MENU
INFORME
Las 10 técnicas de ataque más utilizadas por los ciberdelincuentes
Share
Los ataques informáticos crecen año a año y no solo apuntan a grandes empresas o personas públicas, van dirigidos a cualquier tipo de persona o sistema explotando las vulnerabilidades de los sistemas informáticos o aprovechando el desconocimiento por parte de los usuarios.
Aquí va una lista en donde detallamos las técnicas y estafas más comunes a las que estamos expuestos y cómo podemos protegernos de ellas!

1- Fuerza Bruta

Una de las técnicas utilizadas para poder robar nuestras contraseñas es la llamada Fuerza Bruta. Se trata de la utilización de programas informáticos para realizar de forma automática miles de intentos por segundo de ingreso de contraseña hasta que en un momento se llega a la contraseña correcta.
Supongamos que tenemos un candado con una combinación de tres números. Esto quiere decir que si tengo la oportunidad de probar mil 1.000 veces (desde 000 hasta 999). Una de ellas será la contraseña correcta. Si por ejemplo usamos una contraseña de tres números para nuestra cuenta de e-mail, sería muy fácil y rápido para un atacante obtenerla utilizando este tipo de técnicas.
#VaFirmaTip
Utilizar contraseñas seguras. Contraseñas que sean largas y contengan números, letras y otro tipo de caracteres. Esto hace que aumente la cantidad de combinaciones y sea más difícil para los programas informáticos que utilizan los ciberdelincuentes descifrarlas. Pero si la contraseña es tan difícil que ni tú la recuerdas y la tienes que anotar, también es peligroso. Una buena práctica es utilizar frases y sustituir algunas letras por otros caracteres que sean parecidos.

2- Diccionarios y bases vulneradas

Muchas veces los hackers pueden publicar bases de datos con contraseñas o usuarios y contraseñas de sitios que han atacado o descubierto. Es posible que estas credenciales sean utilizadas por otros ciberdelincuentes en otros ataques, ya que es común que ese mismo usuario y contraseña de un sitio que fue vulnerado, sirva para acceder a otros lugares.
Ejemplo: Estoy registrado en un foro sobre Arte con el usuario juan@gmail.com y la contraseña xxxxx. La base de datos de ese foro fue robada por un ciberdelincuente que también utilizo ese mismo nombre de usuario y contraseña para acceder a mi correo electrónico de un sitio que suponemos muy seguro. Entonces este correo electrónico también está comprometido ya que el atacante puede hacer intentos de inicio de sesión con las credenciales obtenidas previamente en otros sitios.
#VaFirmaTip
Utiliza contraseñas distintas por cada sitio en el que estés registrado o por lo menos clasifícalas en tres grupos. Una contraseña para sitios en el que el daño de que te roben la cuenta no sería tan grave, otra intermedio y otra para los más importantes ( ej. cuenta de banco). También es buena práctica cambiar las contraseñas periódicamente, idealmente cada 3 meses o inmediatamente cuando desconfías de una posible vulnerabilidad.

3- Spoofing - Suplantación de Identidad

Refiere al conjunto de técnicas utilizadas de forma maliciosa para que un individuo se haga pasar por otra persona en la red, con el fin de robar información o acceder a un sitio privado.
Por ejemplo: robo de credenciales (usuario y contraseña) para acceder a nuestra cuenta bancaria.
Actualmente de la mano de la inteligencia artificial también surgen técnicas conocidas como #deepfake que logran imitar nuestra cara e incluso movimientos en fotos y videos.
#VaFirmaTip
Algo que ayuda sustancialmente a protegernos de la suplantación de identidad es utilizar al menos dos mecanismos de autenticación distintos.. De este modo si un atacante obtiene un factor de autenticación le faltaría obtener el otro para poder suplantar nuestra identidad. Esto es lo que se conoce como autenticación fuerte, robusta o 2factor y es soportado por muchos sitios como por ejemplo el correo de Gmail. Ejemplo: Autenticación con una contraseña o pin + reconocimiento facial o huella. Autenticación utilizando firma digital + PIN . Autenticación utilizando contraseña + un código de un solo uso que es enviado o generado por sms o alguna aplicación como Google Authenticator.

4- Falsificación de Firma

Cuando alguien simula la firma de otra persona. Este es un derivado de la suplantación de identidad, que merece un punto aparte ya que es de las estafas más antiguas que se aplican también fuera del mundo online. Los ciberdelincuentes o estafadores pueden intentar realizar una firma simulando ser otra persona, ya sea que recibimos un documento firmado por un supuesto “X” que no existe, o algo más específico como intentar simular nuestra propia firma para obtener un beneficio.
#VaFirmaTip
En el mundo offline, el de lápiz y papel, cuando se sospecha de que una firma es falsa existen los Técnicos Peritos que son expertos para analizar la caligrafía y trazos de tinta y determinar si corresponde a la persona o no. Cuando se quiere firmar un documento en el mundo digital, no se recomienda realizar cuestiones como por ejemplo escanear la firma y pegarla en el documento o escanear el documento con la firma, ya que se pierden las evidencias que pueden comprobar la originalidad de una firma y es muy fácil que un atacante obtenga la firma y replique en otros documentos. Lo más seguro y no falsificable es utilizar Firma Electrónica Avanzada, o Firmas Digitales que utilizan certificados digitales. En caso de no ser viable el uso de este tipo de firmas, es aconsejable utilizar sistemas informáticos que adicionalmente a estampar un dibujo de la firma registren algún tipo de trazas o auditoría adicional que permita verificar su validez e identificar al firmante.

5- Sniffing - Man in the middle

Son el conjunto de técnicas que permiten a un hacker interceptar el canal de comunicación establecido entre dos sistemas.
Por ejemplo cuando chateamos con alguien e interceptan el canal de comunicación entre nuestra computadora y la de la otra persona para obtener algún tipo de información. #Sniffing
En ámbitos más avanzados, el atacante incluso podría no solo obtener la información, sino también puede desviarla y realizar algún tipo de actividad en el medio. Por ejemplo, responder en nombre de la persona o sistema informático con la cual pensamos que estamos hablando. #MItM
#VaFirmaTip
Cuando navegamos por internet o utilizamos sistemas de comunicación debemos asegurarnos de que las comunicaciones están cifradas punto a punto. Cuando navegamos en internet nos damos cuenta si se cumple esto verificando la existencia del candadito al lado de la URL.

6- Phishing

Phising es el clásico “cuento del tío en internet”. Atacantes que salen a “pescar” realizando estafas y simulaciones de todo tipo en grandes cantidades y volumen donde lamentablemente un determinado porcentaje (bastante alto) cae en las trampas y obtienen beneficios de ello.
Ejemplo: Te envían un e-mail o whatsapp diciendo “Felicitaciones te ganaste tal cosa …. ingresa tus datos aquí…. “ y adivinen a donde van a parar esos datos.. sí, a las manos del estafador. Los ciberdelincuentes pueden replicar páginas iguales o muy similares de lugares que frecuentamos como podría ser la página de un banco o tarjeta de crédito, desde la cual nos envían cosas del estilo “ Estimado cliente, estamos actualizando tal cosa, por favor resetea tu clave aquí..”
#VaFirmaTip
Ha que ser desconfiado y entender que los datos sensibles nunca se piden en un e-mail o Whatsapp. Nunca el banco nos va a pedir que le enviemos nuestra contraseña. Lamentablemente es muy difícil que ganemos un premio que no esperamos o un beneficio excesivamente grande. Así que por favor no caigas en esas trampas. Se recomienda no abrir e-mails que no esperamos o de personas desconocidas.

7- Ingeniería Social

La ingeniera social es utilizada por todos los ciberdelincuentes. Es el arte de investigar y conocer más sobre la víctima u objetivo que se pretende atacar. Por ejemplo, si quiero obtener accesos o información sensible de una empresa, quizá lo primero y más fácil sea revisar donde tiran la basura de esa empresa en búsqueda de información y seguir armando una estrategia en función de los datos obtenidos. Si quiero saber el pin de una persona, se podría por ejemplo, revisar en sus redes sociales cuál es su fecha de nacimiento, o la de sus hijos. Y empezar haciendo pruebas con esos datos o combinados. La información que dejamos en las redes sociales: fotos, etiquetas, datos e información puede ayudar al atacante a obtener un beneficio.
#VaFirmaTip
Revisar las políticas de privacidad y seguridad de los sistemas y redes sociales que utilizamos y ser lo más restrictivos posibles.
Ser prudentes con la información que compartimos, no compartir información privada nuestra ni de otros.
Revisar y tener cuidado con la información que compartimos en una foto, muchas veces haciendo zoom o mirando los fondos de una foto podemos estar publicando información que pueden explotar los ciberdelincuentes. Ejemplo: El número de puerta de la casa o pantallas de monitores con información.

8- Malware

El malware es el nombre genérico a todo tipo de virus o programa malicioso que buscan explotar una vulnerabilidad de un sistema.
#VaFirmaTip
Mantener actualizado y con la última versión el sistema operativo de los dispositivos y software en general. Cada vez que se detecta una vulnerabilidad los fabricantes de software le ponen un “parche” que lo protege y liberan una nueva versión.
Si no mantenemos actualizado los software que usamos, estamos dejando agujeros abiertos para los atacantes.

9- Wifi Público y redes abiertas

Cuando nos conectamos a redes abiertas estamos muy expuestos a que nos roben datos. Combinando técnicas como por ejemplo sniffing y man in the middle, entre otras, es sencillo que nos roben datos. Incluso es posible que los atacantes pongan redes públicas cerca de hoteles o lugares públicos quedando totalmente expuestos a que nos roben información ya que cuando nos conectamos a esa red, lo que estamos haciendo es prácticamente metiendo al atacante dentro de nuestro computador.
#VaFirmaTip
Minimizar el uso de redes públicas al máximo. Jamás ingresar datos sensibles como números de tarjetas de crédito en redes públicas, equipos desconocidos o compartidos.

10- DooS

Estos refieren a los ataques de denegación de servicios. Es cuando un atacante colapsa a propósito un servicio informático imposibilitando su uso. Generalmente se logra automatizando el consumo masivo de un sistema hasta que éste se queda sin recursos y queda fuera de servicio.
#VaFirmaTip
Los tan odiados captchas son una buena práctica de los sistemas informáticos para prevenir este tipo de ataques. Ya que evita que puedan automatizar las llamadas a, por ejemplo, los formularios de registro.
En resumen La mayoría de estas estafas se pueden realizar fácilmente con algunos conocimientos informáticos y de telecomunicaciones, lamentablemente el número de incidentes informáticos de este tipo es cada vez mayor. Varios estudios dimensionan al mercado de la ciberdelincuencia como más grande que el del tráfico de drogas. Los llamados CERT son los Centros de atención y respuesta de incidentes informáticos, donde personas y empresas pueden reportar incidentes informáticos y protegen a los Estados de ataques informáticos. Generalmente también hacen gran trabajo en sensibilización y difusión en temas de seguridad informática, como es el caso del CERTuy, en Uruguay, y la excelente campaña de sensibilización de Seguro te Conectas, o INCIBE en España, con excelentes campañas de sensibilización. Esperamos que estos tips te sean de utilidad y así como cuidas la seguridad de tu casa, te recomendamos que cuides la seguridad de tus sistemas informáticos.
Acerca de VaFirma VaFirma - es el PedidosYa de las firmas digitales. Una plataforma internacional que conecta a proveedores de firma digital con valor jurídico, de los distintos países de Latinoamérica. Al igual que los medios de pago electrónicos, la firma digital tiene ciertas fricciones y complejidaes en sus diferentes casos de uso. Va Firma resuelve todos los aspectos técnicos complejos involucrados a la hora de utilizar firma digitales haciendo foco en la seguridad informática y simplificando su experiencia de uso. El uso de Firma Digital, autenticación Multifactor, utilización de conexiónes cifradas punto a punto con protocolo TLS, son elementos básicos para navegar en una internet segura.