Cómo prevenir y estar alerta a las 10 técnicas y ataques más utilizadas por los ciberdelincuentes

Los ataques informáticos crecen año a año, no solo ataques a grandes empresas o personas públicas si no diariamente a cualquier tipo de persona o sistemas, sobre todo explotando vulnerabilidades de sistemas informáticos o aprovechando el desconocimiento por parte de los usuarios. 

Aquí van 11 técnicas y estafas más comunes y cómo protegernos de ellas! 

 

1-  Fuerza Bruta

 

Una de las técnicas utilizadas para poder robar nuestras contraseñas es la llamada Fuerza Bruta. Se trata de la utilización de programas informáticos para realizar de forma automáticas miles de intentos por segundo de ingreso de contraseña hasta que en un momento se da con la contraseña correcta. 

Supongamos que tenemos un candado con una combinación de tres números. Esto quiere decir que si tengo la oportunidad de probar mil 1000 veces  (desde 000 hasta 999). Una de ellas será la contraseña correcta.  Si por ejemplo usamos una contraseña de tres números para nuestra cuenta de email, sería muy fácil  y rápido para un atacante obtenerla utilizando este tipo de técnicas. 

 

#VaFirmaTip 

 

Utilizar contraseñas seguras. Contraseñas que sean largas y contengan números letras y otros tipos de caracteres. Esto hace que aumente la cantidad de combinaciones y sea más difícil para los programas informáticos que utilizan los ciberdelincuentes descifrarlas. 

Pero si la contraseña es tan difícil que ni tu te la acordas y la tienes que anotar también es peligroso.   

Una buena práctica es utilizar frases y sustituir algunas letras por otros caracteres que sean parecidos.

Ejemplo: MeGustaNirvana    —> M3Gust@N!rv4n4


 

2- Diccionarios y bases vulneradas

 

Muchas veces los hackers pueden publicar bases de datos con contraseñas usuarios y contraseñas de sitios que han atacado o descubierto. Es posible utilizar estas credenciales por otros ciberdelincuentes en otros ataques ya que es común que ese mismo usuario y  contraseña de un sitio que fue vulnerado, se utilice en otros lugares. 

Ejemplo. Estoy registrado en un foro sobre Arte con usuario juan@gmail.com y contraseña xxxxx. La base de datos de ese foro fue robada por un ciberdelincuente. También utilizo ese mismo nombre de usuario y contraseña para acceder a mi correo electrónico de un sitio que suponemos muy seguro.  Entonces este  correo electrónico  también está comprometido porque el atacante puede hacer intentos de inicio de sesión con las credenciales obtenidas previamente en otros sitios. 

 

#VaFirmaTip

 

Utilizá contraseñas distintas por cada sitio que estás registrado o por lo menos clasificarlas en tres grupos. Una contraseña para sitios que el daño de que te roben la cuenta no sería tan grande, otra intermedio y otra para los más importantes ( ej. cuenta de banco). 

 

#VaFirmaTiP

 

 También es buena práctica cambiar las contraseñas periódicamente, idealmente 3 meses o inmediatamente luego de que desconfías de una posible vulnerabilidad. 

 

3- Spoofing – Suplantación de Identidad.

 


 

 

Refiere al conjunto de técnicas utilizadas de forma maliciosa para que un individuo se haga pasar por otra persona en la red, con el fin de robar información o acceder a un sitio privado. 

Por ejemplo robo de credenciales (usuario y contraseña)  para acceder a nuestra cuenta bancaria.  

Actualmente de la mano de la inteligencia artificial también surgen técnicas conocidas como  #deepfake que logran imitar nuestra cara e incluso movimientos en fotos y videos. 

 

#VaFirmaTip

 

Algo que ayuda sustancialmente a protegernos de la suplantación de identidad es utilizar al menos dos mecanismos de autenticación distintos.. De este modo si un atacante obtiene un factor de autenticación le faltaría obtener el otro para poder suplantar nuestra identidad. Esto es lo que se conoce como autenticación fuerte, robusta o 2factor y es soportado por muchos sitios como por ejemplo el correo de Gmail.

Ejemplo.  Autenticación con una contraseña o pin + reconocimiento facial o huella. Autenticación utilizando firma digital + PIN . Autenticación utilizando contraseña + un código de un solo uso que es enviado o generado por sms o alguna aplicación como Google Authenticator. 

 

4- Falsificación de Firma. 

 


 

Cuando alguien simula la firma de otra persona. Este es un derivado de la suplantación de identidad, que merece un punto aparte ya que es de las estafas más antiguas que se  aplican también fuera del mundo online. Los ciberdelincuentes o estafadores pueden intentar realizar una firma simulando ser otra persona, ya sea que recibimos un documento firmado por un supuesto “X” que no existe, o algo más específico como intentar simular nuestra propia firma para obtener un beneficio. 

#VaFirmaTip

 

En el mundo offline, el de lápiz y papel. Cuando se sospecha de que una firma es falsa, existen los Técnicos Peritos que son expertos que analizan la caligrafía y trazos de tinta para determinar si corresponde a la persona o no. 

Cuando se quiere firmar un documento en el mundo digital, no se recomienda realizar cuestiones como por ejemplo escanear la firma y pegarla en el documento o escanear el documento con la firma, ya que se pierden las evidencias que pueden comprobar la originalidad de una firma  y es muy fácil que un atacante obtenga la firma y replique en otros documentos.

Lo más seguro y no falsificable es utilizar Firma Electrónica Avanzada, o Firma Digitales que utilizan certificados digitales. En caso de no ser viable el uso de este tipo de firmas, es aconsejable utilizar  sistemas informáticos que adicionalmente a estampar un dibujo de la firma, registren  algún tipo de trazas o auditoría adicional que permita verificar su validez  e identificar al firmante. 

 

5- Sniffing  – Man in the middle

 


 

Son el conjunto de técnicas que permiten a un hacker interceptar el canal de comunicación establecido entre dos sistemas. 

Ejemplo. Cuando chateamos con alguien si interceptan el canal de comunicación entre nuestra computadora y la de la otra persona para obtener algún tipo de información. #Sniffing

En ámbitos más avanzados, el atacante incluso podría no solo obtener la información, sino también desviarla y realizar algún tipo de actividad en el medio. Por ejemplo respondernos en nombre de la persona o sistema informático con la cual pensamos que estamos hablando. #MItM

 

#VaFirmaTIP 

 

Cuando navegamos por internet o utilizamos sistemas de comunicación asegurarnos de que las comunicaciones están cifradas punto a punto. 

Cuando navegamos en internet nos damos cuenta si se cumple esto verificando la existencia del candadito al lado de la URL tal como se muestra en la imagen. 

 

 6- Phishing

 


 

Phising es el clásico “cuento del tío en internet”. Atacantes que salen a “pescar” realizando estafas y simulaciones de todo tipo en grandes cantidades y volumen donde lamentablemente un determinado porcentaje (bastante alto) cae en las trampas y obtienen beneficios de ello. 

Ejemplo. Te envían un mail o whatsapp diciendo “Felicitaciones te ganaste tal cosa …. ingresa tus datos aquí…. “ y adivinen a donde van a parar esos datos.. si a las manos del estafador.  Los ciberdelincuentes, pueden replicar páginas iguales o muy similares de lugares que frecuentamos como podría ser  la página de un banco o tarjeta de crédito, desde la cual  nos envían cosas del estilo “ Estimado cliente, estamos actualizando tal cosa, por favor resetea tu clave aquí..” 

 

#VaFirmaTip. 

 

Ser desconfiado. 

Saber que datos sensibles nunca se piden en un mail o whatsapp. Nunca el banco nos va a pedir que le enviemos nuestra contraseña. Lamentablemente es muy difícil que ganemos un premio que no esperamos o un beneficio excesivamente grande. Así que no caigas en esas trampas. 

No abrir mails que no esperamos o de personas desconocidas. 

 

7-  Ingeniería Social

 

La ingeniera social es utilizada por todos los ciberdelincuentes,  se utiliza siempre en todos los conjuntos de técnicas aplicadas. Es el arte de investigar  y conocer más sobre la víctima u objetivo que se pretende atacar. Por ejemplo, si quiero obtener accesos o información sensible de una empresa, quizá lo primero y más fácil sea revisar donde tiran la basura de esa empresa en búsqueda de información. seguir armando una estrategia en función de los datos obtenidos. 

Si quiero saber el pin de una persona, se podría por ejemplo revisar en sus redes sociales cuál es su fecha de nacimiento, o la de sus hijos.  Y empezar haciendo pruebas con esos datos o combinados. 

Mirar en las redes sociales fotos, etiquetas obtener datos e información que puedan ayudar al atacante a obtener un beneficio. 

 

#VaFirmaTip

 

Revisar las políticas de privacidad y seguridad de los sistemas y redes sociales que utilizamos y ser lo más restrictivos posibles.

Ser prudentes con la información que compartimos, no compartir información privada nuestra ni de otros. 

Revisar y tener cuidado con la información que compartimos en una foto, muchas veces haciendo zoom o mirando los fondos de una foto podemos estar publicando información que pueden explotar los ciberdelincuentes. Ejemplo. Número de puerta de la casa, pantallas de monitores con información. 

Usá siempre buenas prácticas para formar tus contraseñas que no incluyan datos como nombre de nuestros hijos o fechas de cumpleaños.. 

 

8- Malware

 

El malware es el nombre genérico a todo tipo de virus o programa malicioso que buscan explotar una vulnerabilidad de un sistema. 

 #VaFirmaTip

 

Mantener actualizado y con la última versión el sistema operativo de los dispositivos  y software en general. Cada vez que se detecta una vulnerabilidad los fabricantes de software le ponen un “parche” que lo protege y liberan una nueva versión.  Si no mantenemos actualizado los software que usamos, estamos dejando agujeros abiertos para los atacantes. 

 

9- Wifi Público y redes abiertas. 

 


 

Cuando nos conectamos a redes abiertas estamos muy expuestos a que nos roben datos Combinando técnicas como por ejemplo  sniffing y man in the middle entre otras es sencillo que nos roben datos.  Incluso es posible que los atacantes pongan redes públicas cerca de hoteles o lugares públicos quedando totalmente expuestos a que nos roben información ya que cuando nos conectamos a esa red, lo que estamos haciendo es prácticamente metiendo al atacante dentro de nuestro computador. 

 

#VaFirmaTip

 

Minimizar el uso de redes públicas al máximo. 

Jamás ingresar datos sensibles como números de tarjetas de crédito en redes públicas, equipos desconocidos o compartidos. 

 

10- DooS

 


 

Estos refieren a los ataques de denegación de servicios. Es cuando un atacante colapsa a propósito un servicio informático imposibilitando su uso. Generalmente se logra automatizando el consumo masivo de un sistema hasta que éste se queda sin recursos y queda fuera de servicio. 

 

#VaFirmaTip

 

Las tan odiados captchas es una buena práctica de los sistemas informáticos para prevenir este tipo de ataques. Ya que evita que puedan automatizar las llamadas a por ejemplo un formulario de registro. 

 

11- Ransomware 


 

Este ataque se refiere al secuestro de un equipo informático. El ciberdelincuente  logra impedir el acceso al disco duro de nuestra computadora o un sistema informático, pidiendonos el pago de un rescate para su liberación. Así es, un día x nos puede pasar prender nuestra computadora y ver una pantalla como estas:

 

 

#VaFirmaTip

 

Mantener respaldos en discos extraíbles u otros equipos de todos los activos de información. 


 

En resumen 


 

La mayoría de estas estafas se pueden realizar fácilmente con algunos conocimientos informáticos y de telecomunicaciones, lamentablemente el número de incidentes informáticos de este tipo es cada vez mayor. Varios estudios dimensionan al mercado de de la ciberdelincuencia como  más grande que el del tráfico de drogas. 

Los llamados CERT son los centros de atención y respuesta de incidentes informárticos, donde personas y empresas pueden reportar incidentes informáticos y protegen a los Estados de ataques informáticos. Generalmente también hacen gran trabajo en sensibilización y difusión en temas de seguridad informática, como es el caso del CERTuy en Uruguay y la excelente campaña de sensibilización de Seguro te Conectas, o INCIBE en España con excelentes campañas de senisbilización también.  

Esperamos que estos tips te sean de utilidad y así  como cuidas la seguridad de tu casa, te recomendamos que cuides la seguridad de tus sistemas informáticos!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *