace
malicioso en un correo electrónico que carga código de minería de criptomonedas directamente
en el ordenador.
▪ Tener un antivirus o EDR (Endpoint Detection Response3) actualizado y con las firmas y
las APT4 bien ajustadas.
© Structuralia 42
Introducción a la ciberseguridad - La persona, el eslabón más débil
5.2.5. Ejemplo
Las criptomonedas son un tipo de dinero digital que existe solo en el mundo digital, sin
una forma física. Se crearon como una alternativa al dinero tradicional y se hicieron
populares por su diseño avanzado, su potencial de crecimiento y su anonimato. Una de
las primeras formas de criptomoneda, y de más éxito, el bitcoin, surgió en 2009. En
diciembre de 2017, el valor de un solo bitcoin alcanzó su máximo histórico, casi 20 000
USD, después cayó por debajo de los 10 000 USD. El éxito del bitcoin inspiró la
creación de otras criptomonedas que operan más o menos de la misma manera. Antes
de que haya pasado una década desde su invención, personas de todo el mundo
utilizan criptomonedas para comprar y vender cosas o hacer inversiones.
Las unidades de criptomoneda (llamadas “coins”) no son más que entradas en una
base de datos. Para realizar una transacción que modifica la base de datos, tienen que
cumplirse ciertas condiciones. Piense en cómo hace el seguimiento de los movimientos
de su cuenta bancaria. Cada vez que autoriza transferencias, retiradas de efectivo o
depósitos, la base de datos del banco se actualiza con las nuevas transacciones. Las
criptomonedas funcionan de forma similar, pero con una base de datos descentralizada.
▪ Infección malware
© Structuralia 43
Introducción a la ciberseguridad - La persona, el eslabón más débil
▪ Infección fortuita
6. REFERENCIAS
▪ 1
Página oficial de la GDPR - The EU General Data Protection Regulation:
https://eugdpr.org/.
▪ 2
Página oficial de la HIPAA - Health Insurance Portability and Accountability Act:
https://www.hhs.gov/hipaa/index.html)ç
© Structuralia 44