Tipos de ataques informáticos - Detección y Mitigación

 Los ataques informáticos 

Son acciones malintencionadas dirigidas a sistemas, redes o dispositivos para robar datos, interrumpir servicios, causar daños o extorsionar. Explotan vulnerabilidades técnicas por ejemplo: software sin parches.

Vulneravilidades humanas como por ejemplo: ingeniería social, y pueden realizarse de forma remota o interna. 

Objetivos comunes:

  • Robar información (credenciales, datos financieros).

  • Secuestrar sistemas (ransomware).

  • Alterar o destruir datos.

  • Usar recursos para otros ataques (botnets).

Tipo de ataques imformaticos

Phishing: Engaño para robar credenciales mediante correos o mensajes falsos.

El phishing es un ataque de ingeniería social que utiliza mensajes falsos (como correos o SMS) para engañar a las víctimas y robar credenciales, datos o instalar malware, imitando entidades legítimas (bancos, servicios, etc.).

Detección:

Análisis de URLs y dominios sospechosos.

Monitoreo de correos con herramientas como Microsoft Defender for Office 365.


Vulnerabilidades: Falta de conciencia del usuario, filtros de correo débiles, ausencia de MFA.


Mitigación:

Filtros anti-spam y autenticación multifactor (MFA).

Educación a usuarios (simulaciones con KnowBe4).


HerramientasPhishTankCofense Triage

National Institute of Standards and Technology (NIST). (2020). Phishing and social engineeringhttps://csrc.nist.gov/glossary/term/phishing


RansomwareCifrado de datos para exigir rescate.

El ransomware es un tipo de malware que cifra los archivos o sistemas de la víctima para exigir un rescate económico a cambio de liberarlos, propagándose mediante vulnerabilidades, engaños (phishing) o descargas maliciosas.

DetecciónMonitoreo de actividad anómala en archivos ejemplo: CrowdStrike Falcon

           Alertas por patrones de cifrado masivo.

Vulnerabilidades:Software sin parches, permisos excesivos, backups no seguros.

MitigaciónCopias de seguridad offline (regla 3-2-1).

          Segmentación de redes y parches de vulnerabilidades.

Herramientas: Bitdefender Anti-RansomwareNoMoreRansom

Cybersecurity & Infrastructure Security Agency (CISA). (2023). Stop Ransomware Guidehttps://www.cisa.gov/stopransomware


Ataques DdoS: Sobrecarga de tráfico para inhabilitar servicios. 

Un ataque DDoS (Denegación de Servicio Distribuido) inunda un servidor, red o servicio con tráfico masivo desde múltiples fuentes para saturarlo y dejarlo inaccesible para usuarios legítimos.


         Detección: Análisis de tráfico con Darktrace o SolarWinds NPM.           Picos inusuales en ancho de banda.


      Vulneravilidades:Ancho de banda limitado, falta de mitigación en capa de red (ej: sin CDN).


           Mitigación:Uso de CDNs (CloudflareAkamai).

       Filtrado de tráfico (blackholing).

       Herramientas: AWS ShieldArbor Networks. 

 Cloudflare. (2022). What is a DDoS attack? https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/


Inyección SQL: Explotación de vulnerabilidades en bases de datos.

La inyección SQL es un ataque que explota vulnerabilidades en bases de datos insertando código malicioso en consultas SQL, permitiendo robo, modificación o eliminación de datos.


            Detección: Monitoreo de consultas SQL anómalas (IBM QRadar).

           Scanners como SQLMap.


      Vulneravilidades: Consultas SQL no parametrizadas, sanitización de inputs nula o débil.



           Mitigación: Consultas parametrizadas y principios de mínimo privilegio.

           WAFs (ModSecurityImperva).

Herramientas: AcunetixOWASP ZAP.  

Open Web Application Security Project (OWASP). (2021). SQL Injection. https://owasp.org/www-community/attacks/SQL_Injection


Man-in-the-Middle (MitM): Interceptación de comunicaciones

El ataque Man-in-the-Middle (MitM) intercepta y altera la comunicación entre dos partes sin su conocimiento, robando datos o suplantando identidades en redes inseguras.


           Detección: Anomalías en certificados SSL/TLS.

           Herramientas como Wireshark para analizar tráfico.


      Vulneravilidades:Conexiones no cifradas (HTTP), certificados SSL no validados.


          Mitigación: VPNs y cifrado de extremo a extremo.

           Uso de protocolos como HTTPS y DNSSEC.

Herramientas: EttercapKali Linux.  

Kaspersky. (2023). Man-in-the-middle attack. https://www.kaspersky.com/resource-center/definitions/man-in-the-middle-attack


Zero-Day Exploits: Ataques que aprovechan vulnerabilidades desconocidas.

Un zero-day exploit es un ciberataque que aprovecha una vulnerabilidad desconocida (sin parches disponibles) antes de que los desarrolladores puedan corregirla, causando daños graves.


           Detección:Comportamiento anómalo con SentinelOne o Cortex XDR.


      Vulneravilidades: Fallos desconocidos en software/hardware (sin parches disponibles).


         Mitigación: Segmentación de redes y parches rápidos.

           Soluciones EDR (Endpoint Detection and Response).

Herramientas: VirusTotalMetasploit.  

MITRE. (2023). *CVE-2023-XXXX: Zero-Day Vulnerabilities*https://cve.mitre.org/


Malware (Troyanos, Spyware): Software malicioso para robo de datos.

El malware (troyanos, spyware, etc.) es software malicioso diseñado para infiltrarse, robar datos o dañar sistemas, ocultándose como programas legítimos o explotando vulnerabilidades.


           Detección: Antivirus con IA (CylanceKaspersky).

           Análisis de sandbox (Cuckoo Sandbox).


      Vulneravilidades:Ejecución de archivos no verificados, permisos de administrador innecesarios.


           Mitigación: Restricción de ejecutables no autorizados.

           Actualizaciones frecuentes.

Herramientas: MalwarebytesHuntress.  

Microsoft Security. (2022). What is malware? https://www.microsoft.com/en-us/security/business/security-101/what-is-malware


Credential Stuffing:Uso de credenciales robadas en múltiples sitios.

El credential stuffing es un ataque automatizado donde hackers prueban combinaciones de usuarios/contraseñas robadas (de brechas anteriores) en múltiples plataformas para acceder ilegalmente a cuentas.


           Detección: Alertas por múltiples intentos de login (OktaDuo Security).


      Vulneravilidades:Reutilización de contraseñas, falta de MFA o rate-limiting.


           Mitigación: MFA y listas de contraseñas comprometidas (Have I Been Pwned).


      Herramientas: Dark Web ID*F5 BIG-IP*.  

OWASP. (2021). Credential Stuffing. https://owasp.org/www-community/attacks/Credential_stuffing


Cross-Site Scripting (XSS): Inyección de scripts maliciosos en páginas web.

El Cross-Site Scripting (XSS) es un ataque que inyecta scripts maliciosos en páginas web legítimas, ejecutándose en el navegador de la víctima para robar cookies, datos o secuestrar sesiones.


           Detección: Scanners como Burp Suite o Netsparker.


       VulneravilidadesFalta de sanitización de inputs, ausencia de CSP (Content Security Policy).


           Mitigación: Sanitización de inputs y CSP (Content Security Policy).

           Herramientas: OWASP ZAPSucuri.  

PortSwigger. (2023). What is XSS? https://portswigger.net/web-security/cross-site-scripting


Insider Threats: Ataques desde dentro de la organización.

El Insider Threat es un riesgo de seguridad causado por empleados, socios o usuarios internos que, intencionalmente o por negligencia, filtran datos, roban información o dañan sistemas aprovechando su acceso privilegiado.


          Detección: Monitoreo de actividad con Varonis o Proofpoint.


      Vulneravilidades:Accesos privilegiados mal gestionados, falta de monitoreo de actividad interna.

          

          Mitigación: Acceso basado en roles (RBAC) y auditorías.

Herramientas: Forcepoint DLPDigital Guardian

 Verizon. (2023). Data Breach Investigations Report (DBIR)https://www.verizon.com/business/resources/reports/dbir/

 


Comentarios

Publicar un comentario

Entradas populares