INTRODUCCIÓN A LA CIBERSEGURIDAD

LA PERSONA, EL ESLABÓN MÁS DÉBIL

 Introducción a la ciberseguridad - La persona, el eslabón más débil

© Structuralia 2
 Introducción a la ciberseguridad - La persona, el eslabón más débil

ÍNDICE

ÍNDICE........................................................................................................................................................................... 3

1. PHISING, VISHING, SMISHING, ANGLER PHISING Y FAMILIARES ..................................................................... 4

1.1 El eslabón más débil.............................................................................................................................................. 4

1.2 Phising ................................................................................................................................................................... 6
1.3 Vishing ................................................................................................................................................................. 10
1.4 Smising ................................................................................................................................................................ 14
1.5 Angler Phising ..................................................................................................................................................... 16

2. USURPACIÓN DE IDENTIDAD .............................................................................................................................. 18

2.1 ¿Qué es? ............................................................................................................................................................. 18

2.2 ¿Cómo funciona? ................................................................................................................................................ 18
2.3 ¿Qué busca obtener? .......................................................................................................................................... 18
2.4 ¿Cómo prevenir o protegerme?........................................................................................................................... 18
2.5 Ejemplo................................................................................................................................................................ 19
2.6 Material adicional ................................................................................................................................................. 23

3. RANSOMWARE ...................................................................................................................................................... 24

3.1 ¿Qué es? ............................................................................................................................................................. 24

3.2 ¿Cómo funciona? ................................................................................................................................................ 24
3.3 ¿Qué busca obtener? .......................................................................................................................................... 24
3.4 ¿Cómo prevenir o protegerme?........................................................................................................................... 24
3.5 Ejemplo................................................................................................................................................................ 25
3.6 Telefónica (Movistar) y Wannacry ....................................................................................................................... 26
3.7 La persona y el ransomware ............................................................................................................................... 28

4. MALWARE Y FUGA DE DATOS ............................................................................................................................ 29

4.1 Malware ............................................................................................................................................................... 29

4.2 Fuga de datos...................................................................................................................................................... 32

5. OTROS ATAQUES.................................................................................................................................................. 37

5.1 Spear phishing..................................................................................................................................................... 37

5.2 Cryptojacking ....................................................................................................................................................... 41

6. REFERENCIAS ....................................................................................................................................................... 44

© Structuralia 3
 Introducción a la ciberseguridad - La persona, el eslabón más débil

1. PHISING, VISHING, SMISHING, ANGLER PHISING Y FAMILIARES

En el capítulo anterior definimos y conocimos qué era la ciberseguridad y cuáles son sus
ámbitos y límites. Estudiamos sus componentes y vimos que había todo un mundo de detalles
y trabajo tecnológico que quedan ya dentro de los expertos en la materia.

Vimos como tecnológicamente identificar las principales vulnerabilidades de nuestros sistemas,

páginas web y demás componentes, y también aplicar soluciones a dichas incidencias.

Pero en todos los escenarios siempre faltó un factor importantísimo y clave en la seguridad, La
Persona. En la introducción de la Seguridad de la Información vimos que el hecho
diferencial respecto a la ciberseguridad era la introducción y posicionamiento central de la
persona (usuarios, clientes, trabajadores,…) como elemento a proveer de seguridad y como
proveedor de dicha seguridad en la información de una empresa, institución o incluso familia.

Este simple hecho es tan diferencial que ha llevado a toda una serie de estándares, estudios y
procedimientos (además de legislaciones muy importantes como la GDPR1 en Europa o la
HIPAA2 en Estados Unidos, y en cada país de Latinoamérica se están haciendo progresos
importantes para equipararse a estos dos modelos mundiales) que garanticen la Seguridad
de nuestra Información.

1.1 El eslabón más débil

“Las empresas invierten millones en firewalls, cifrado y dispositivos para acceder de forma
segura, y es dinero malgastado, porque ninguna de estas medidas corrige el eslabón más débil
de la cadena” Kevin Mitnick1

Actualmente poseemos sistemas de una seguridad excelente, conocimiento exhaustivo sobre

cómo garantizar esta seguridad e, incluso, engañar a posibles atacantes. Pero nada de esto
tiene sentido sin las personas (usuarios, clientes, proveedores, visitantes,…). La persona es el
único actor que puede crear, modificar o actualizar datos para convertirlos en información y
tomar decisiones.

1
Citas extraídas de Citas del artículo https://protegermipc.net/2017/04/04/las-mejores-frases-
sobre-seguridad-informatica/

© Structuralia 4
 Introducción a la ciberseguridad - La persona, el eslabón más débil

1.1.1. ¿Por qué decimos que es el eslabón más débil?

Nuestra condición humana y nuestra preparación nos lleva siempre a creer en nosotros
mismos, y en realizar siempre un buen trabajo evitando intromisiones, robos y fugas de
información. Y en esto da igual el nivel de formación o profesionalidad todas las personas
somos igualmente vulnerables y somos el objetivo prioritario de los hackers.

Si todavía no te has convencido, simplemente piensa en los magos (o, más correctamente
llamados, ilusionistas). Independientemente de la persona que escoja del público para hacer el
truco de magia, éste va a funcionar, va a suceder delante de nuestros ojos y no vamos a saber
cómo ha podido ser. Un sentimiento de la magia existe nos recorre por todo el cuerpo y si
pedimos que lo vuelva a hacer el mago lo hará de nuevo, da igual que sea adivinar una carta,
desaparecer y aparecer una moneda, cortar en 2 a una persona, ….. Y sabemos que la magia
no existe, que hay algún truco y que nos ha pasado desapercibido.

Estos juegos de prestidigitación demuestran que las personas y nuestros sentidos

pueden ser fácilmente engañados y fácilmente inducidos a realizar tareas que
vayan en contra de nuestra seguridad o de los demás.

Es por eso por lo que da igual cuan bueno sea tu firewall, tu antivirus, tus claves,… si las
personas están bien formadas e informadas sobre estos “trucos” o “engaños” tendrás muchas
menos probabilidades de ser hackeado o de tener compromisos de seguridad.

“Si crees que la tecnología puede solventar tus problemas de seguridad, entonces no entiendes
los problemas y no entiendes de tecnología”. Bruce Schneier2

1.1.2. ¿Cómo protegerse?

Así como la única forma de evitar que un mago realice una ilusión delante de ti, te haga
aparecer un conejo de la chistera o acertar tu carta es conocer el “truco”, para la ciberseguridad
funciona el mismo método, conocer los trucos y artimañas que utilizan para engañar a
nuestros sentidos y nuestra voluntad.

2
Cita extraída del artículo Citas de https://protegermipc.net/2017/04/04/las-mejores-frases-
sobre-seguridad-informatica/

© Structuralia 5
 Introducción a la ciberseguridad - La persona, el eslabón más débil

En los siguientes puntos vamos a enunciar las prácticas más comunes que los hackers utilizan
para conseguir que tú mismo les proporciones información y que ellos las puedan utilizar para
otros propósitos (normalmente malignos).

1.2 Phising

1.2.1. ¿Qué es?

Phishing, conocido como suplantación de identidad, es un término informático que denomina

un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería
social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como
puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información
bancaria).

1.2.2. ¿Cómo funciona?

El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de
confianza en una aparente comunicación oficial electrónica, por lo común un correo
electrónico, o algún sistema de mensajería instantánea.

1.2.3. ¿Qué busca obtener?

Conocer usuarios y contraseña válidos para realizar operaciones en nombre de dichos

usuarios.

1.2.4. ¿Cómo prevenir o protegerme?

▪ Nunca dar la contraseña o password mediante teléfono.

▪ No guardar contraseñas en el ordenador.

▪ Chequear el lenguaje de la comunicación, ¿es genérico? (ej.: estimado cliente…).´

▪ Revisar los enlaces o links a los que mensajes te inviten, aconsejen u obliguen a clicar.

▪ Corroborar por fuentes externas la veracidad de correos sospechosos.

© Structuralia 6
 Introducción a la ciberseguridad - La persona, el eslabón más débil

1.2.5. Ejemplo

Un día por la mañana recibimos un correo de nuestro banco en la dirección de correo del
trabajo en el cual se nos dice que hay un cargo elevado en nuestra tarjeta de crédito y se nos
invita a confirmar o denegar dicha pago de forma fácil clicando en un enlace, o solicitando que
un gestor se ponga en contacto telefónicamente para resolver esta situación de forma rápida y
simple.

El mail parece correcto, tiene toda la pinta de ser un mail como otros que hemos recibido
anteriormente, está correctamente escrito y nos pide una acción inmediata.

Primeramente nos preguntamos:

▪ ¿Es esta cuenta de mail la que tengo configurada para el banco?

Si no hemos configurado el correo del trabajo como la dirección de correo electrónico a

la que dirigirse el banco a nosotros directamente desechar el mail e informar a los
servicios de ciberseguridad o seguridad de la información de su empresa.

Si es la dirección que tiene de contacto con su banco, una buena práctica es utilizar una
de carácter personal. Aún no está a salvo, siga con las siguientes preguntas…

▪ ¿Es el lenguaje detallado? ¿Aparece mi nombre completo o algún identificador

único mío?

Si el correo ofrece detalles muy vagos (ej.: Estimado cliente, hemos detectado
movimientos, en su tarjeta de crédito, ….) o por el contrario es muy detallado (ej.:
Nombre y apellidos, Número de pasaporte, número de la tarjeta concreto, importe
concreto,…) definitivamente es más que sospechoso ya que los bancos no realizan
comunicaciones vagas o generales con llamadas a la acción concretas, o por el
contrario muy concretas que pongan en cuestión la gestión de los datos personales de
un cliente.

En este caso concreto, ningún banco solicitará acción inmediata si no que toda la
comunicación será informativa, sin poner en conflicto la información sensible (números
de cuenta, números de tarjeta, importes, saldos,…) y se introduciría períodos de
vigencia, carencia o gracia en la comunicación, así como las formas correctas de
resolución. Si se encuentra en esta situación, informe inmediatamente al banco y no
realice ninguna acción sobre el mail.

© Structuralia 7
 Introducción a la ciberseguridad - La persona, el eslabón más débil

Aún no está a salvo, siga con las siguientes preguntas…

▪ ¿Aparece el número o código de la tarjeta en cuestión?

Si se dan datos completos, tales como el número de cuenta bancaria o de tarjeta con
todas sus cifras y números, estaremos ante un mail sospechoso. Póngase en contacto
con su banco y su oficina de ciberseguridad e informe de los sucedido.

Si los datos se dan parciales y especificados de forma que solamente usted puede
identificarlos (ej.: su tarjeta acabada en **3211,..), aún no está a salvo, siga con las
siguientes preguntas…

▪ ¿Queda bien explicada la urgencia del mensaje?

Si la comunicación es claramente urgente y nos pide acciones inmediatas ya que

podemos tener consecuencias si no lo hacemos, estaremos frente a un mail
fraudulento con intenciones ocultas. Todas las comunicaciones han de ser basadas en
la importancia y no en la urgencia, la urgencia debe ser siempre valorada por nosotros
mismos a partir de los períodos que nos brinde el mensaje (ej.: 10 mil euros puede ser
mucho para nosotros pero es una cantidad más que asumible para un banco en el plazo
de semanas).

Si no hubo urgencia en el mensaje, todavía no está a salvo, siga con las siguientes
preguntas…

▪ ¿Son las direcciones del remitente oficiales del banco?

Si las direcciones que nos ofrecen en el remite del correo electrónico no finalizan con
@banco.com (o @banco.es, .mx...) muy posiblemente estemos ante direcciones de
correo fraudulentas (no pertenecientes al banco que viene en el mensaje). Ponga en
conocimiento tanto del banco como de su oficina de ciberseguridad dicho mensaje.

Si la dirección sí que parece ser legítima, todavía no está a salvo, siga con las
siguientes preguntas…

▪ ¿Han puesto la misma dirección que se muestre y real de remitente?

Sucede que los gestores de correos electrónicos actualmente muestran el nombre que
informa el correo y no la dirección de la que viene, por lo que podemos encontrarnos
correos con la siguiente estructura:

De: “sugestor@banco.com”

© Structuralia 8
 Introducción a la ciberseguridad - La persona, el eslabón más débil

Cuando pasamos el cursos por encima o solicitamos los detalles del mail, el mismo
campo nos puede aparecer

De: “sugestor@banco.com”<sugestor@bancox.com>

Si la dirección no se parece lo suficiente, como en el caso anterior, informe a su

banco y a su oficina de ciberseguridad.

Si la dirección sí que parece ser legítima, todavía no está a salvo, siga con las
siguientes preguntas…

▪ ¿Los enlaces nos dirigen a páginas del banco y son de forma segura?

Los enlaces que nos propone el correo deben ser siempre de forma segura (ej.:
https://..) y deben pertenecer al banco (ej.: https://banco.com). Si no cumple esto
informe al banco y a su departamento de ciberseguridad.

Si el enlace sí que parece ser legítimo, todavía no está a salvo, siga con las siguientes
preguntas…

▪ ¿Se han puesto en contacto mediante teléfono conmigo?

Si parece veraz y me ofrecen la posibilidad que un gestor se ponga en contacto

conmigo introduciendo mi número de teléfono, primeramente nunca debo facilitar
información que el banco ya posee mía, es decir, si tras clicar me pide que introduzca
mi número de teléfono estaré delante de un fraude. Informe tanto al banco como a su
oficina de ciberseguridad.

Todavía no está a salvo, siga con las siguiente pregunta…

▪ ¿Me solicitan mi contraseña para así poder terminar rápidamente con el

problema?

Durante la llamada telefónica me han pedido validar mis datos y me han solicitado mi
contraseña en algún momento. NUNCA bajo ningún concepto debo facilitar mi
contraseña telefónicamente y aunque persista en su empeño el telefonista,
posponer la gestión para realizarla en persona en el banco. Estamos ante una estafa
cada vez que nos solicitan nuestra contraseña telefónicamente.

© Structuralia 9
 Introducción a la ciberseguridad - La persona, el eslabón más débil

Todo este proceso nos muestra nuestras vulnerabilidades cuando nos enfrentamos a un simple
mail y recibimos muchos durante el día con lo que la posibilidad de ser víctimas de phishing es
alta. Otros ejemplos son aquellos que nos invitan a participar en sorteos o que nos prometen
premios seguros simplemente accediendo con nuestros datos (login y password).

1.2.6. Material adicional

▪ Addline Phising

▪ Lavado de Dinero

Figura 1. Ejemplo phishing

1.3 Vishing

1.3.1. ¿Qué es?

El vishing es un tipo de estafa de ingeniería social por teléfono en la que, a través de una
llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el
fin de obtener información personal y sensible de la víctima.

© Structuralia 10
 Introducción a la ciberseguridad - La persona, el eslabón más débil

1.3.2. ¿Cómo funciona?

El cibercriminal, se hace pasar por una persona o empresa de confianza en una aparente
llamada telefónica oficial.

1.3.3. ¿Qué busca obtener?

Conocer usuarios y contraseña válidos para realizar operaciones en nombre de dichos

usuarios.

1.3.4. ¿Cómo prevenir o protegerme?

▪ Nunca dar la contraseña o password mediante teléfono.

▪ Chequear el lenguaje de la comunicación, ¿es genérico? (ej.: estimado cliente…).

▪ Corroborar por fuentes externas la veracidad de llamadas sospechosas.

1.3.5. Ejemplo

Cuando contestamos a una la llamada, una grabación o una persona alerta que al
"consumidor" que su tarjeta de crédito está siendo utilizada de forma fraudulenta y que este
debe llamar al número que sigue inmediatamente. El número es un número gratuito que afirma
poder resolver inmediatamente este problema.

Llamamos al número facilitado y somos contestados por una voz computarizada que nos indica
que nuestra cuenta necesita ser verificada y requiere que ingrese los 16 dígitos de su tarjeta de
crédito.

Cuando proveemos dicha información, el visher tiene toda la información necesaria para
realizar cargos fraudulentos en nuestra tarjeta. La llamada puede ser también utilizada para
obtener detalles adicionales como el PIN de seguridad, la fecha de expiración, el número de
cuenta u otra información importante.

Primeramente nos preguntamos:

▪ ¿Trabajo con dicha organización?¿Tengo el teléfono al que me llaman

configurado para que me contacten ?

© Structuralia 11
 Introducción a la ciberseguridad - La persona, el eslabón más débil

Si no hemos configurado el número de teléfono al que nos están llamando como

teléfono de contacto de la organización llamante a nosotros directamente desechar la
llamada e informar a los servicios de ciberseguridad o seguridad de la información de su
empresa.

▪ ¿Es el lenguaje detallado? ¿Pueden identificar mi nombre completo y otros datos

que me identifican?

Si la llamada ofrece detalles muy vagos (ej.: Estimado cliente, hemos detectado
movimientos, en su tarjeta de crédito, ….) o por el contrario es muy detallado (ej.:
Nombre y apellidos, Número de pasaporte, número de la tarjeta concreto, importe
concreto,…) definitivamente es más que sospechoso ya que los bancos no realizan
comunicaciones vagas o generales con llamadas a la acción concretas, o por el
contrario muy concretas que pongan en cuestión la gestión de los datos personales de
un cliente.

En este caso concreto, ningún banco solicitará acción inmediata si no que toda la
comunicación será informativa, sin poner en conflicto la información sensible (números
de cuenta, números de tarjeta, importes, saldos,…) y se introduciría períodos de
vigencia, carencia o gracia en la comunicación, así como las formas correctas de
resolución. Si se encuentra en esta situación, informe inmediatamente al banco y no
realice ninguna acción sobre el mail.

▪ ¿Me solicitan información que deberían tener como número de tarjeta, etc..?

Si se solicitan datos completos, tales como el número de cuenta bancaria o de tarjeta

con todas sus cifras y números, estaremos ante una llamada llamada sospechosa.
Póngase en contacto con su banco y su oficina de ciberseguridad e informe de los
sucedido.

Si los datos se dan parciales y especificados de forma que solamente usted puede
identificarlos (ej.: su tarjeta acabada en **3211,..), aún no está a salvo, siga con las
siguientes preguntas…

© Structuralia 12
 Introducción a la ciberseguridad - La persona, el eslabón más débil

▪ ¿Puedo confirmar el teléfono de contacto gratuito?

Si la comunicación es claramente urgente y nos pide acciones inmediatas ya que

podemos tener consecuencias si no lo hacemos, estaremos frente a una llamada
fraudulenta con intenciones ocultas. Todas las comunicaciones han de ser basadas en
la importancia y no en la urgencia, la urgencia debe ser siempre valorada por nosotros
mismos a partir de los períodos que nos brinde el mensaje (ej.: 10 mil euros puede ser
mucho para nosotros pero es una cantidad más que asumible para un banco en el plazo
de semanas).

▪ ¿Debo instalarme algún software nuevo?

Si las direcciones que nos ofrecen son instalación de un software en nuestro equipo o
teléfono móvil muy posiblemente estemos ante una acción fraudulenta (no
pertenecientes al banco u organización llamante). Ponga en conocimiento tanto del
banco como de su oficina de ciberseguridad dicho mensaje.

▪ ¿Me solicitan mi contraseña o PIN de la tarjeta para así poder terminar

rápidamente con el problema?

Durante la llamada telefónica me han pedido validar mis datos y me han solicitado mi
contraseña en algún momento. NUNCA bajo ningún concepto debo facilitar mi
contraseña telefónicamente y aunque persista en su empeño el telefonista, posponer
la gestión para realizarla en persona en el banco. Estamos ante una estafa cada vez
que nos solicitan nuestra contraseña telefónicamente.

Todo este proceso nos muestra nuestras vulnerabilidades cuando nos enfrentamos a una
simple llamada.

1.3.6. Material adicional

▪ Microsoft alerta sobre un aumento de estafas de soporte técnico

▪ Estafas de soporte técnico falso

© Structuralia 13
 Introducción a la ciberseguridad - La persona, el eslabón más débil

Figura 2. Alerta de vishing

1.4 Smising

1.4.1. ¿Qué es?

El smishing es una técnica que consiste en el envío de un SMS por parte de un

ciberdelincuente a un usuario simulando ser una entidad legítima -red social, banco, institución
pública, etc. -con el objetivo de robarle información privada o realizarle un cargo económico.
Generalmente el mensaje invita a llamar a un número de tarificación especial o acceder a un
enlace de una web falsa bajo un pretexto.

1.4.2. ¿Cómo funciona?

Generalmente los SMS pretenden que visitemos, bajo alguna excusa, una página web
fraudulenta aprovechándose de las funcionalidades de navegación web que incorporan los
móviles o smartphones, con el objetivo final de obtener nuestras claves de usuario o
información personal, aunque también puede tener otros propósitos: como venderte productos
o servicios falsos o inexistentes, infectar tu dispositivo móvil (smartphone), etc.

1.4.3. ¿Qué busca obtener?

Conocer usuarios y contraseña válidos para realizar operaciones en nombre de dichos

usuarios.

© Structuralia 14
 Introducción a la ciberseguridad - La persona, el eslabón más débil

1.4.4. ¿Cómo prevenir o protegerme?

▪ Desconfía de los SMS que te hablan de trabajos (que no existen), premios (sin haber
jugado) o paquetes recibidos (sin haberlos pedido).

▪ No accedas a ninguna dirección web que te llegue a través de SMS, más aún si
desconoces el número telefónico.

▪ No proporciones datos bancarios ni similares a través de SMS ni telefónicamente; si te

llegase algún SMS de estas características y dudases sobre su veracidad contacta
directamente con tu banco utilizando los canales habituales.

▪ Vigila regularmente el consumo y, en caso de notar incrementos bruscos en la factura,

contacta con la compañía telefónica; podrías estar siendo víctima de un fraude.

▪ Mantente informado sobre las técnicas y modalidades de estafas que se utilizan para
engañar a los usuarios: te evitará muchos problemas

1.4.5. Material adicional

▪ ¿Qué hacer con un fraude smishing?

▪ BBVA alerta smishing

Figura 3. Ejemplo smishing

© Structuralia 15
 Introducción a la ciberseguridad - La persona, el eslabón más débil

1.5 Angler Phising

1.5.1. ¿Qué es?

Los ciberdelincuentes se aprovechan de que las empresas y organizaciones cada vez

utilizan más las redes sociales para estar en contacto con sus usuarios, promocionarse, etc.

Entonces gracias a ello pueden captar la atención de la víctima. Se hacen pasar por el perfil
oficial de una empresa y pueden pedir datos personales a los usuarios, obtener información,
enviar links para que inicien sesión, etc.

1.5.2. ¿Cómo funciona?

A diferencia del resto de phishing explicados anteriormente que buscaban una forma de
crearnos urgencia, el angler phising aprovecha alguna urgencia que hayamos publicitado en las
redes sociales para introducir una rápida respuesta que nos conduzca a sitios fraudulentos
donde conseguir nuestra información personal.

1.5.3. ¿Qué busca obtener?

Conocer usuarios y contraseña válidos para realizar operaciones en nombre de dichos

usuarios.

1.5.4. ¿Cómo prevenir o protegerme?

▪ Minimizar la interacción en redes sociales con organizaciones sensibles como bancos,

sanidad…

▪ Dirigirse a servicios oficiales de atención al cliente aunque hayamos sido respondidos

en las redes sociales.

© Structuralia 16
 Introducción a la ciberseguridad - La persona, el eslabón más débil

Figura 4. Ejemplo Angler phishing

© Structuralia 17
 Introducción a la ciberseguridad - La persona, el eslabón más débil

2. USURPACIÓN DE IDENTIDAD

2.1 ¿Qué es?

El robo de identidad o usurpación de identidad es la apropiación de la identidad de una

persona: hacerse pasar por esa persona, asumir su identidad ante otras personas en público o
en privado, en general para acceder a ciertos recursos o la obtención de créditos y otros
beneficios en nombre de esa persona.

2.2 ¿Cómo funciona?

Existen varios métodos para obtener datos de la información personal:

▪ Correos Falsos: esta técnica permite pasar a un atacante por una organización,
banco o empresa verdaderas para obtener información que garantice acceso a algún
recurso que usted utilice en esa organización, banco o empresa.

▪ Personal: cualquier persona maliciosa podría obtener información que escuchó o vio
de parte suya que le garantice acceso a algún recurso valioso.

▪ Ataque organizado: cualquier atacante podría intentar superar la seguridad de un

banco, empresa u organización para obtener información personal de los clientes
para luego acceder a algún recurso de esa empresa.

2.3 ¿Qué busca obtener?

Los datos personales necesarios para realizar actividades en nombre de la víctima (ej.:
compras) y también con el fin de perjudicar a una persona, es decir, difamarlo o manchar su
nombre con diversos fines que el criminal busque.

2.4 ¿Cómo prevenir o protegerme?

▪ Instalar un firewall o antivirus potente.

▪ Utilizar contraseñas largas de ocho o más dígitos, en las que se combinen mayúsculas
y minúsculas con números y símbolos.

© Structuralia 18
 Introducción a la ciberseguridad - La persona, el eslabón más débil

▪ Introducir los datos personales sólo en aquellos directorios que cuenten con certificado
de seguridad (https).

▪ Si realiza alguna transacción en Internet, guarde los comprobantes.

▪ No responder a ofertas que no se hayan solicitado previamente.

▪ No compartir ningún tipo de información financiera a través de la red.

▪ Si paga algún servicio con la tarjeta de crédito, custodie el justificante que de devuelva
el establecimiento comercial.

▪ Si su tarjeta de crédito es de aquellas en las que debe introducir un número pin, oculte
la marcación de su clave..

2.5 Ejemplo

▪ Creación de un perfil falso, en redes sociales u otras actividades de en el que no se

añade ningún tipo de información personal de la víctima, la única acción legal que se
puede llevar a cabo es notificar el caso a la red social que esté implicada para que
proceda a la eliminación de ese perfil. No está considerado delito suplantar únicamente
el nombre de una persona si no incluye además alguna imagen.
Todo lo que colgamos públicamente en redes sociales es susceptible de ser mostrado
en otros sitios sin nuestro conocimiento y fuera de nuestro control. A continuación dos
ejemplos de cuentas clonadas y que ofrecen contenido adulto en páginas externas a la
red social.

Figura 5. Ejemplo de usurpación de identidad visual

© Structuralia 19
 Introducción a la ciberseguridad - La persona, el eslabón más débil

Figura 6. Ejemplo de clonado de usurpación de identidad visual II

Esta suplantación de identidad puede suponer un daño enorme, más cuando las
personas afectadas tienen una alta reputación online o su perfil profesional gira en torno
a su visibilidad en la red, los conocidos influencers.

▪ Creación un perfil falso y además se utilizan datos de la víctima, como una fotografía,
(ej.: perfil en red social con fotografía de la víctima y datos y especificación que dicho
perfil le pertenece) se está vulnerando el derecho al propia imagen de la persona que
se encuentra en la Constitución Española. Este caso puede ser sancionado por la ley
con hasta 3 años de cárcel.
Esto se utiliza especialmente con personas famosas, aunque su mayor repercusión
aparece con personas normales y en las que la confianza que pueda generar en su
comunidad es utilizada. Esto es fácilmente visto cuando buscamos en Twitter por
Donald Trump:

© Structuralia 20
 Introducción a la ciberseguridad - La persona, el eslabón más débil

O Barak Obama:

¿Cuál es el verdadero? Esto se extiende a personas menos conocidas y anónimas de la

calle. Perfiles que utilizando nuestros datos o bien extienden opiniones y apoyos en
internet, o simplemente utilizan nuestros datos para tener éxito en aplicaciones de citas.

▪ Acceso a un servicio de un usuario haciéndose pasar por él, estará infringiendo la ley al
traspasar la barrera de la privacidad de la persona. Además el atacante estará
cometiendo un delito de haber utilizado alguna técnica no legal para acceder al servicio
de ese usuario como el robo de contraseña o entrar en sistemas informáticos.

© Structuralia 21
 Introducción a la ciberseguridad - La persona, el eslabón más débil

En este campo nos encontraremos con:

o Sustracción y utilización posterior de un Documento de Identificación (trámites

bancarios o de responsabilidad civil).
o Falsificación de firma.
o Compañías telefónicas.
o Duplicado de la tarjeta SIM del móvil.
o Contratación de servicios con la identidad usurpada.

Uno de los mayores casos de “éxito” en la usurpación de la identidad es el conocido

como Fraude del CEO. Los ciberdelincuentes se hacen pasar por el CEO de la
empresa para engañar a los empleados y solicitar transferencias por un alto valor
económico, siempre bajo alguna excusa de gran importancia para la empresa. Las
víctimas suelen ser estudiadas previamente para que el engaño sea creíble.
Habitualmente se atacan pequeños negocios, donde la relación del CEO con los
empleados es cercana y un correo de estas características puede tener sentido.

Otros casos reales de suplantación de identidad:

▪ Caso del CEO de la empresa de seguridad Securitas. Ser el director de una de las
empresas de seguridad más grandes del mundo no evitó que fuera víctima de un robo
de identidad. Alguien accedió a sus datos personales y los utilizó para solicitar un
préstamo a su nombre. Luego, presentó ante las autoridades una solicitud de quiebra.
El nombre, la dirección, el teléfono, la fecha de nacimiento, el número de cuenta del
banco… A veces, sólo con información tan escasa como esta se pueden falsificar
solicitudes de préstamos, de tarjetas de crédito o contratos de teléfono.

© Structuralia 22
 Introducción a la ciberseguridad - La persona, el eslabón más débil

▪ Alberto de Mónaco. El príncipe de Mónaco también ha sido víctima de una

suplantación de identidad por parte de una banda organizada que durante varios días
han utilizado su identidad para robar a varios residentes en Mónaco. La estafa consistía
en pedir dinero a través de mensajes vía correos electrónicos, SMS, videoconferencias
y WhatsApp en nombre del príncipe.
Las autoridades del principado han advertido que los ciudadanos deben ser precavidos
ante cualquier anomalía en las vías de comunicación recibidas de los organismos
oficiales.

▪ Estafa de 100 millones de dólares a Facebook y Google. Un hombre lituano fue

acusado de un ataque de suplantación de identidad a través de correos electrónicos
contra Facebook y Google. Las empresas habían sido engañadas para transferir más
de 100 millones de dólares a las cuentas bancarias del presunto estafador.

2.6 Material adicional

▪ Protege tus Datos en Internet – Videos explicativos de cómo actuar en internet y en las
redes sociales y mantener a salvo tus datos a cargo de la Agencia Española de
Protección de Datos - https://www.aepd.es/videos/index.html

▪ Me han clonado perfil de Instagram y piden dinero por mis fotos

▪ Fraude al CEO, no debes fiarte ni de tu jefe

▪ EMT de Valencia sufre una estafa de cuatro millones de euros

© Structuralia 23
 Introducción a la ciberseguridad - La persona, el eslabón más débil

3. RANSOMWARE

3.1 ¿Qué es?

Un ransomware (del inglés ransom, «rescate», y ware, acortamiento de software) es un tipo de

programa dañino que restringe el acceso a determinadas partes o archivos del sistema
infectado, y pide un rescate a cambio de quitar esta restricción.

3.2 ¿Cómo funciona?

El atacante camufla el código malicioso dentro de otro archivo o programa apetecible para el
usuario que invite a hacer clic.

Archivos adjuntos en correos electrónicos, vídeos de páginas de dudoso origen,

actualizaciones de sistemas…

Luego, una vez que ha penetrado en el ordenador, el ransomware se activa y provoca el

bloqueo de todo el sistema operativo, lanza el mensaje de advertencia con la amenaza y el
importe del rescate que se ha de pagar para recuperar toda la información.

3.3 ¿Qué busca obtener?

El pago o acciones concretas que especifique el rescate solicitado.

3.4 ¿Cómo prevenir o protegerme?

▪ Nunca pagar el rescate que se solicita ya que no se tiene la certeza de recuperar

la información.

▪ Antivirus y sistemas de ciberseguridad actualizados.

▪ Utilizar software actualizado

▪ Usar software o políticas de seguridad para bloquear cargas útiles conocidas

▪ Mantener copias de seguridad offline en lugares inaccesibles para el ordenador

infectado

▪ Disminuir el uso de software pirata o no legal.

© Structuralia 24
 Introducción a la ciberseguridad - La persona, el eslabón más débil

▪ Tener diferentes cuentas para acceder al ordenador

3.5 Ejemplo

Primera hora de la mañana y te dispones a comenzar la jornada como de costumbre, y al

encender el ordenador te encuentras con una pantalla que no te deja proseguir y que tiene un
mensaje contundente “El ordenador está bloqueado por….” y un emisor con autoridad, la
policía estatal (ej.: Policía Nacional en España).

Figura 7. Ejemplo de pantalla rasomware3

Además, nos especifica concretamente el delito que estamos teóricamente cometiendo

además de la dirección IP, la compañía proveedora de Internet y hasta una fotografía captada
desde la cámara web (no en la foto seleccionada).

El bloqueo es total, ya que independientemente de intentar resetear y pulsar cualquier

combinación de teclas que se nos ocurra, el ordenador no supera dicha página.

© Structuralia 25
 Introducción a la ciberseguridad - La persona, el eslabón más débil

En la página se nos “invita” a solucionar este problema directamente pagando la

correspondiente multa, e incluso se nos da una forma fácil de pago.

Estamos ante un claro caso de ransomware, nos han secuestrado el ordenador y no podemos
proseguir hasta el pago de un rescate (disfrazado de pago de multa).

La complejidad tecnológica que acarrea esta modalidad de ataque requiere acciones rápidas y
de cambio de hábitos.

La primera acción a tomar es informar al departamento de ciberseguridad de su empresa

u organización y seguir sus instrucciones. Esta acción no puede demorar más de un instante
tras haber detectado nosotros el bloqueo, esto es necesario ya que se necesita a un experto
que nos indique si mantener el ordenador encendido puede propagar el virus e infectar a toda
la empresa. ¡¡En ningún momento pagar el rescate que nos piden!!

No hay nunca suficientes garantías que pagando el rescate se nos devolverá acceso al
ordenador y que este será totalmente como estaba antes del ataque.

El cambio de hábitos tiene su razón en que si hemos sido infectados seremos fácilmente
infectados de nuevo ya que muy probablemente hayan utilizado alguna vulnerabilidad en
nuestra forma de operar. Cambios que se suelen sugerir :

▪ Tener el software siempre actualizado.

▪ Descargar solo archivos que sean de lectura (documentos, PDF…) y no

ejecutables o ficheros comprimidos (zip, gzip…).

▪ No dejar aplicaciones abiertas cuando se ha terminado de trabajar con el

ordenador.

▪ Informarte y realizar acciones de mejora de seguridad informática.

3.6 Telefónica (Movistar) y Wannacry

Es tal la importancia del ransomware y su capacidad para propagarse y poner en jaque a

cualquier organización o a incluso a nosotros mismos que el caso práctico y real que veremos
en este curso será el que aconteció en Mayo de 2017 y que puso al mundo entero patas arriba.

© Structuralia 26
 Introducción a la ciberseguridad - La persona, el eslabón más débil

Durante la mañana del viernes 12 de Mayo de repente la dirección de Telefónica enviaba a

todo su personal a casa y con la directriz de no tocar ni encender ningún ordenador ni
dispositivo móvil bajo amenaza de repercusiones mayores, al mismo tiempo se desconectaban
diversos servicios que proporcionaba a empresas como las MacroLAN.

Las organizaciones y particulares que dependían de Telefónica (básicamente todo el mundo)

empiezan a ejecutar planes de contingencia avisados por la misma Telefónica que sus
servicios habían sido pirateados y no se sabía con exactitud el alcance de la misma.

Al mismo tiempo estos mensajes se propagaban por todas las empresas y el modo pánico se
apoderó de toda la industria española y latinoamericana, ¡El gran proveedor de servicios de
telefonía e internet ha sido pirateado!

¿Cómo nos afecta?

¿Qué podemos hacer?

¿Qué pasos debemos dar?

¿Estamos infectados?

¿Lo están nuestros clientes o proveedores?

¿Cómo continuamos nuestro servicio a nuestros clientes?

Estas son solo parte de las preguntas que se debieron contestar todas las empresas (o,
desafortunadamente, suponer para aquellas que no estaban preparadas).

En el ejercicio práctico que cierra este curso veremos con detalle lo que sucedió, como
protegernos y sobretodo como recuperar y seguir proveyendo nuestros servicios a nuestros
clientes de manera segura.

Como veremos este ataque no fue dirigido o en exclusiva a Telefónica, multitud de empresas y
hospitales (caso especial el de organizaciones sanitarias donde se almacenan multitud de
información sensible) en todo el mundo fueron víctimas de este ataque.

La anécdota de esta infección masiva reside en que la vulnerabilidad que explotaba este
ransonware (wannacry) ya había sido detectada y se podía evitar implementando
actualizaciones publicadas con meses de antelación, de ahí la importancia de tener siempre
el software actualizado a la última versión.

© Structuralia 27
 Introducción a la ciberseguridad - La persona, el eslabón más débil

3.7 La persona y el ransomware

Hasta ahora hemos visto el ransomware y sus efectos acotado al ámbito de una sola
organización. Hemos visto sus componentes tecnológicos y sus efectos pero todavía no hemos
respondido a las preguntas, ¿Cómo se infectaron estas organizaciones?, y, ¿Cómo se
pudo propagar por toda la organización tan rápidamente?

3.7.1. ¿Cómo se infectaron las organizaciones?

Para responder a esta pregunta es muy importante el punto 1 Phising, Vishing, Smishing,
angler phising y familiares, y nunca perder de vista que la Persona es el Eslabón más
Débil.

Los vectores de ataque de los ransomware suelen ser alguno de los tratados en el punto 1
siendo el Phising el más utilizado. En el caso de telefónica el software malicioso se descargó
desde un mail aparentemente lícito que solicitaba seguir un enlace a una página también a
primer aspecto lícita. Así pues, un usuario 0 de la organización fue engañado mediante
técnicas de hackeo social que forman parte del Phising y partir de ese momento el software
descargado empezó a expandirse, lo que nos lleva a…

3.7.2. ¿Cómo se pudo propagar por toda la organización tan rápidamente?

Una vez el software malicioso ha sido descargado y se ejecuta desde un ordenador

plenamente autorizado de la organización empieza a expandirse por toda la organización bien
aprovechando aquellos permisos que posee el usuario de dicha máquina (imagina el impacto si
fuera un usuario con privilegios) o bien utilizando las vulnerabilidades o escalado lateral que los
sistemas de información permiten por una ciberseguridad no plenamente implementada.

Este es solo un ejemplo de la importancia de la formación y concienciación en seguridad de la

información en las personas tanto de las organizaciones como cercanas a nosotros (familia,
amigos,…). Somos el objetivo de los cibercriminales y el punto más débil del sistema.

En el ejemplo final del curso veremos el examen forense y detallado de lo que pasó aquel 12
de Mayo de 2017.

© Structuralia 28
 Introducción a la ciberseguridad - La persona, el eslabón más débil

4. MALWARE Y FUGA DE DATOS

4.1 Malware

4.1.1. ¿Qué es?

Malware (del inglés malicious software), programa malicioso o programa maligno, también
llamado badware, código maligno, software malicioso, software dañino o software
malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una
computadora o sistema de información.

4.1.2. ¿Cómo funciona?

Debido a la gran variedad de malware (virus, troyanos,…) es muy difícil especificar un patrón
de comportamiento.

Sin embargo, para que un software malicioso pueda completar sus objetivos, es esencial que
permanezca oculto al usuario.

4.1.3. ¿Qué busca obtener?

Desde destruir archivos en disco duro o corromper el sistema de archivos escribiendo datos
inválidos, pasando por travesuras como dejar el alias del autor del malware en las páginas web
que infecta, hasta llegar a sofisticados métodos de tomar control de ordenadores para usos
fraudulentos.

4.1.4. ¿Cómo prevenir o protegerme?

▪ Protección a través del número de cliente y la del generador de claves dinámicas.

▪ Tener el sistema operativo y el navegador web actualizados.

▪ Tener instalado un antivirus y un firewall y configurarlos para que se actualicen

automáticamente de forma regular ya que cada día aparecen nuevas amenazas.

© Structuralia 29
 Introducción a la ciberseguridad - La persona, el eslabón más débil

▪ Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo
debe utilizarse cuando sea necesario cambiar la configuración o instalar un nuevo
software.

▪ Tener precaución al ejecutar software procedente de Internet o de medio extraíble como

CD o memorias USB. Es importante asegurarse de que proceden de algún sitio de
confianza.

▪ Una recomendación en tableta, teléfono celular y otros dispositivos móviles es instalar

aplicaciones de tiendas muy reconocidas como App Store, Google Play o Tienda
Windows, pues esto garantiza que no tendrán malware.Existe además, la posibilidad de
instalar un antivirus para este tipo de dispositivos.

▪ Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni

su procedencia.

▪ Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y

cookies solo en páginas web de confianza.

▪ Utilizar contraseñas de alta seguridad para evitar ataques de diccionario.

Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes

a medios extraíbles como CD, DVD o Disco duro externo, para poderlos recuperar en caso de
infección por parte de algún malware, pero solamente si se está 100% seguro que esas copias
están limpias

4.1.5. Ejemplo

▪ Virus y gusanos. El término virus informático se usa para designar un programa que, al
ejecutarse, se propaga infectando otro software ejecutable dentro de la misma
computadora. Los virus también pueden tener una carga útil que realice otras acciones
a menudo maliciosas, por ejemplo, borrar archivos.

Un gusano es un programa que se transmite a sí mismo, explotando vulnerabilidades en

una red de computadoras para infectar otros equipos. El principal objetivo es infectar a
la mayor cantidad posible de usuarios.

© Structuralia 30
 Introducción a la ciberseguridad - La persona, el eslabón más débil

▪ Puertas traseras (malware oculto). Una puerta trasera (en inglés, backdoor) es un
método para eludir los procedimientos habituales de autenticación al conectarse a una
computadora. Una vez que el sistema ha sido comprometido, puede instalarse este
artefacto para permitir un acceso remoto más fácil en el futuro.

▪ Drive-by download (malware oculto). O también descargas automáticas, son sitios

web que instalan spyware o códigos que dan información de los equipos sin que el
usuario se percate.

Se realiza de manera automática mediante herramientas que buscan en el sitio web

alguna vulnerabilidad. Una vez encontrada, insertan un script malicioso dentro del sitio
violado. Cuando un usuario visita el sitio infectado, este descargará dicho script en el
sistema del usuario, y a continuación se solicitarán nuevos scripts encargados de
comprobar si el equipo tiene alguna vulnerabilidad que pueda ser explotada, en cuyo
caso se descargará un malware.

▪ Rootkits (malware oculto). Modifican el sistema operativo de una computadora para

permitir que el malware permanezca oculto al usuario, ni sus procesos son visibles en la
lista de procesos del sistema ni sus ficheros en el explorador de archivos.

Uno de los rootkits más famosos fue el que la empresa Sony BMG Music Entertainment.
Secretamente incluyó, dentro de la protección anticopia de algunos CD de música, los
cuales modificaban a Windows para que no lo pudiera detectar y también resultar
indetectable por los programas antivirus y antispyware. Actuaba enviando información
sobre el cliente, además abrió la puerta a otros tipos de malware que pudieron infiltrarse
en las computadoras.

▪ Troyanos (malware oculto). A grandes rasgos, los troyanos son programas maliciosos
que están disfrazados como algo inocuo o atractivo que invitan al usuario a ejecutarlo
ocultando un software malicioso. Ese software, puede tener un efecto inmediato y
puede llevar muchas consecuencias indeseables, por ejemplo, borrar los archivos del
usuario o instalar más programas indeseables o maliciosos.

▪ Mostrar publicidad: spyware, adware y hijacking (malware para obtener

beneficios). Los programas spyware son creados para recopilar información sobre las
actividades realizadas por un usuario y distribuirla a agencias de publicidad u otras
organizaciones interesadas.

© Structuralia 31
 Introducción a la ciberseguridad - La persona, el eslabón más débil

Por otra parte los programas adware muestran publicidad al usuario de forma intrusiva
en forma de ventana emergente (pop-up) o de cualquier otra forma. Esta publicidad
aparece inesperadamente en el equipo y resulta muy molesta

Los hijackers son programas que realizan cambios en la configuración del navegador
web. Por ejemplo, algunos cambian la página de inicio del navegador por páginas web
de publicidad o página pornográfica, otros redireccionan los resultados de los
buscadores hacia anuncios de pago o páginas de phishing bancario.

▪ Robar información personal: keyloggers y stealers (malware para obtener

beneficios). Los keyloggers y los stealers son programas maliciosos creados para
robar información sensible. El creador puede obtener beneficios económicos o de otro
tipo a través de su uso o distribución en comunidades underground. La principal
diferencia entre ellos es la forma en la que recogen la información.

Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un
posterior envío al creador.

Los stealers también roban información privada pero solo la que se encuentra
guardada en el equipo.

▪ Ataques distribuidos: Botnets. Las botnets son redes de computadoras infectadas,

también llamadas “zombis”, que pueden ser controladas a la vez por un individuo y
realizan distintas tareas. Este tipo de redes son usadas para el envío masivo de spam o
para lanzar ataques DDoS contra organizaciones como forma de extorsión o para
impedir su correcto funcionamiento

4.2 Fuga de datos

4.2.1. ¿Qué es?

En seguridad de la información se entiende por fuga de datos o información una salida no

controlada de información que hace que esta llegue a personas no autorizadas o sobre la que
su responsable pierde el control.

© Structuralia 32
 Introducción a la ciberseguridad - La persona, el eslabón más débil

4.2.2. ¿Cómo funciona?

Ocurre cuando un sistema de información o proceso diseñado para restringir el acceso sólo a
sujetos autorizados revela parte de la información que procesa o transmite debido a errores en
los procedimientos de diseño o trabajo.

4.2.3. ¿Qué busca obtener?

Información confidencial o sensible de una empresa u organización para uso o beneficio

posterior.

4.2.4. ¿Cómo prevenir o protegerme?

▪ Clasificación de la información y de los privilegios de acceso a dicha información

(sensible, confidencial, pública…).

▪ Establecer los controles adecuados sobre la información una vez clasificada (ej.:
ninguna persona sin acreditación de jefe puede acceder a la información confidencial)

▪ Limitar en la medida de lo posible la utilización de soportes extraíbles para el transporte

o almacenamiento de información sensible.

▪ Cifrar la información en almacenamiento y en tránsito a través de redes no confiables

(internet).

▪ Implementar medidas de control de acceso físico y lógico a las instalaciones donde se

ubica la información, a la red, a la propia información y los sistemas que la soportan.

▪ Uso de herramientas DLP (Data Leak Prevention).

4.2.5. Ejemplo

Multitud de ejemplos podemos enunciar respecto a la fuga de datos, o cómo nuestra

información ha acabado en manos ilícitas, pese a lo que pueda parecer son más comunes y
más utilizadas de lo que sería recomendable desde un punto de vista de la seguridad de la
información:

© Structuralia 33
 Introducción a la ciberseguridad - La persona, el eslabón más débil

▪ Un protocolo de comunicación por Internet sin cifrar que sea interceptado por un
atacante puede ser fácilmente leído (ej.: WhatsApp hasta 2016). Cuando hablamos de
comunicación sin cifrar nos referimos a enviar la información en texto plano y
comprensible. Para una persona sin una formación tecnológica adecuada esto puede
resultar un tanto alejado y fuera de su campo de acción, a continuación explicaremos
los ejemplos más claros que nos podemos encontrarnos:

o Http, es el protocolo de transferencia de datos por internet, de hecho siempre

que abrimos nuestro explorador web iniciamos todas las direcciones con “http…”
para referiros a este protocolo. Http no está encriptado, esto quiere decir que
cualquier dato se transmite en texto plano, sin cifrar. Es decir, que cualquiera
que se conecte a tu red WiFi, o que tenga acceso a la comunicación entre tu
ordenador y el servidor (tu ISP, por ejemplo) puede ver todos los datos que
recibes y envías. Por ejemplo, podrían ver las contraseñas que usas para entrar
en tu correo, o realizar operaciones adicionales cuando navegas por la web de
tu banco.

Afortunadamente actualmente la mayoría de las páginas web ya son https

y ya están encriptadas. Es una buena práctica mirar en la barra de
direcciones que empiece por https (los navegadores más importantes
actuales nos informan siempre si la página que vamos a acceder es segura
o no).

o Mensajería instantánea, hasta el pasado 2016 el mayor servicio de mensajería

instantánea, WhatsApp, no ofrecía ningún tipo de seguridad en sus
comunicaciones. Es decir que cualquiera con acceso a la misma Wifi desde
donde estabas conectado podía leer tus mensajes. Esto supuso en su momento
un agujero donde había mucha fuga de información. Especialmente llamativa era
el procedimiento donde se ofrecían redes wifi gratuitas en aeropuertos y zonas
de concurridas de ciudades y los usuarios picaban en este anzuelo para
conectarse a internet de forma insegura y toda su información sea enviada a
otros lados. Afortunadamente, en estos días las principales plataformas de
mensajería ya son cifradas punto a punto y ya no ofrecen esta vulnerabilidad.

© Structuralia 34
 Introducción a la ciberseguridad - La persona, el eslabón más débil

▪ Dispositivos portátiles no cifrados, en este apartado encontraríamos desde laptops u

ordenadores portátiles, pasando por tablets, smartphones y cualquier dispositivo que
pueda almacenar y procesar información que podamos llevar con nosotros. La pérdida o
sustracción de dichos dispositivos puede constituir una fuga de información muy
importante para una organización o individuo. Cifrar el contenido de la información
almacenada en el disco duro de dichos dispositivos nos ayudará a evitar la fuga de
información ya que el contenido que puedan recuperar estará totalmente cifrado e
inservible para hechos maliciosos.

▪ Memorias externas sin encriptar, USB o discos duros no encriptados y que son
susceptibles de o bien ser perdidos o bien sustraídos. Estas memorias pueden llegar a
poseer información muy sensible y confidencial y el impacto tanto en el caso de pérdida
como de robo es muy significativo para una organización o individuo. Existen
encriptaciones del contenido o acceso mediante clave a dicha memoria que ayudan a
evitar la fuga de datos de dicha información (la pérdida del dispositivo es una pérdida
menor respecto a la de la información).

▪ Una carta con información confidencial enviada en un sobre sin mayor medida de
seguridad, puede ser abierta y leída por una persona no autorizada; este ejemplo no
estaría ligado a las nuevas tecnologías de la información pero por ello no deja de ser un
soporte válido y utilizado de envío de información, por ello se debe especificar las
condiciones de envío de información sensible por correo que posean seguridad extra
como por ejemplo un envío certificado o burofax.

▪ A partir de las emanaciones electromagnéticas que se producen en los cables de

datos por los que viaja la información, se puede reconstruir la información transmitida, si
bien se requieren técnicas complejas. Esta técnica se conoce como spoofing y durante
mucho tiempo fue una táctica muy utilizada para interceptar comunicaciones.
Actualmente con la comunicación cifrada hacen que esta técnica sea poco interesante.

▪ Actualmente la mayor fuga de datos se produce por correo electrónico, ya que es

fácilmente posible enviar cualquier documento o información a través de este medio. El
correo electrónico ofrece una rapidez y flexibilidad para conectar y enviar información
pero por otro lado no ofrece por defecto ningún medio de aplicación de seguridad sobre
el contenido de la misma. Ya sea por desconocimiento o por otros propósitos muy
fácilmente podremos enviar información sensible o confidencial mediante este medio.

© Structuralia 35
 Introducción a la ciberseguridad - La persona, el eslabón más débil

Afortunadamente cada vez los servicios de correo electrónico ofrecen capacidades de

implementación de políticas de seguridad respecto al contenido de la información y los
destinatarios, así como elementos como el CASB (Cloud Access Security Broker) nos
permiten implementar políticas de seguridad sobre nuestros envíos en la nube.

En todos los casos, estaremos hablando de una fuga de información.

© Structuralia 36
 Introducción a la ciberseguridad - La persona, el eslabón más débil

5. OTROS ATAQUES

5.1 Spear phishing

5.1.1. ¿Qué es?

El spear phishing es una estafa de correo electrónico o comunicaciones dirigida a personas,

organizaciones o empresas específicas. Aunque su objetivo a menudo es robar datos para
fines maliciosos, los cibercriminales también pueden tratar de instalar malware en la
computadora de la víctima.

5.1.2. ¿Cómo funciona?

Llega un correo electrónico, aparentemente de una fuente confiable, que dirige al destinatario
incauto a un sitio web falso con gran cantidad de malware. A menudo, estos correos
electrónicos utilizan tácticas inteligentes para captar la atención de las víctimas.

5.1.3. ¿Qué busca obtener?

Información confidencial o sensible de una empresa u organización para uso o beneficio

posterior. También pueden instalar aplicaciones dentro de la organización.

5.1.4. ¿Cómo prevenir o protegerme?

▪ Formación y Concienciación. A menudo las medidas de seguridad tradicionales no

bastan para detener estos ataques porque están personalizados de forma muy
inteligente. En consecuencia, se están volviendo más difíciles de detectar.

▪ El error de un empleado puede tener graves consecuencias para las empresas, los
gobiernos e incluso para organizaciones sin ánimo de lucro. Con datos robados, los
estafadores pueden revelar información sensible desde el punto de vista comercial,
manipular precios de acciones o cometer diversos actos de espionaje.

▪ Los ataques de spear phishing pueden implementar malware para secuestrar

computadoras y organizarlas en enormes redes llamadas botnets, que después se
pueden usar para lanzar ataques de denegación de servicio.

© Structuralia 37
 Introducción a la ciberseguridad - La persona, el eslabón más débil

5.1.5. Ejemplo

Multitud de ejemplos podemos encontrar respecto al spear phising, pero en esta ocasión
mostraremos un caso real que sucedió a uno de los instructores de esta formación.

Actualmente es relativamente fácil encontrar cuando una persona ha realizado un pedido

mediante comercio electrónico y está esperando a recibir la esperada compra.

▪ Al día siguiente de haber realizado una compra el instructor recibió los siguientes SMS

Como podemos observar en la imagen, desde un medio donde conocen un medio de

comunicación diferente del utilizado para la compra (web, e-mail) nos contactan. Esto a
priori es un método da confianza al interlocutor ya que el teléfono se debe haber
proporcionado durante el proceso de compra o en pasos posteriores una vez finalizada
la compra.

© Structuralia 38
 Introducción a la ciberseguridad - La persona, el eslabón más débil

El SMS es un medio utilizado actualmente por las organizaciones para actividades

serias y de validación de las personas (debido al coste de envío del mismo). En el
contenido de dicho SMS nos solicitan la instalación de una app en nuestro dispositivo
móvil que permita tener acceso a la trazabilidad del envío esperado (gancho).

▪ Procedemos a la descarga y a la instalación de la aplicación. En este caso al ser un

sistema Android la tienda desde la que se descarga ya nos indica que la app no está
firmada (¡Alerta!).

▪ Sin embargo, nuestro deseo e impulso es pensar que este pequeño error tecnológico no
tiene nada que ver con la teórica empresa emisora que sí que es en confianza. Tras la
descarga de la app se procede a la instalación de la misma en nuestro dispositivo con
los siguientes avisos

Como se desprenden de la imagen el sistema operativo del dispositivo móvil nos está
solicitando permiso expreso al usuario y propietario del dispositivo que :

o Leer registro de llamadas

o Leer y enviar SMS

© Structuralia 39
 Introducción a la ciberseguridad - La persona, el eslabón más débil

o Leer tu libreta de contactos

o Leer estado del teléfono

o Mantenerse activa en segundo plano

o Desactivar optimizaciones de batería

o Leer todo el contenido de tu pantalla y las aplicaciones en ejecución

o Ver que aplicaciones tiene instaladas el usuario

o Desinstalar aplicaciones en nombre del usuario

o Leer datos del portapapeles

▪ Como podemos ver, la app es capaz de escribir, enviar y recibir SMS, acceder a
nuestros contactos, realizar llamadas, conectarse a internet y funcionar en segundo
plano de forma constante.

▪ Es capaz de actualizarse por sí mismo, mediante la ejecución de código dinámico

descargado desde internet.

▪ La app es capaz tanto de leer nuestras contraseñas como de acceder a nuestros

mensajes, por lo que sería posible que leyese nuestro DNI en uno de ellos y tratase de
iniciar sesión verificando cuenta en otro dispositivo.

▪ Una vez llegado a este punto el riesgo de instalar la app solicitada para nuestro envío
deseado se antoja demasiado arriesgada ya que pone tanto los datos personales del
instructor como el dispositivo y todas sus posibles aplicaciones quedan en peligro de ser
utilizadas por un software no firmado y de dudosa reputación.

▪ El ataque siguió durante unas semanas más esperando a que la insistencia consiguiera
que se instalara.

© Structuralia 40
 Introducción a la ciberseguridad - La persona, el eslabón más débil

5.2 Cryptojacking

5.2.1. ¿Qué es?

El cryptojacking (también denominado minería de criptomonedas maliciosa) es una amenaza

emergente de Internet que se oculta en un ordenador o en un dispositivo móvil, y utiliza los
recursos de la máquina para “extraer” diversas formas de monedas digitales conocidas como
criptomonedas. Es una amenaza floreciente que puede apoderarse de navegadores web, así
como comprometer todo tipo de dispositivos, desde ordenadores de escritorio y portátiles
hasta teléfonos inteligentes e incluso servidores de red.

© Structuralia 41
 Introducción a la ciberseguridad - La persona, el eslabón más débil

5.2.2. ¿Cómo funciona?

En lugar de construir un ordenador dedicado a la minería, los hackers utilizan el cryptojacking

para robar los recursos informáticos de los dispositivos de sus víctimas. Cuando se suman
todos estos recursos, los hackers pueden competir con operaciones sofisticadas de minería
de criptomonedas sin incurrir en unos gastos operativos caros.

Uno de los métodos funciona como el malware clásico. El usuario hace clic en un enlace
malicioso en un correo electrónico que carga código de minería de criptomonedas directamente
en el ordenador.

5.2.3. ¿Qué busca obtener?

Utilización fraudulenta de nuestros recursos para la generación y minado de criptomonedas y

llevarse el atacante el valor generado por los recursos ajenos.

5.2.4. ¿Cómo prevenir o protegerme?

Tanto si ha sufrido un ataque de cryptojacking localmente en su sistema como si ha sido a

través del navegador, puede ser difícil detectar la intrusión de forma manual después del
hecho. Del mismo modo, averiguar el origen del uso de la CPU puede ser complejo. Los
procesos pueden ocultarse o enmascararse como legítimos para impedir que el usuario
detenga el mal uso. Otra ventaja para los cryptojackers es el hecho de que, cuando su
ordenador funciona a máxima capacidad, la protección se ejecutará muy lentamente y, por lo
tanto, será más difícil resolver el problema. Al igual que ocurre con las precauciones contra el
malware, es mucho mejor instalar la seguridad antes de convertirse en víctima.

▪ Tener un antivirus o EDR (Endpoint Detection Response3) actualizado y con las firmas y
las APT4 bien ajustadas.

▪ Utilización de programas especializados, como “No Coin” y “MinerBlock”, que bloquean

las actividades de minería en los navegadores más comunes. Los dos tienen
extensiones para Chrome, Firefox y Opera. Las versiones más recientes de Opera
incluso tienen No Coin integrado.

3 Sistemas EDR - https://www.incibe.es/protege-tu-empresa/blog/sistemas-edr-son-y-ayudan-proteger-

seguridad-tu-empresa
4 Amenaza persistente avanzada, APT - https://es.wikipedia.org/wiki/Amenaza_persistente_avanzada

© Structuralia 42
 Introducción a la ciberseguridad - La persona, el eslabón más débil

5.2.5. Ejemplo

▪ ¿Qué son las criptomonedas?

Las criptomonedas son un tipo de dinero digital que existe solo en el mundo digital, sin
una forma física. Se crearon como una alternativa al dinero tradicional y se hicieron
populares por su diseño avanzado, su potencial de crecimiento y su anonimato. Una de
las primeras formas de criptomoneda, y de más éxito, el bitcoin, surgió en 2009. En
diciembre de 2017, el valor de un solo bitcoin alcanzó su máximo histórico, casi 20 000
USD, después cayó por debajo de los 10 000 USD. El éxito del bitcoin inspiró la
creación de otras criptomonedas que operan más o menos de la misma manera. Antes
de que haya pasado una década desde su invención, personas de todo el mundo
utilizan criptomonedas para comprar y vender cosas o hacer inversiones.

La palabra “criptomoneda” viene de la combinación de otros dos términos, “criptografía”

y “moneda”. Se define como dinero electrónico basado en los principios del cifrado
matemático complejo. Todas las criptomonedas existen como unidades monetarias
descentralizadas y cifradas que pueden transferirse libremente entre los participantes
de la red. Dicho de otra manera, una criptomoneda es electricidad convertida en líneas
de código que tienen un valor monetario.

Las unidades de criptomoneda (llamadas “coins”) no son más que entradas en una
base de datos. Para realizar una transacción que modifica la base de datos, tienen que
cumplirse ciertas condiciones. Piense en cómo hace el seguimiento de los movimientos
de su cuenta bancaria. Cada vez que autoriza transferencias, retiradas de efectivo o
depósitos, la base de datos del banco se actualiza con las nuevas transacciones. Las
criptomonedas funcionan de forma similar, pero con una base de datos descentralizada.

▪ Infección malware

Los cryptojackers tienen más de una manera de aprovecharse de los ordenadores de

otros usuarios. Uno de los métodos funciona como el malware clásico. El usuario hace
clic en un enlace malicioso en un correo electrónico que carga código de minería de
criptomonedas directamente en el ordenador. Una vez infectado el ordenador, el
cryptojacker comienza a trabajar a todas horas para extraer criptomonedas,
manteniéndose oculto en segundo plano. Como reside en el PC, es local, lo que
significa que es una amenaza persistente que ha infectado el propio ordenador.

© Structuralia 43
 Introducción a la ciberseguridad - La persona, el eslabón más débil

▪ Infección fortuita

Al igual que los exploits de publicidad maliciosa, el plan implica la incrustación de un

fragmento de código de JavaScript en una página web. Después, realiza la minería de
criptomonedas en las máquinas de los usuarios que visitan esa página.

En los primeros casos de minería de criptomonedas fortuita, los editores web se

apuntaron a la fiebre del bitcoin en un intento por complementar sus ingresos y
monetizar el tráfico de sus sitios; pedían permiso abiertamente a los visitantes para
extraer criptomonedas mientras estaban en sus sitios. Lo planteaban como un
intercambio justo: usted obtiene contenido gratuito mientras ellos utilizan su ordenador
para la minería. Si se encuentra, por ejemplo, en un sitio de juegos, probablemente
permanecerá en la página durante algún tiempo mientras el código de JavaScript extrae
coins. Después, cuando sale del sitio, la minería de criptomonedas se cierra y libera su
ordenador. En teoría, no es tan malo, siempre que el sitio sea transparente y honesto
acerca de lo que está haciendo, pero es difícil asegurarse de que los sitios jueguen
limpio.

6. REFERENCIAS
▪ 1
Página oficial de la GDPR - The EU General Data Protection Regulation:
https://eugdpr.org/.

▪ 2
Página oficial de la HIPAA - Health Insurance Portability and Accountability Act:
https://www.hhs.gov/hipaa/index.html)ç

▪ ¡Error! No se encuentra el origen de la referencia. Fuente InfoSpyware:

https://www.facebook.com/InfoSpyware/photos/a.10150701007374077/1015119559167
9077/?type=3&theater

© Structuralia 44