TEMA 40

CIBERDELINCUENCIA
1. CIBERDELINCUENCIA Y AGENTES DE LA AMENAZA

PREGUNTAS EN LAS ÚLTIMAS CONVOCATORIAS:

EB33 2 Preguntas

EB34 1 Pregunta

EB35 2 Preguntas

EB36 3 Preguntas

EB37 1 Preguntas
 POLICÍA NACIONAL - TOMO III
TEMA 40: CIBERDELINCUENCIA

1. CIBERDELINCUENCIA Y AGENTES DE LA AMENAZA

1.1

El perfeccionamiento de las TICS (Tecnologías de la Información y la Comunicación) ha propiciado

la aparición de una delincuencia ligada íntimamente a su utilización, que encuentra dentro
de las nuevas tecnologías y concretamente en la informática un nuevo método con el que
realizar la actividad criminal tradicional, e incluso la creación de nuevas técnicas delictivas
en las que la informática no solo es el medio, sino también el fin mismo del delito.

La criminalidad informática posee un gran alcance y puede esconder delitos tradicionales,

como delitos contra la propiedad, contra la intimidad, contra la libertad e indemnidad sexual,
etc. En los cuales los ordenadores y las redes han sido utilizados como medio para cometer
el delito en sí mismo.

El empleo de términos como ciberdelincuencia, delincuencia informática, cibercriminalidad,

delitos informáticos, etc., se ha convertido en una constante en nuestra sociedad actual.
El nacimiento y la rápida difusión de las redes informáticas, están propiciando que la
ciberdelincuencia sea uno de los ámbitos delictivos con más rápido crecimiento.

La rapidez, el anonimato, la comodidad y la amplitud de alcance que facilitan las nuevas

tecnologías, hacen que los delincuentes aprovechen las mismas para llevar a cabo diversas
actividades delictivas, tanto tradicionales aprovechando los nuevos medios, como otras
nuevas nacidas dentro de este ámbito.

La ciberdelincuencia consiste en la comisión de actividades delictivas que se llevan a cabo a

través de medios tecnológicos. Los ciberdelincuentes atacan a personas, empresas, entidades
de distintos tipos y gobiernos con diferentes objetivos:

– Destruir o dañar sus sistemas informáticos y conexiones: normalmente para realizar

un uso fraudulento de esos medios tecnológicos y acceder a las carteras de datos
personales o confidenciales, incluso realizar una estafa económica.

– Llevar a cabo delitos comunes a través de estos medios para atacar a las personas
directamente y para cometer multitud de delitos a través del espacio virtual.

@Of ipolESP | 191

 CENTRO DE ESTUDIOS OFIPOL
OFIPOL.COM

Tipos de ciberdelincuencia:

– Ciberdelincuencia pura o contra la seguridad: aquellos actos dirigidos contra sistemas

informáticos de particulares, empresas o gobiernos con el objetivo de vulnerar la
integridad del sistema y la confidencialidad de los datos que se almacenan y gestionan.

– Ciberdelincuencia clásica: aquellos ataques que se sirven de medios digitales para

cometer delitos tradicionales, como la estafa, amenazas, acoso, extorsión, fraude, venta
de productos falsos, entre otros.

Dentro de estas categorías, los ciberdelitos que se cometen con más frecuencia son:

1. Estafas informáticas de suplantación de identidad para robar datos personales, como

el phising o el carding.

2. Daños informáticos, como el borrado de bases de datos, interferencias en los sistemas

para impedir el normal funcionamiento…

3. Delitos contra la intimidad, como el robo de datos o imágenes para su filtración.

4. Defraudar a las empresas de telecomunicaciones al colgarse de la red eléctrica o la

conexión a internet de un tercero, por ejemplo.

Los delitos informáticos o ciberdelitos son aquellas acciones, típicas, antijurídicas, culpables
y punibles, que se dan por vías informáticas o que tienen como objetivo destruir, dañar o
controlar ilegítimamente ordenadores, medios electrónicos y redes informáticas.

1.2 AGENTES DE LA AMENAZA

Los agentes de la amenaza los podemos definir como entidad humana o no humana, que
realiza alguna acción, como identificar y explotar una vulnerabilidad, que da lugar a algún
resultado inesperado y no deseado, es decir, pérdida, modificación o divulgación de
información, o pérdida de acceso a la información. Estos resultados tienen impactos negativos
en la organización.

En las últimas ediciones de los informes emitidos por el CCN-CERT se han identificado los
objetivos de los principales agentes de la amenaza. El número de agentes de las amenazas
ha aumentado significativamente debido, en parte, al fácil acceso a nuevas herramientas
de ataque y a la dificultad permanente para probar la autoría. Además, cada vez es más
frecuente que distintos tipos de actores usen las mismas herramientas.

– Los Estados: Se ha evidenciado un incremento en el uso de código dañino por parte de

los Estados, dirigido a explotar vulnerabilidades de los sistemas de información de las
Infraestructuras Críticas.

Frecuentemente, el objetivo de tales ataques ha sido obtener información sobre el

grado de implantación de las medidas de seguridad de las organizaciones, al objeto
de poseer datos suficientes que les permita planificar ataques futuros. Esta actividad
se ha detectado, especialmente, contra objetivos europeos. Además de ello, se sigue
empleando el spearphishing para ciberespionaje.

– Los ciberdelincuentes: continúan siendo uno de los grupos de agentes de las amenazas
más activos, con más del 80% de la actividad dañina.

192 | @Of ipolESP

 POLICÍA NACIONAL - TOMO III
TEMA 40: CIBERDELINCUENCIA

– Ciberterrorismo y Ciberyihadismo: La monetización, la propaganda y el reclutamiento

son los objetivos principales de este grupo de agentes de las amenazas, que aún
mantiene bajas capacidades de acción. No obstante, dada la disponibilidad del Crime-
as-a-Service y el potencial para reclutar elementos humanos, los análisis internacionales
muestran que el ciberterrorismo aumentará significativamente en los próximos años.

– Los hacktivistas: siguen activos en la divulgación de información confidencial recabada

en los sitios web atacados, en el desarrollo de acciones DDoS y en la desfiguración de
páginas web.

– Actores internos: A este grupo, también conocido como insiders, se le atribuyen

alrededor del 25% de los incidentes.
1.2.1

Se puede definir una botnet como un conjunto o red de robots informáticos o bots, que
se ejecutan de manera autónoma y automática. La palabra botnet es la combinación de
los términos ingleses “robot” y “network”. Es decir, se trata de un conjunto de dispositivos
conectados a Internet (ordenadores personales, servidores, dispositivos móviles, etc.)
infectados y controlados por un malware. Detrás de los botnets suelen estar personas u
organizaciones que pueden controlar todos los ordenadores/servidores infectados de forma
remota.

En los sistemas Windows o MacOS la forma más habitual de expansión de los “bots” suele
ser la distribución de software ilícito. Este tipo de software suele contener malware el cual,
una vez el programa se ejecuta, puede escanear la red de área local donde se encuentra e
intentar propagarse usando vulnerabilidades conocidas de Windows, etc.

En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores
para construir y expandir una botnet es por telnet o SSH por medio del sistema prueba-error:
probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de
forma sistemática (método denominado de fuerza bruta) o bien mediante ataques a bugs muy
conocidos, que los administradores pueden haber dejado sin solucionar.

Entre los usos más comunes de estas botnet están:

@Of ipolESP | 193

 CENTRO DE ESTUDIOS OFIPOL
OFIPOL.COM

1.2.2

Los BEC o Business Email Compromise son un tipo de estafa dirigida a empresas que realizan
transferencias electrónicas y tienen proveedores sobre todo en el extranjero. De acuerdo
con Trend Micro se trata de correos en los que los cibercriminales buscan engañar a los
usuarios para que les envíen dinero (generalmente a través de criptomonedas) o información
empresarial y/o personal de carácter confidencial.

A diferencia de los ataques de phishing tradicionales, los BEC son dirigidos y diseñados para
cada víctima (Spear Phishing). En la mayoría de las ocasiones los ciberdelincuentes estudian
las últimas noticias de las empresas e investigan las redes sociales de los empleados para
hacer que el ataque sea lo más convincente posible. Este nivel de personalización es la gran
diferencia con el sistema de phishing conocido hasta el momento.

Entre este tipo de ataques, cabe destacar, lo que se conoce como CEO Fraud o Fraude del
CEO, en el que los atacantes se hacen pasar por el CEO de la empresa o cualquier otro
ejecutivo de la misma que tenga autoridad para autorizar transferencias y envían un correo
electrónico a los empleados de finanzas, solicitándoles que transfieran dinero a una cuenta
que tienen en su poder.

1.2.3 CARTAS NIGERIANAS

La estafa nigeriana, timo nigeriano o timo 419, se lleva a cabo principalmente a través de
correo electrónico no solicitado. Si bien Nigeria es la nación a la que más a menudo se hace
referencia en estas estafas, éstas también se originan en otras naciones.

Esta estafa consiste en ilusionar a la víctima con una fortuna inexistente y persuadirla para
que pague una suma de dinero por adelantado, como condición para acceder a la supuesta
fortuna. Las sumas solicitadas son bastante elevadas, pero insignificantes comparadas con la
fortuna que las víctimas esperan recibir.
Existen numerosas variantes de la estafa. Las más comunes son:
– Una herencia vacante que la víctima adquirirá.
– Una cuenta bancaria abandonada.
– Una lotería que la víctima ha ganado.

194 | @Of ipolESP

 POLICÍA NACIONAL - TOMO III
TEMA 40: CIBERDELINCUENCIA

– Un contrato de obra pública.

– Una gran fortuna que alguien desea donar generosamente antes de morir.
Los timadores enviarán algunos documentos con sellos y firmas con aspecto oficial,
normalmente imágenes como archivos adjuntos en mensajes de correo electrónico.

A medida que prosiga el intercambio, se pide a la víctima que envíe dinero, con la excusa de
supuestos honorarios, gastos, sobornos, impuestos o comisiones. Se va creando una sucesión
de excusas de todo tipo, pero siempre se mantiene la promesa del traspaso de una cantidad
millonaria.
1.2.4

Para entender este tipo delictivo debemos hacer una breve referencia a las “criptomonedas”.
La palabra “criptomoneda” viene de la combinación de otros dos términos, “criptografía” y
“moneda”. Se define como dinero electrónico basado en los principios del cifrado matemático
complejo. Todas las criptomonedas existen como unidades monetarias descentralizadas y
cifradas que pueden transferirse libremente entre los participantes de la red. Dicho de otra
manera, una criptomoneda es electricidad convertida en líneas de código que tienen un valor
monetario.

El cryptojacking (también denominado minería de criptomonedas maliciosa) es una amenaza

emergente de Internet que se oculta en un ordenador o en un dispositivo móvil, y utiliza
los recursos de la máquina para “extraer” diversas formas de monedas digitales conocidas como
criptomonedas.

El cryptojacking es un tipo de ciberdelito que consiste en el uso de manera oculta de la

“potencia” de los ordenadores infectados para generar criptomoneda.

Esto suele ocurrir cuando, sin darse cuenta (por ejemplo, a través de un correo electrónico o al visitar
un sitio web infectado), un usuario instala un malware que permiten al ciberdelincuente acceder
al dispositivo de la víctima que esté conectado a Internet. A continuación los ciberdelincuentes
utilizan programas llamados “mineros de monedas” para generar o extraer criptodivisas.

Al tratarse de divisas digitales, para crearlas solo es necesario disponer de programas informáticos
y de la potencia de los ordenadores. Las criptomonedas que más solemos ver extraídas a partir
de ordenadores personales infectados son las llamadas Monero.
DENEGACIÓN DE SERVICIO

Un ataque de denegación de servicio tiene como objetivo inhabilitar el uso de un sistema,

una aplicación o una máquina, con el fin de bloquear el servicio para el que está destinado.
Este ataque puede afectar, tanto a la fuente que ofrece la información como a la propia red
informática.

Los servidores web poseen la capacidad de resolver un número determinado de peticiones

o conexiones de usuarios de forma simultánea, en caso de superar ese número, el servidor
comienza a ralentizarse o incluso puede llegar a no ofrecer respuesta a las peticiones o
directamente bloquearse y desconectarse de la red.

Existen dos técnicas de este tipo de ataques: la denegación de servicio o DoS (Denial of
Service) y la denegación de servicio distribuido o DDoS (Distributed Denial of Service). La
diferencia entre ambos es el número de ordenadores o IP´s que realizan el ataque.

@Of ipolESP | 195

 CENTRO DE ESTUDIOS OFIPOL
OFIPOL.COM

En los ataques DoS se generan una cantidad masiva de peticiones al servicio desde una
misma máquina o dirección IP, consumiendo así los recursos que ofrece el servicio hasta que
llega un momento en que no tiene capacidad de respuesta y comienza a rechazar peticiones,
esto es cuando se materializa la denegación del servicio.

En el caso de los ataques DDoS, se realizan peticiones o conexiones empleando un gran

número de ordenadores o direcciones IP. Estas peticiones se realizan todas al mismo tiempo
y hacia el mismo servicio objeto del ataque. Un ataque DDoS es más difícil de detectar, ya
que el número de peticiones proviene desde diferentes IP´s y el administrador no puede
bloquear la IP que está realizando las peticiones, como sí ocurre en el ataque DoS.

Los ordenadores que realizan el ataque DDoS son reclutados mediante la infección de un
malware, convirtiéndose así en bots o zombis, capaces de ser controlados de forma remota
por un ciberdelincuente. Como ya se ha comentado con anterioridad, un conjunto de bots,
es decir, de ordenadores infectados por el mismo malware, forman una botnet o también
conocida como red zombi. Obviamente, esta red tiene mayor capacidad para derribar
servidores que un ataque realizado por sólo una máquina.

Ejemplo de ataque de DDos

1.2.6 INGENIERÍA SOCIAL

La ingeniería social implica la manipulación para obtener información confidencial, como podrían
ser datos personales o financieros utilizando para ello sistemas o herramientas informáticas,
por tanto, la ingeniería social también puede definirse como un tipo de ciberdelito.
La ingeniería social se aprovecha de los sesgos cognitivos de las personas, que son como
fallos en el hardware humano. Por desgracia para los seres humanos, hay muchos sesgos
cognitivos que las personas malintencionadas pueden aprovechar para obtener datos
personales y financieros de las víctimas. Por ejemplo, la tendencia humana de confiar en
personas percibidas como amables, atractivas o con alguna autoridad puede usarse en su
contra en ataques de ingeniería social.
Además, las técnicas de ingeniería social aprovechan esta tendencia a la confianza en los
demás. Actualmente un ejemplo real son las estafas de phishing en alquileres vacacionales,
donde los ciberdelincuentes se hacen pasar por los caseros que ofrecen alquileres reales. En

196 | @Of ipolESP

 POLICÍA NACIONAL - TOMO III
TEMA 40: CIBERDELINCUENCIA

muchos casos, se suplantaron los datos de contacto y las direcciones de correo electrónico
de los caseros reales, de modo que las víctimas tenían pocos motivos para pensar que no
estaban hablando del alquiler con el propietario real.
La ingeniería social puede ocurrir en persona, por teléfono o en Internet. Actualmente, la
ingeniería social tiene un mayor impacto a través de Internet, a menudo mediante ataques
de correo electrónico o incluso estafas en redes sociales, en las que los atacantes fingen ser
un contacto de confianza o una figura de autoridad para manipular a las personas y conseguir
sus datos confidenciales.
Además, las redes sociales han ayudado a los ingenieros sociales a ser más habilidosos,
creando perfiles falsos que parecen ser reales, o incluso suplantando a personas reales.
Ejemplos de ataques a través de métodos de ingeniería social podrían ser:
– Pretexting: es la base de cualquier ataque de ingeniería social. Consiste en crear elaborar
un escenario o historia ficticia, donde el atacante tratará que la víctima comparta
información que, en circunstancias normales, no revelaría.
– Spam en el correo electrónico.
– Phishing, Vishing, Smishing o Spear phishing.
– Baiting: el baiting se refiere al caso en el que un atacante deja un dispositivo infectado
con malware (por ejemplo, una unidad USB) en algún lugar fácil de encontrar. Estos
dispositivos suelen tener etiquetas provocativas para crear curiosidad.
INYECCIÓN SQL

SQL (Structured Query Language) es un lenguaje que permite interactuar con las bases de
datos. Las aplicaciones web modernas usan bases de datos para administrar datos y mostrar
contenido dinámico a sus usuarios, siendo SQL el lenguaje más utilizado.

La inyección SQL, SQL Injection o, simplemente SQLi, es un ataque a una aplicación web que
trata de comprometer su base de datos a través de inyecciones de código SQL maliciosas.
Es decir, es un método que se aprovecha de errores que existen en aplicaciones web. Son
básicamente vulnerabilidades que permiten a un posible intruso inyectar código malicioso
para llevar a cabo sus ataques y comprometer la seguridad y privacidad de los usuarios. Lo que
buscan es obtener acceso a datos sensibles almacenados en la base de datos o su destrucción.
1.2.8 MALWARE

El malware es la denominación general que se le da a un programa informático cuya principal

característica es que se ejecuta sin el conocimiento ni autorización del propietario o usuario del
equipo infectado y realiza funciones en el sistema que son perjudiciales para el usuario y/o
para el sistema.

@Of ipolESP | 197

 CENTRO DE ESTUDIOS OFIPOL
OFIPOL.COM

El malware se desarrolla principalmente con tres objetivos: robo de información, secuestro

del equipo o de los datos del sistema, y “reclutamiento” para una red de bots, siendo la vía
más común de entrada del malware en todas sus variantes el correo electrónico.
PHARMING

El pharming es un ciberataque que consiste en redireccionar el tráfico web de una página

legítima hacia otra página falsa.

Mediante esta técnica, el atacante consigue que, cuando abramos nuestro navegador web y
escribamos el nombre de una página, en éste aparezca la web falsa que el atacante haya decidido.

Este fraude está directamente relacionado con el phishing (el cual veremos más adelante),
ya que ambos utilizan la ingeniería social para conseguir información valiosa sobre nosotros.
Otro aspecto en común es que suelen suplantar a páginas de comercio electrónico o de
banca online, aunque también se han identificado casos de suplantación de redes sociales y
otro tipo de portales.

Las páginas web falsas a las que el atacante nos conduce tienen una apariencia y funcionalidad
muy similar a la original, y su objetivo es intentar conseguir que introduzcamos nuestras
credenciales de acceso.

La técnica del pharming se puede llevar a cabo de tres formas: por medio de cambiar las
direcciones IP que están asociadas a los dominios que quieren suplantar en los Servidores
de nombres de Dominio “DNS – Poisoning”, atacando el fichero hosts “Pharming Local”
(localizado en todos los ordenadores y también encargado de realizar una tarea similar al
DNS) o atacando al propio router y cambiándole el direccionamiento a los DNS “Drive By
Pharming”.
PHISHING

El phishing es una técnica que consiste en el envío de un correo electrónico por parte de un
ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución
pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o
infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas
en el correo electrónico.
El principal medio de propagación del phishing
es el correo electrónico, pero que sea el
método más utilizado no implica que sea el
único. También pueden utilizarse otros
medios como redes sociales, sistemas de
mensajería instantánea, etc. Por cualquiera
de estas vías es muy sencillo enviar un
mensaje que contenga un enlace que nos
redirija a un sitio fraudulento.

Los ciberdelincuentes que ponen en

circulación el phishing, utilizan la ingeniería social para intentar obtener nuestra información
privada. Captan nuestra atención con alguna excusa con el fin de redirigirnos a páginas web
fraudulentas que simulan ser las legítimas de un determinado servicio o empresa. Cualquier
sistema que permita el envío de mensajes puede ser usado como medio para intentar robar
nuestra información personal.

198 | @Of ipolESP

 POLICÍA NACIONAL - TOMO III
TEMA 40: CIBERDELINCUENCIA

Tipos de Phishing:

– VISHING: su finalidad es la misma, conseguir información confidencial o sensible de

una empresa o un particular para después pedir un rescate económico, el vishing actúa
mediante llamadas telefónicas. Este es un método mejorado y más sofisticado, puesto
que es capaz de imitar a la perfección la voz de un alto mando o persona respetable,
para que así no dudes de su veracidad.

– SMISHING: estos ataques son lanzados a través de mensajes SMS. Aunque ya casi
nadie utiliza este método de mensajería, muchas empresas como entidades bancarias,
lo utilizan para mandar notificaciones a sus usuarios.

El Smishing consiste en mandar un mensaje suplantando la identidad del remitente que

puede ser una empresa reconocida, para que abras algún enlace y conseguir así, tus
datos bancarios.

– QRISHING: se trata de códigos QR modificados de forma maliciosa. De esta manera,

cuando lees este código mediante tu teléfono móvil, automáticamente es infectado por
el malware al que lleva el QR. De esta manera, los ciberdelincuentes pueden acceder a
tus datos.
1.2.11 SPEAR PHISHING

El Spear Phishing (Phishing dirigido) no es muy diferente del phishing con la diferencia
que esta vez, el correo electrónico (mensaje) es personalizado, es decir, va dirigido al emisor
exclusivamente, puesto que lleva su nombre. Se ha obtenido información previa de la persona
a la que se va a tratar estafar, lo que hará que se trate de un ataque muy difícil de detectar
por las víctimas. Cuando algo es personalizado hay mayor posibilidad de que se abra o llame
más la atención del emisor.

Fases de un ataque:

1. Elección del objetivo. Normalmente, empresa u organización.

2. Análisis del objetivo. Se recopila la mayor información posible del objetivo.

3. Crear mails falsos y personalizados con la información recopilada.

4. Envío de mails. Los cuales redirigen a sitios falsos o instalan malware en los equipos de
la víctima.
1.2.12 RANSOMWARE

El ransomware es un tipo de malware que

toma por completo el control del equipo
bloqueando o cifrando la información del
usuario para, a continuación, pedir dinero a
cambio de liberar o descifrar los ficheros del
dispositivo (generalmente afecta a archivos
importantes para el usuario como
documentos, fotografías, vídeos, etc.).

@Of ipolESP | 199

 CENTRO DE ESTUDIOS OFIPOL
OFIPOL.COM

Generalmente tras la instalación de ese malware, se ejecuta de forma automática la

encriptación o bloqueo. La víctima posteriormente recibirá un mensaje que indica que ya
no podrá acceder a sus archivos e informaciones a no ser que realice un pago para que
se le proporcione un código que permitirá la desencriptación y posterior lectura de los
mismos. Un caso conocido fue el del “virus de la policía”. Generalmente ese pago se solicitará
en criptomonedas para intentar evitar el rastreo de ese dinero por parte de los agentes
encargados de su investigación. Uno de los ejemplos que más repercusión ha tenido en los
últimos años ha sido el de WannaCry, ataque de ransomware que consiguió infectar a más de
230.000 equipos en más de 150 países.
1.2.13

El skimming es un tipo de
fraude que consiste en el
clonado de la banda magnética
de una tarjeta de crédito. Entre
los procedimientos más
utilizados está el doble frontal
en los cajeros automáticos
(cada vez más en desuso) y la
copia en comercios por
personal malicioso cuando este
va a realizar un cobro fuera de
la vista de su propietario. La
herramienta encargada de esa
lectura de la banda magnética
se denomina skimmer.
El Carding, es muy similar al Skimming, pero en este caso el fraude consiste en acceder de
forma ilegal a los datos de las tarjetas de crédito y débito (numeración, titular, caducidad y el
CVV). Para esto los ciberdelincuentes utilizan software que prueba diferentes combinaciones
o bien se hacen con los datos una tarjeta de crédito para posteriormente realizar compras de
artículos en Internet, o para pagar servicios de streaming y apps.
1.2.14 SPOOFING

El spoofing, o suplantación, consiste en el empleo de una serie de técnicas de hacking

utilizadas de forma maliciosa para suplantar la identidad de una web, entidad o una persona en
la red, con el objetivo de obtener información privada sobre nosotros. Principalmente suelen
hacerse con nuestras credenciales para luego tener acceso ilimitado a nuestros datos.
Esta técnica requiere de tres partes:
– El atacante,
– La víctima, y
– El sistema o entidad virtual que es falsificado para que la víctima ingrese sus datos de
acceso pensando que es el sitio web legítimo.
Tipos de Spoofing:
– Spoofing de página web: Consiste en la suplantación de una página web real por otra
falsa con el fin de realizar una acción fraudulenta. La web falsa copia el diseño de la
original, llegando incluso a utilizar una URL similar.

200 | @Of ipolESP

 POLICÍA NACIONAL - TOMO III
TEMA 40: CIBERDELINCUENCIA

Es uno de los tipos de suplantación más popular. A modo aclaratorio, el phishing es la

técnica con la cual el ciberdelincuente engaña al usuario para que haga clic en la web
fraudulenta.

Ejemplo: recibimos supuestamente un SMS de una famosa web para ver películas y series
que nos informa de una oferta que no podemos dejar pasar, incluyendo un link a la web.
Hacemos clic sobre el enlace sin prestar mucha atención e ingresamos nuestros datos.
Aparentemente todo es normal en el proceso, sin embargo, como no hemos revisado la
URL, hemos facilitado nuestros datos en una página que suplantaba la legítima.
– Spoofing de correo electrónico: Uno de los más clásicos, junto al anterior. Consiste
en suplantar la dirección de correo de una persona o entidad de confianza, y solicitar
información personal a la víctima. También suele ser usado para enviar de forma masiva
correos de spam o cadenas de bulos u otros fraudes.
Ejemplo: recibimos un correo electrónico supuestamente de la red social informándonos
de que nuestras fotografías van a ser eliminadas. Si queremos recuperarlas, en el email
encontraremos un archivo adjunto que deberemos ejecutar. Lamentablemente el
adjunto es un malware que, al ejecutarlo, infectará nuestro dispositivo. Han falseado
el email legítimo de la red social para que no sospechemos del remitente y accedamos
a las peticiones del mensaje.
– Spoofing de dirección IP: Las comunicaciones en Internet se hacen mediante el
envío y recepción de “paquetes”. Cada paquete lleva una dirección IP del remitente
y el destinatario. En este tipo de ataques, el ciberdelincuente es capaz de falsear su
dirección IP y hacerla pasar por una dirección distinta.
De este modo, si un router tiene unas restricciones determinadas para no dejar pasar
IPs desconocidas o de origen poco fiable, el ciberdelincuente puede llegar a saltarse
estas restricciones y hacernos llegar un paquete con malware. Suele utilizarse en
ataques DDoS.
– Spoofing DNS: Los atacantes, a través de un malware, consiguen infectar y acceder al
router de su víctima. Una vez dentro, modifican los DNS del equipo para que cuando
el usuario trate de acceder a una determinada web desde su navegador, este lo lleve a
otra web elegida por el atacante (phishing).
Un ejemplo: decidimos entrar en una web de software pirata para descargarnos la
última versión de un programa de ofimática. Al hacerlo, nos instalamos un malware que
termina por infectar nuestro equipo y, sin darnos cuenta, consigue cambiar las DNS de
nuestro equipo para redireccionarnos a una web maliciosa.

A veces resulta complicado entender la diferencia entre ambas técnicas, ya que a

menudo se utilizan juntas. Sin embargo, el phishing sería el engaño (principalmente
a través de correo electrónico) que se produce con la intención de obtener y robar
información privada del usuario, por tanto, el foco recae en lo que el estafador está
tratando de conseguir (f inalidad: robo) y en cambio el spoof ing se centraría en el acto
de suplantación de la identidad de una persona, empresa, entidad u organización
por parte del cyber delincuente, modif icando los detalles del remitente. A diferencia
del phishing, el ataque de spoof ing puede causar daños sin necesariamente llegar a
robar la información.

@Of ipolESP | 201

 CENTRO DE ESTUDIOS OFIPOL
OFIPOL.COM

SPYWARE

El spyware o software espía es un tipo de malware que sin que tú lo sepas y por supuesto, sin
tu consentimiento, es capaz de recoger información privada sobre ti: hábitos de navegación,
mensajes de correo, contraseñas, datos bancarios, etc. para después transmitirlos a otro
destino en Internet, por ejemplo, un servidor web. El spyware, al igual que los virus, también
puede ser instalado al abrir un fichero adjunto de correo infectado, pulsando en una ventana
de publicidad o camuflado junto a otros programas que instalemos.

Junto con el spyware, se encuentran otros malware muy parecidos como:

– Adware: software que suelen venir incorporado en los programas gratuitos para obtener
algún beneficio a través de la publicidad y que acaban en el ordenador generalmente
porque al instalar un determinado programa con las opciones de configuración que
trae por defecto, has aceptado sin darte cuenta, instalar también adware. Ventanas
emergentes (pop-up), barras de tareas (toolbar), secuestradores de página de inicio de
los navegadores (browser hijacking), etc. son solo algunos ejemplos de adware.

– Bloatware o Crapware (Software basura): se conoce así a las aplicaciones que vienen
preinstaladas en todos los dispositivos nuevos, tanto en ordenadores de sobremesa y
portátiles como en smartphones y tablets. Esas que cuando enciendes tu dispositivo
por primera vez ya están instaladas, y en muchos casos, no sabes ni qué utilidad tienen.
1.2.16 TROYANO

Los Troyanos son programas que se ocultan o

esconden en programas legítimos, como
aplicaciones de ofimática, facturación,
documentos de trabajo, fotos, etc. para
proporcionar acceso no autorizado al sistema
infectado. Su propagación requiere de la acción
directa del usuario para su descarga e instalación.
Los troyanos se han especializado en el robo de
credenciales bancarias y son una de las mayores
amenazas en la actualidad, por la proliferación de
este tipo de código malicioso, muy utilizado por los ciberdelincuentes.

Existen diferentes tipos de troyanos, en función de la forma en que afectan el comportamiento

del equipo infectado:

– Backdoors, o troyanos de acceso remoto, que proporcionan un acceso total del equipo
para que el atacante pueda realizar cualquier tarea en él.

– Keyloggers, o malware que registra las pulsaciones que realizamos con el teclado,
permitiendo averiguar las contraseñas o cualquier otro tipo de información privada
que hayamos tecleado.

– Stealers, que acceden y roban información privada almacenada en los equipos para
enviárselas al atacante. Información como las contraseñas que se almacenan o
memorizan en los diversos programas como navegadores, mensajería instantánea,
correo electrónico, etc.

202 | @Of ipolESP

 POLICÍA NACIONAL - TOMO III
TEMA 40: CIBERDELINCUENCIA

– Ransomware, que tiene como objetivo bloquear y secuestrar el acceso a un equipo de

trabajo o a la información que contiene – cifrando el contenido bloqueado-, con el fin
de pedir un rescate económico a cambio de su desbloqueo.

Se trata de una vulnerabilidad informática o agujero de seguridad en determinadas

aplicaciones web que permite a una tercera persona, con fines maliciosos, inyectar en
páginas web visitadas por el usuario, código javascript u otro lenguaje similar, con la finalidad
de cambiar la página web, el envío continuo de mensajes de spam e incluso obtener datos
críticos del usuario.
1.2.18

Un ataque de día cero (zero-day

attack o 0-day attack) es un ataque
contra sistemas o programas
informáticos en los que explotan
vulnerabilidades que son únicamente
conocidas por determinados
atacantes, y son desconocidas por
los fabricantes y usuarios de ese
software. Al ser desconocidas por
los fabricantes, no existe un parche
de seguridad para solucionarlas. Por
esta razón son muy peligrosas ya
que el atacante puede explotarlas
sin que el usuario sea consciente de que es vulnerable.

Una medida fundamental para luchar contra estos ataques es la de mantener actualizado
todo el software que utilicemos. Las actualizaciones en muchas ocasiones serán esos
parches de seguridad que solucionan errores, cierran brechas y vulnerabilidades que han
sido descubiertas, como es el caso de las de día cero.

Desde INCIBE, es habitual ver publicaciones avisando sobre vulnerabilidades críticas de

diferentes programas o sistemas operativos como se observa en la imagen.

@Of ipolESP | 203

 CENTRO DE ESTUDIOS OFIPOL
OFIPOL.COM

2. CIBERCRIMINALES. CRIMEN AS SERVICE.

CHAIN

Desde que existen los ordenadores, ha existido la ciberdelincuencia. Sin embargo, con
millones de ataques informáticos y casi mil millones de víctimas de actividades de delincuencia
cibernética cada año, el crimen cibernético nunca ha estado tan extendido como ahora.
Cualquiera puede caer víctima del cibercrimen, y el hecho de que la casi totalidad de usuarios
estén conectados virtualmente hace que ese riesgo sea incluso más grande.

2.1
Los cibercriminales son grupos u organizaciones criminales que se sirven de Internet para
realizar su actividad delictiva. Esta actividad puede llevarse a cabo para cometer delitos o
simplemente para facilitar el aprovechamiento del beneficio obtenido de otro tipo de delitos.

Desde INCIBE definen al cibercriminal como la persona que buscará sacar beneficio de los
problemas o fallos de seguridad de un sistema informático utilizando para ello distintas
técnicas como es la ingeniería social o el malware.

La cibercriminalidad, por su parte, es un problema de seguridad ciudadana de primer orden,

representando una de las amenazas más extendidas y generalizadas, que se materializa de
forma continua y que victimiza cada vez de manera más importante a miles de instituciones,
empresas y ciudadanos. El término Cibercriminalidad, hace referencia al conjunto de
actividades ilícitas cometidas en el ciberespacio que tienen por objeto los elementos, sistemas
informáticos o cualesquiera otros bienes jurídicos, siempre que en su planificación, desarrollo
y ejecución resulte determinante la utilización de herramientas tecnológicas; en función de la
naturaleza del hecho punible en sí, de la autoría, de su motivación, o de los daños infligidos,
se podrá hablar así de ciberterrorismo, de ciberdelito, o en su caso, de hacktivismo.

2.2 CRIMEN AS SERVICE

El Crime as a Service es sin duda una tendencia en auge. Es el denominado crimen como
servicio (Crime as a service o CaaS) que hace referencia a criminales que ofrecen sus servicios
a cualquier persona/entidad que quiera pagarlos: entrar en la cuenta de una red social de otra
persona, espiar WhatsApp, insertar malware, obtener credenciales de acceso, interceptar
correos…

Este modelo “as a Service” es conocido y utilizado por la ciberdelincuencia para beneficiarse
de servicios sin tener la propiedad de ellos, de este modo, pueden adquirir servicios o no
según las necesidades específicas de cada momento. Del “Crime as a Service” o crimen como
servicio, surge el “Malware as a Service” (MaaS), que ofrece la posibilidad de contratar por
internet diferentes tipos de “malware”.

Para poder afectar realmente al funcionamiento de una empresa o de un usuario, lo habitual

es tener que lanzar ciberataques que utilizan a la vez varias técnicas. Sin embargo, por norma
general, es complicado que un único individuo u organización criminal logre el control de
todas estas técnicas. Por ello, existen grupos de delincuentes especializados por servicio que
subcontratan las piezas necesarias según el ataque que quieran llevar a cabo.

204 | @Of ipolESP

 POLICÍA NACIONAL - TOMO III
TEMA 40: CIBERDELINCUENCIA

Existen empresas reales y legales que están siendo contratadas por otras empresas que
alteran la programación de desarrollos legítimos por otros con finalidades delictivas y
los empleados de esas organizaciones no saben que en el fondo están trabajando para la
industria del crimen.
Esos desarrollos realizados se montan normalmente en servidores anónimos en la DarkNet.
Los cibercriminales en su modalidad de crime as a service ofrecen:
– Data as a Service (DaaS): mediante el que intercambian y suminstran datos robados
como números de tarjetas de crédito, contraseñas de servicios web, etc.
– Hacking as a Service (HaaS): proporcionan servicios de hacking para satisfacer las
necesidades del cliente.
– Translation as a Service (TaaS): permiten realizar traducciones para mejorar las
campañas de phising enviadas por mail o en webs o incluso adaptar contenidos a las
diferentes regiones (moneda, forma de expresarse, etc.).

– Money Laundering as-a-service (MLaaS): servicio de “mulas” para realizar el blanqueo

de dinero. Una vez robado a las víctimas de phising por ejemplo y antes de que llegue a
sus destinatarios finales, las “mulas” deben recibir el dinero procedente de las cuentas
mediante transferencia desde la cuenta de la víctima a la que le han robado dinero y
reenviarlo por transferencia, servicios de envío de dinero, etc. para que sea más difícil
localizar el rastro de los fondos sustraídos.

– Malware as a Service (MaaS): por lo general se paga en formatos de desarrollo a medida

o pay-per-install o pago por instalación (si se necesitan 5000 víctimas por ejemplo, se
abona un cierto dinero por esas 5000 instalaciones) y cuentan con sus propios sistemas
de “garantía” (por ejemplo, si una víctima desinstala el malware instalado y ya no forma
parte de una botnet o red de ordenadores zombie controlados a distancia por los
delincuentes, los delincuentes se encargan de conseguir una “víctima” nueva de tal
manera que estén siempre disponible la cantidad “contratada”).

2.3
El hacktivismo es el acto de piratear, interrumpir, bloquear o romper algún sistema informático
pero con la diferencia de que ésta vez se persiguen fines políticos o sociales y no económicos.

Mientras que un ciberdelincuente, muchas veces mal llamado hacker (especialista informático),
persigue romper un sistema informático para su propio beneficio, un hacktivista lo hace con
el único fin de promover ideas políticas. Ya sea para destapar una mentira oculta por un
Gobierno, para protestar por una decisión climática o simplemente para poner en el foco
cualquier dato que comprometa al poder establecido, el hacktivismo tiene como objetivo
enviar un mensaje a través de sus actividades que permita que la causa que promueve
obtenga notoriedad.

La principal motivación de los hacktivistas es la lucha por lo que creen justo. La percepción
del individuo de vivir una injusticia o una mentira contada por el poder establecido para
favorecer sus intereses, provoca en estos grupos descentralizados de hacktivistas la
motivación de hacer algo al respecto.

Estas motivaciones pueden estar movidas por un deseo de venganza, protesta, o en algunos
casos más radicales el puro vandalismo.

@Of ipolESP | 205

 CENTRO DE ESTUDIOS OFIPOL
OFIPOL.COM

2.4 INSIDER THREAT

La amenaza interna (Insider Threat) se identifica tradicionalmente de manera directa con los
problemas que supone para la organización la existencia de empleados desleales. Sin embargo,
la amenaza Insider Threat es más amplia y engloba todos aquellos casos en los que se produce
una exfiltración de información que perjudique a una compañía y que se origine o surja en el
interior de la misma. Esto abarca figuras como las del socio, proveedor, subcontratado y otros
que manejen datos e informaciones y tengan acceso a los mismos. Además, hay que contar
con la posibilidad de que el actor interno hostil lo sea de manera inconsciente, porque actúa
por descuido o desconocimiento o bien porque está siendo manipulado, sin ser consciente
de ello, por un atacante externo.

En cualquier caso, la amenaza del Insider Threat es una de las más perjudiciales para una
organización, puesto que suele dejar al descubierto los aspectos más sensibles de la misma.

Es un tipo de ciberataque que se ejecuta a gran escala con el propósito de robo de datos
y/o espionaje de sistemas. Su particularidad radica en que se ejecuta por un período extenso
de tiempo, principalmente porque los cibercriminales responsables son muy dedicados. Se
encargan de investigar al objetivo y definir la razón por la cual se ataca. Además, invierten
muchos en recursos económicos para preparar su infraestructura y así lograr que el ataque se
lleve a cabo de manera exitosa. Los ataques que se llevan a cabo mediante los APT incluyen
malware completamente personalizado de acuerdo al objetivo elegido.

La motivación para la creación de un APT va mucho más allá del mero perjuicio a una víctima
o varias víctimas. Este tipo de ataques se enfocan en organizaciones y/o personas que pueden
generar un alto nivel de ganancias. Ya sea en cuanto a lo financiero, por ejemplo, si es que se
busca ganar muchísimo dinero de una vez. Por otro lado, la motivación también puede ser
política. El espionaje político es uno de los motivadores para la creación de los ataques APT.

2.6
La clave para detectar, detener, interrumpir y recuperarse ante un ciberataque radica en
comprender cuál es su ciclo de vida y así desarrollar e implementar todas las operaciones
necesarias que garanticen el mayor grado de seguridad y protección. A este ciclo de vida se le
conoce como Cyber Kill Chain.

Conociéndolos, si se detiene el ataque en cualquiera de sus fases se rompería la secuencia del

mismo y este quedaría bloqueado.

Un ataque es un proceso dirigido con una intención bien definida: conseguir unos efectos
sobre un objetivo; por ejemplo, robar los datos que están en un servidor web o cifrar los
contenidos de una máquina para hacer que el usuario pague un rescate. Pero al tratarse de
una secuencia de fases (cadena), una mitigación en cualquiera de ellas romperá la cadena, y por
lo tanto, frustrará el ataque.

Además, cada ataque deja una serie de huellas de las que se puede aprender y utilizar para
comprender a los adversarios y estudiar cómo realizan sus acciones. Esto permitirá diseñar
defensas cada vez más efectivas y comprobar si las que existen son las más adecuadas.

206 | @Of ipolESP

 POLICÍA NACIONAL - TOMO III
TEMA 40: CIBERDELINCUENCIA

La Cyber Kill Chain está formada por una secuencia de siete pasos, cada uno de los cuales
supone una etapa del ataque:

1. Reconocimiento: fase en la que el ciberdelincuente recopila información sobre su

objetivo. Para ello, observa los detalles que la organización publica en abierto y busca
información sobre la tecnología que utiliza, así como datos en redes sociales e incluso
realiza interacciones por correo electrónico.

Con esta información, el atacante valora qué métodos de ataque podrían funcionar y
con qué probabilidad de éxito.

2. Preparación: se prepara el ataque de forma específica sobre un objetivo. Por ejemplo,

documento PDF e incluirlo en un correo electrónico que suplante la identidad de una
persona legítima con la que la empresa interactúe normalmente.

3. Distribución: en esta etapa se produce la transmisión del ataque, por ejemplo, mediante
la apertura del documento infectado que había sido enviado por correo electrónico,
accediendo a un phishing, etc.

4. Explotación: implica la detonación del ataque, comprometiendo al equipo infectado y a

la red que pertenezca.

5. Instalación: en la que el atacante instala el malware en la víctima.

6. Comando y control (Command and Control – C&C): el atacante cuenta con el control del
sistema de la víctima, en el que podrá lanzar sus acciones maliciosas dirigidas desde un
servidor central, pudiendo sustraer credenciales, tomar capturas de pantalla, llevarse
documentación confidencial, etc.

7. Acciones sobre los objetivos: fase final en la que el atacante se hace con los datos e
intenta expandir su acción maliciosa hacia más objetivos. Esto explica por qué la kill
chain no es lineal sino cíclica, ya que se volverían a ejecutar todas y cada una de sus
fases de cara a infectar a más víctimas.

@Of ipolESP | 207

 CENTRO DE ESTUDIOS OFIPOL
OFIPOL.COM

PREGUNTAS DE AÑOS ANTERIORES

P R O M O C I Ó N EB33
1. Un Flood o Flooder se define como:
a) Programa que se utiliza para enviar mensajes repetidamente y de forma masiva,
mediante correo electrónico, sistemas de mensajería instantánea, chats, foros,
etc. El objetivo de este comportamiento es provocar la saturación o colapso de
los sistemas a través de los que se envía el mensaje.
b) Programa que aprovecha los fallos de seguridad, defectos o vulnerabilidades
de otros programas o sistemas informáticos, con el fin de obtener algún tipo
de beneficio o de llevar a cabo una acción concreta, como acceder a recursos
protegidos, controlar sistemas sin autorización, etc.
c) Programa que se instala en un equipo con el fin de modificar los datos de acceso
a internet, para que al realizar la conexión a través de un módem, se utilice un
número de tarificación adicional.
2. Señale el nombre con el que son conocidos determinados programas maliciosos que
bloquean el ordenador de la víctima, acusándola de haber visitado sitios web ilegales que
contienen material sobre abusos infantiles o cualquier otra actividad ilegal, haciéndose
pasar por un organismo con funciones coercitivas y solicitando el pago de una multa
para desbloquear el ordenador:
a) Police ransomware.
b) Warning sign.
c) Kidnapping task.

P R O M O C I Ó N EB34
3. Si hablamos del término “pharming” como método delictivo, nos estamos refiriendo:
a) A la utilización de páginas web o ventanas emergentes que suplantan a la real,
induciendo a la víctima a facilitar sus datos privados.
b) A la copia del número de la tarjeta de crédito utilizando dispositivos electrónicos.
c) Al empleo de la violencia o la intimidación para la obtención de la información
bancaria de la víctima.

P R O M O C I Ó N EB35
4. ¿Qué tipo de hacker es aquel que sin conocimientos avanzados se aprovecha de la
información que hay en internet y busca notoriedad eligiendo sus víctimas normalmente
al azar?
a) Hacktivistas.
b) Script kiddies.

c) White hat hackers.

208 | @Of ipolESP

 POLICÍA NACIONAL - TOMO III
TEMA 40: CIBERDELINCUENCIA

5. Phishing:

a) Es un término de naturaleza informática para denominar un nuevo tipo de delito.

b) Es una estafa por medio de mensajes sms, con ofertas interesantes o la concesión
de fabulosos premios.

c) Es el método utilizado para engañar y conseguir información personal mediante

el envío de correos electrónicos fraudulentos o dirigiéndole a un sitio web falso.

P R O M O C I Ó N EB36
6. En informática, ¿qué son los ‘White Hackers?:

a) Programas que tratan de obtener datos de los usuarios.

b) Expertos informáticos que intentan atentar contra la seguridad de sistemas en la

Red y lucrarse ilícitamente con ello.

c) Expertos informáticos que ayudan a las personas y empresas a saber cuál es su

nivel de seguridad frente a los hackers maliciosos.

7. ¿Cómo se denomina al programa informático que se instala en nuestro ordenador de

manera inesperada y sin nuestro permiso, en la que el usuario lo confunde con un
programa totalmente legítimo, pero al ejecutarlo, puede llegar a permitir que otro
usuario se haga con el control del ordenador?

a) Gusano.

b) Hoax.

c) Troyano.

8. Una botnet se refiere a:

a) Un tipo de red segura dentro de la intranet.

b) Una red de ordenadores que han sido infectados por programas nocivos.

c) Una red de buscadores que recopila automáticamente información de internet.

P R O M O C I Ó N EB37
9. Entre todos los ataques posibles que puede sufrir un usuario a través del navegador
web nos encontramos:

a) Mediante un exploit, el atacante se aprovecha de determinada vulnerabilidad

para inyectar código dañino en el equipo.

b) Malvertising: esta vía de infección consiste en ejecutar código dañino por medio
de anuncios, aparentemente inofensivos, distribuidos en un gran número de
páginas.

c) Ambas son correctas.

Respuestas: 1a, 2a, 3a, 4b, 5c, 6c, 7c, 8, 9c

@Of ipolESP | 209