CAPÍTULO 3. ¿ESTÁS PREPARADO PARA UN CIBERATAQUE?

1. INFECCIÓN POR RANSOMWARE.

 

1.1 QUÉ ES EL RANSOMWARE.

El Ransomware es un Malware (software malicioso) que bloquea nuestro dispositivo, pudiendo llegar a cifrar el contenido del disco duro. Una vez que hemos perdido el control sobre nuestro equipo nos reclaman el pago de un rescate que habitualmente se solicita en criptomonedas, bitcoins por ejemplo.

Hoy día hay Ransonware tanto para equipos de sobremesa y portátiles como para dispositivos móviles (smartphones y tablets).

El Ransomware llega oculto dentro de otro archivo o programa y se activará en el momento que hagamos doble click sobre el archivo.

Podemos infectarnos desde archivos que recibimos en como adjuntos en correos electrónicos o que recibimos como adjuntos en aplicaciones de mensajería instantánea como WhatsApp o Telegram. Tanto para dispositivos móviles como si usamos las aplicaciones web que nos permiten usar el servicio en un ordenador de sobremesa o portátil.

También podemos infectarnos visitando páginas de dudoso origen: pornográficas o de descargas de películas o música e, incluso, al realizar el proceso de actualización de sistemas operativos y software legítimo, como Microsoft Windows o Adobe Flash, si no lo hacemos desde las webs oficiales de los fabricantes.

Una vez que ha penetrado en el ordenador, el malware se activa y provoca el bloqueo de todo el sistema operativo y lanza el mensaje de advertencia con la amenaza y el importe del «rescate» que se ha de pagar para recuperar toda la información. El mensaje puede variar en función del tipo de ransomware al que nos enfrentemos: contenido pirateado, pornografía, falsos virus, …

1.2 ¿CÓMO EVITAMOS INFECTARNOS?

Para evitar infectarnos por un Ransonware debemos seguir las siguientes pautas, pautas que por otro lado son de sentido común:

  • Mantener nuestro sistema operativo y nuestras aplicaciones actualizadas, evitando así que el atacante se aproveche de vulnerabilidades ya identificadas.
  • Disponer, por lo menos, de un antivirus siempre actualizado.
  • No abrir correos electrónicos o archivos con remitentes desconocidos. Nos intentarán engañar enviándonos correos electrónicos con un gancho para que piquemos.
  • Evitar navegar por páginas no seguras o con contenido no verificado.
  • Tener un sistema de copia de seguridad y un procedimiento de recuperación definido que nos permitan recuperar el sistema en el menor tiempo posible sin pérdida de información.

 

1.3 UNA VEZ INFECTADOS, ¿CÓMO LO ARREGLAMOS?

Pues realmente no es sencillo. Las autoridades y el propio INCIBE insisten en no pagar el rescate porque nadie te garantiza que vayas a recuperar el acceso a la información. Por otro lado, aunque la recuperes es casi seguro que quedará infectada con algún otro tipo de malware.

La mejor solución sería recuperar una copia de seguridad, lo más reciente posible, pero en muchas ocasiones no disponemos de ella.

En otras ocasiones y si el ransomware ya está identificado y analizado, es posible que exista algún tipo de procedimiento de recuperación.

En caso contrario, podemos recurrir:

 

1.4 COMPORTAMIENTO DEL RANSOMWARE AL INFECTAR EL SISTEMA.

Durante estos últimos años hemos sufrido numerosos ataques de tipo ransomware y podemos calificar los ataques de:

  1. Bloqueo del Sistema. «Virus de la Policía».
  2. Cifrado de Información. CTB-Locker.
  3. Bloqueo y cifrado del sistema. Segunda variante de Petya | Bad Rabbit.
  4. Bloqueo y malware que habla para pedir el rescate. Jisut.
  5. Cifrado y robo de información o billeteras virtuales. Cerber.
  6. Ransomware PUBG. MSIL/Filedecoder.HD
  7. Pago con fotos íntimas. nRansom.
  8. Ransomware en dispositivos IoT
  9. Ransomware en smartphones o tablets.
  10. Ransomware para fugas de información.

 

2. ATAQUE POR PHISHING.

2.1 ¿QUÉ ES EL PHISING?

¿Alguna vez has recibido un correo electrónico de alguien en el que te piden que sigas un enlace que te lleva a una página web donde tienes que realizar algún tipo de revisión vinculada a tus datos personales? ¡Mucho cuidado! Es muy posible que estés siendo víctima de un ataque de tipo phishing.

El phishing es una técnica utilizada por ciberdelincuentes para, haciéndose pasar por una entidad o persona de confianza, a través del correo electrónico u otros canales de comunicación, robarnos información confidencial como nombres de usuario, contraseñas y datos de tarjetas de crédito, entre otras, mientras accedemos a un servicio web que creemos seguro y legítimo.

Aunque podemos ver phishing en otros escenarios, el más frecuente está asociado con la clonación de una página web para hacer creer al visitante que se encuentra en el sitio web al que quería acceder, cuando en realidad es falso.

El usuario creerá que está accediendo a la web legítima e introducirá sus credenciales de acceso sin darse cuenta de que en realidad está enviándoles sus datos al atacante. Una vez introducidos los datos, y otra vez sin darse cuenta, será redirigido automáticamente hacia la página legítima a la que quería acceder.

El phishing es el origen del 90% de los ciberataques. Es por eso por lo que la inversión en la concienciación para prevenirlos tiene que ser cada vez más elevada, sin olvidar que los ciberdelincuentes buscaran nuevos métodos de engaño.

La consecuencia es que los usuarios desconocen que el sitio web donde están ingresando información confidencial está controlado por estos ciberdelincuentes.

2.2 TIPOS DE PHISHING.

DECEPTIVE PHISHING: es el más común y ya descrito anteriormente. Busca conseguir nuestras credenciales de acceso a un servicio web (usuario y contraseña, habitualmente).

Por ejemplo: Intento de phishing con Carrefour.

CAPÍTULO 3. ¿ESTÁS PREPARADO PARA UN CIBERATAQUE?

Fuente: Guardia Civil

  • MALWARE-BASED PHISHING: son aquellos ataques en los que el phishing busca que el usuario descargue y/o ejecute un archivo o visite una página web desde dónde se le infectará con un Malware.
  • DNS-BASED PHISHING: También conocido como Pharming. El ataque consiste en modificar los archivos hosts de una empresa o el sistema de nombres de dominio de la misma, para que las solicitudes de URL devuelvan una dirección falsa y las comunicaciones sean dirigidas a un sitio web falso. Este tipo de ataques se podrían mitigar si las contraseñas de los administradores de los routers que nos dan servicio a internet se cambiaran una vez instalados, algo que, en el entorno de las PYMEs, Micropymes o Profesionales, no hace prácticamente nadie.
  • CONTENT-INJECTION PHISHING: en estos ataques se sustituye parte del contenido de un sitio legítimo con contenido falso diseñado para engañar o desviar al usuario a dar su información confidencial.
  • SEARCH ENGINE PHISHING: mediante esta técnica podemos infectarnos simplemente haciendo una búsqueda en Google o Bing, ya que se los enlaces maliciosos están indexados en los motores de búsqueda de los propios buscadores, ofreciéndose los resultados en una búsqueda normal y corriente. Uno de los casos más recordados fue el sufrido por el Banco Sabadell. Durante un tiempo aparecieron dos anuncios patrocinados en las dos primeras posiciones de los resultados de búsqueda de Google. Cuando se pinchaba en ellos, la víctima era redirigida a una página web fraudulenta que solo se diferenciaba de la oficial en la URL.
  • MAN-IN-THE-MIDDLE-PHISHING: es el más difícil de detectar, ya que el ciberdelincuente se coloca entre el ordenador del usuario y el servidor, grabando, así, la información que se transmite entre ambos.

2.3 ¿CÓMO PODEMOS EVITAR EL PHISHING?

  • No conteste ningún correo que solicite información personal o financiera. Recuerda que ningún banco, u otras entidades, solicitan información confidencial a través de canales no seguros y en ningún caso lo hacen a través de correo electrónico.
  • Nunca haga click en el enlace que te invitan a visitar. En todo caso escribe tú mismo la dirección en tu navegador de Internet.
  • Comprueba que la página utiliza el protocolo HTTPS para proteger la autenticación y la comunicación. En los navegadores aparecerá un pequeño candado cerrado. Si la dirección comienza por http:// no sigas adelante.
  • Activa con tu entidad bancaria el sistema, disponible en casi todos, que obliga a que te avisen cuando se realice cualquier tipo de trasferencia desde tus cuentas.
  • Usa sistemas anti-spam.

 

3. FUGA DE INFORMACIÓN.

En el año 2010 se produjo, la que está considerada hasta la fecha, como la mayor filtración de información de la historia. Wikileaks, una organización sin ánimo de lucro publicó un total de 250.000 documentos que se habían enviado entre el Departamento de Estado Estadounidense y sus embajadas repartidas por todo el mundo. Las consecuencias ya las conocemos todos.

Todos los incidentes de fuga de información nos constatan lo difícil que es proteger la confidencialidad de la información, por otro lado, el activo más valioso de cualquier organización. Denominamos incidentes de fuga de información a aquellos incidentes que ponen en poder de una persona ajena a la organización, información confidencial.

El incidente puede ser interno o externo y podría ser provocado o no intencionado.

Algunos ejemplos de fuga de información pueden ser:

  • Un empleado vendiendo información confidencial a la competencia (incidente interno e intencional).
  • Un administrativo que pierde un documento en un lugar público (incidente interno y no intencional).
  • La pérdida de una portátil, tablet, smarphone o pendrive (incidente interno y no intencional).
  • El acceso desde el exterior a una base de datos de la organización (incidente externo e intencional).
  • Un equipo infectado con un Spyware que envíe información al exterior sin que seamos conscientes de ello (incidente externo e intencional).

La intencionalidad del incidente determina el impacto de la fuga de información. En el caso de que el incidente sea no intencionado es muy probable que no ocurra nada, sin embargo, en los incidentes provocados, el impacto es evidente y dependerá de qué información se haya visto afectada.

Independientemente de que el origen sea intencionado o inintencionado, la realidad es que el incidente es difícilmente reparable pudiendo llegar a provocar desde pérdidas económicas a pérdidas reputacionales o de imagen.

Impacto global

  • Daño de imagen.
  • Consecuencias legales.
  • Consecuencias económicas.
  • Otras consecuencias que suponen un impacto negativo en ámbitos muy diversos, como, por ejemplo, el ámbito institucional, político, diplomático o gubernamental, entre otros.

Otros factores que tener en consideración, sobre el impacto global, tiene que ver con el tipo de información que ha sido sustraída:

  • Si son datos de carácter personal o no.
  • Si los datos son internos a la organización o son externos.

 

4. ATAQUE POR INGENIERÍA SOCIAL.

La ingeniería social, que no es otra cosa que conseguir engañar a alguien con el objetivo de conseguir de ellos lo que se desee, se ha convertido en uno de los principales vectores de ataque a las empresas. Fundamentalmente porque a partir de este ataque, a un trabajador, como se inician ataques como los descritos anteriormente: malware, ransomware, …, llegando incluso a las temidas APTs o Amenazas Persistentes Avanzadas.

El término saltó a la fama tras la publicación, por parte de The New York Times, del ataque realizado por una unidad militar china (conocida como APT1) contra las redes de diferentes medios, mediante una campaña de spearphishing y malware.

Las APTs son, probablemente el ataque más sofisticado que nos podemos encontrar y al que más recursos va a destinar el ciberdelincuente. A diferencia de lo visto hasta ahora, son ataques dirigidos contra compañías concretas, no ataques