Recientemente el Instituto Nacional de Ciberseguridad (INCIBE) ha lanzado la ‘Guía de ciberataques. Todo lo que debes saber a nivel usuario’.

Se trata de una guía que pretende convertirse en una consulta de referencia para los usuarios de Internet interesados en conocer los tipos de ciberataques a los que se exponen, sin tener grandes conocimientos técnicos.

Está escrita en un lenguaje sencillo y recoge las características de todos los ciberataques posibles a los que todo internauta puede enfrentarse

Además es muy útil para las empresas conocer este tipo de amenazas, ya que disponen de datos muy valiosos y los empleados deben conocerlas.

A continuación a modo de resumen veremos los más usuales y en qué consisten.

Ataques a contraseñas

Se realizan a través de múltiples técnicas y herramientas con las que atacan nuestras claves de acceso.

Además los usuarios solemos caer habitualmente en malas prácticas que ponen en peligro nuestras claves tales usar la misma contraseña para distintos servicios, fáciles de recordar y nada complejas, información personal a modo de contraseñas o el uso de patrones sencillo

Destacan principalmente los de:

• Fuerza bruta: Tratan de adivinar nuestra contraseña a base de ensayo y error. Comienzan probando diferentes combinaciones con nuestros datos personales, en caso de conocerlos previamente. Luego, continúan haciendo combinaciones de palabras al azar, conjugando nombres, letras y números hasta que encuentran el patrón correcto.
  
  
• Ataque por diccionario: Los ciberdelincuentes utilizan un software automatizado que trata de averiguar nuestra contraseña realizando diferentes comprobaciones desde letras simples como “a”, “AA” o “AAA” y progresivamente va cambiando a palabras más complejas. 

Ataques por ingeniería social

Los ataques por ingeniería social se basan en un conjunto de técnicas dirigidas a los usuarios, con el objetivo de conseguir que revelemos información personal o permita al atacante tomar control de nuestros dispositivos.

Aquí los principales serían:

• Phishing, Vishing y Smishing: Son ataques basados en ingeniería social muy similares en su ejecución. Generalmente enviará un mensaje suplantando a una entidad, como por ejemplo un banco, una red social, un servicio técnico o una entidad pública, con la que nos sintamos confiados. Estos mensajes suelen ser de carácter urgente para evitar que apliquen el sentido común.
  
  
• Baiting o Gancho: El Baiting conocido como “cebo” se sirve de nuestra curiosidad o avaricia y utilizando este recurso los atacantes consiguen que infectemos nuestros propios equipos o compartamos información personal.
  
  
• Spam: Consiste en el envío masivo de mensajes o envíos publicitarios a través de Internet sin haber sido solicitados. La mayoría tienen una finalidad comercial, aunque algunos llegan a tener algún tipo de malware

Ataques a las conexiones

Los ataques a las conexiones inalámbricas son muy habituales y se sirven de diversos software y herramientas con las que romper la seguridad e infectar o tomar control de estos dispositivos. Generalmente, estos ataques se basan en interponerse en el intercambio de información entre nosotros y el servicio web, para monitorizar y robar nuestors datos personales, bancarios, contraseñas, etc.

Los principales serían:

• Redes trampa: La creación de redes wifi falsas es una práctica muy utilizada por los ciberdelincuentes y consiste en la creación de una red wifi gemela a otra legítima y segura, con un nombre igual o muy parecido al original.
  
  
• Spoofing: Consiste en el empleo de técnicas de hacking de forma maliciosa para suplantar nuestra identidad, la de una web o una entidad. El objetivo de los atacantes es, mediante esta suplantación, disponer de un acceso a nuestros datos.
  
  
• Ataques a Cookies: Las cookies se envían entre el servidor de la web y nuestro equipo, sin embargo, en páginas con protocolos http, este intercambio puede llegar a ser visible para los ciberdelincuentes. Los ataques a las cookies consisten en el robo o modificación de la información almacenada en una cookie.
  
  
• Ataque DDoS: DDoS son las siglas en inglés de “Ataque distribuido denegación de servicio” y consiste en atacar un servidor web al mismo tiempo desde muchos equipos diferentes para que deje de funcionar al no poder conectar correctamente.

Ataques por malware

Los ataques por malware se sirven de programas maliciosos cuya funcionalidad principalmente consiste en llevar a cabo acciones dañinas en un sistema informático y contra nuestra privacidad. Generalmente buscan robar información, causar daños en el equipo, obtener un beneficio económico a nuestra costa o tomar el control de su equipo. 

Los más usuales son:

• Virus:Los virus se encuentran dentro de la categoría de malware y están diseñados para copiarse a sí mismos y propagarse a tantos dispositivos como les sea posible.
  
  
• Spyware: Este malware se instala en nuestros equipos y comienza a recopilar información, supervisando toda su actividad para luego compartirlo con un usuario remoto. También es capaz de descargar otros malware e instalarlos en el equipo.
  
  
• Troyanos: Los troyanos suelen camuflarse como un software legítimo para infectar nuestro equipo, o a través de ataques de ingeniería social.
  
  
• Ransomware: Se trata de un tipo de malware que consigue tomar el control del dispositivo para cifrar el acceso al mismo y/o nuestros archivos o discos duros. A cambio de recuperar el control y la información, nos exigirá el pago de un rescate.
  
  
• Gusano: Se trata de un tipo de malware que, una vez ejecutado en un sistema, puede modificar el código o las características de este. Generalmente, pasan inadvertidos hasta que su proceso de reproducción se hace evidente, produciendo consecuencias en el rendimiento de nuestro equipo.
  
  
• Apps maliciosas: Las Apps maliciosas se hacen pasar por aplicaciones legítimas o tratan de emular a otras aplicaciones de éxito. Una vez instaladas en el dispositivo, nos pedirán una serie de permisos abusivos o, por el contrario, harán un uso fraudulento de dichos permisos

Recomendaciones

Para concluir y evitar estos ciberataques. las principales acciones que se recomiendan en esta guía son:

• Utiliza un antivirus para analizar y evitar acabar infectado por malware. Debes mantenerlo siempre actualizado y activo.
  
  
• Mantén el sistema operativo, navegador y aplicaciones siempre actualizadas a su última versión para evitar vulnerabilidades.
  
  
• Utiliza contraseñas robustas y diferentes para proteger todas tus cuentas. Si es posible, utiliza la verificación en dos pasos u otro factor de autenticación adicional.
  
  
• Desconfía de los adjuntos sospechosos, enlaces o promociones demasiado atractivas. La mayoría de los fraudes se basan en ataques de ingeniería social que pueden ser detectados aplicando el sentido común.
  
  
• Ten cuidado por dónde navegas. Utiliza solo webs seguras con https y certificado digital y utiliza el modo incógnito cuando no quieras dejar rastro.
  
  
• Descarga solo de sitios oficiales aplicaciones o software legítimo y recuerda dar solo los permisos imprescindibles para su funcionamiento.
  
  
• Evita conectarte a redes wifi públicas o a conexiones inalámbricas desconocidas. Especialmente cuando vayas a intercambiar información sensible, como los datos bancarios. Y en caso de que tengas que conectarte por una emergencia, trata de utilizar una VPN.
  
  
• No compartas tu información personal con cualquier desconocido ni la publiques o guardes en páginas o servicios webs no fiables.
  
  
• Haz copias de seguridad para minimizar el impacto de un posible ciberataque.

Como hemos podido observar y en los tiempos actuales es muy importante conocer lo que nos podemos encontrar en Internet y en diversas aplicaciones y hay que ser precavidos.

Con estas medidas y conociendo los tipos de ataques existentes tendremos nuestros datos más seguros.

¿Necesitas ayuda en algún aspecto tecnológico? ¿Quieres empezar a digitalizar tu empresa o negocio de forma segura? Accede aquí.

Te recomendamos leer