Seguridad
18 minutos
¿Qué es un ataque informático?
Wikipedia define ataque informático o ciberataque como “un intento de exponer, alterar, desestabilizar, destruir, eliminar para obtener acceso sin autorización o utilizar un activo. Un ciberataque o ataque informático, es cualquier maniobra ofensiva de explotación deliberada que tiene como objetivo de tomar el control, desestabilizar o dañar un sistema informático (ordenador, red privada, etcétera). El atacante es un individuo u organización que intenta obtener el control de un sistema informático para utilizarlo con fines maliciosos, robo de información o de hacer daño a su objetivo. Un ciberataque utiliza códigos maliciosos para corromper los códigos, datos privados o algoritmos, generando consecuencias que comprometen y vulneran la seguridad de los sistemas de información”.
Los ataques informáticos suelen perseguir un objetivo previamente definido por el atacante, como puede ser el producir daños en las redes o datos de una empresa, de manera que su actividad se vea paralizada o comprometida. Otra de las motivaciones de este tipo de delincuentes pasa por tratar de obtener crédito económico tras realizar un secuestro de datos que resulten vitales para la parte afectada; en estos casos, el atacante exige el pago de una cuantía a cambio de que la empresa, institución o persona pueda rescatar la información comprometida. Los ataques también pueden tener como único objetivo el robo masivo de información de carácter personal o empresarial que luego pueda ser explotada en beneficio del atacante o de un tercero al que se le facilita esta información también a cambio de un beneficio económico.
Quizás resulte habitual para mucha gente imaginar a un único individuo cuando se reflexiona sobre el origen de un ataque informático, pero es muy común que estos hackers también se organicen en grupos, que pueden tener un carácter criminal o también ideológico. E incluso en ocasiones, son los propios gobiernos o instituciones -en la denominada ciberguerra- o las propias empresas privadas quienes lleven a cabo estos ciberataques – en estos casos, hablaríamos de ciberespionaje-.
Fases de un ataque informático
Se pueden diferenciar 7 etapas durante el ciclo de vida de un ataque informático; conocerlas es fundamental para prevenir, detectar, interrumpir y recuperarse de estos ataques.
Estas siete fases o etapas componen lo que se denomina como cyber kill chain, y son las siguientes: reconocimiento, preparación, distribución, explotación, instalación, comando y control, acciones sobre los objetivos. Vamos a verlas de forma más detallada:
Reconocimiento. Durante esta fase, el atacante busca y recopila información sobre el objetivo. Suele comenzar por el análisis de los datos de acceso público y de las tecnologías empleadas por la víctima, utilizando en ocasiones el correo electrónico y las redes sociales para obtener información de los empleados, en el caso de empresas o instituciones. Esta información es utilizada para determinar el método de ataque más efectivo para los intereses del atacante. Por ello, es fundamental que los empleados tengan una formación básica en ciberseguridad que les permita tomar las precauciones necesarias ante este tipo de situaciones.
Preparación. Cuando el atacante haya recopilado la información necesaria, podrá determinar el método de ataque más efectivo para cumplir su objetivo, como la suplantación de identidad de un individuo o el envío de correos con ficheros maliciosos.
Distribución. Es aquí cuando se produce la transmisión del ataque al objetivo. Los métodos más empleados son: ataques phishing (suplantación de identidad), explotación de vulnerabilidades de software o de seguridad de la red, uso ilícito de credenciales de usuario, uso de malware y uso de dispositivos de almacenamiento infectados.
Explotación. Durante esta fase es en la que se produce el ataque propiamente dicho, cuando se compromete la seguridad del dispositivo o de la red que los contiene. En la mayoría de las ocasiones, se realiza haciendo uso de vulnerabilidades de software ya conocidas, por lo que se hace indispensable actualizar periódicamente tanto el sistema operativo como el antivirus con los últimos parches disponibles. De lo contrario, estaremos dejando una puerta abierta a los atacantes, facilitando así su actividad.
Instalación. En esta fase, el atacante logra acceso al equipo de la víctima instalando en él una vulnerabilidad que le permita acceder por un tiempo determinado. También puede darse el caso de que no se requiera la instalación de ningún tipo de malware al haberse producido un robo de las credenciales del usuario.
Comando y control. Una vez el atacante ya cuenta con acceso al sistema, comienza el ejercicio de actividades ilícitas, como la sustracción de credenciales o documentación confidencial, instalación de malware, escaneo de la red para conocer su estructura y tipología, etc.
Acciones sobre los objetivos. Se trata de la fase final. Aquí, el atacante intenta ampliar su actividad hacia nuevos objetivos con toda la información recopilada, dando comienzo a un nuevo ciclo de vida de lo que denominábamos anteriormente como cyber kill chain.
Tipos de ataques informáticos
Existe una gran variedad de ataques informáticos, veamos cuáles son los más comunes y cómo podemos prepararnos para prevenirlos.
Malware
Este término hace referencia a aquel software malicioso utilizado para realizar ataques en los sistemas informáticos con el objetivo de robar datos, cifrarlos, secuestrarlos, o, simplemente, para realizar labores de espionaje. Dentro de esta categoría, podemos diferenciar varios tipos:
Virus Se trata de un código diseñado para para propagarse por todo el sistema una vez haya sido ejecutado por cualquier usuario, pudiendo llegar a propagarse por toda la red y los dispositivos que la componen, con consecuencias que pueden ser muy dispares.
Ransomware Este tipo de ataque, muy utilizado en la actualidad, persigue bloquear y secuestrar toda la información de una empresa o corporación a través de un cifrado de datos, para posteriormente extorsionar a la víctima exigiendo un rescate para poder recuperar toda esta información comprometida. Los atacantes suelen exigir el pago del rescate en criptomonedas, lo que dificulta enormemente trazar el origen del ataque.
Troyanos De características similares a los virus, están ideados como una forma silenciosa de obtener acceso ilegítimo a un sistema a través de una puerta trasera o backdoor. Habitualmente, se camuflan en ejecutables de apariencia legítima.
Gusanos Los gusanos son un método de propagación de código maligno consistente en un malware capaz de replicarse haciendo copias de sí mismo y difundiéndose por toda la red o a través del correo electrónico. Son difíciles de detectar, ya que están ideados para no afectar el rendimiento o funcionamiento del sistema. El grueso de este tipo de malware tiene como objetivo crear granjas de botnets con los equipos infectados desde las que poder lanzar ataques coordinados en cualquier momento.
Spyware Este malware tiene como objetivo espiar de forma silenciosa a la víctima, registrando toda la actividad que lleva a cabo sin que esta se percate en ningún momento. Toda la información recopilada se remite posteriormente al atacante.
Adware No necesariamente malicioso, está diseñado para mostrar publicidad al usuario a través de ventanas emergentes una vez se ha llevado a cabo la instalación de un software infectado. Habitualmente, se persigue conocer el historial de navegación de la víctima para mostrar publicidad relacionada.
Exploit Es un programa que hace uso de vulnerabilidades o errores de diseño para infectar hardware, aplicaciones, redes o sistemas operativos, permitiendo realizar posteriormente ataques, robo o secuestro de información. Habitualmente, estos ataques permiten tomar el control de los sistemas infectados.
Inyección de código SQL
Este ataque es de los más comunes dentro de los ataques informáticos. Tiene como finalidad infiltrar código malicioso valiéndose de alguna vulnerabilidad a través de las operaciones en bases de datos. Estas vulnerabilidades suelen tener como origen errores de diseño del sistema, permitiendo al atacante manipular, destruir o robar la información de una base de datos a través de la inyección de consultas SQL maliciosas, normalmente en aplicaciones tipo web con campos de entrada donde poder lanzar estas consultas camufladas como legítimas.
Phishing
Se trata de una forma de ingeniería social que hace uso fundamentalmente de correos electrónicos o mensajes de texto de apariencia legítima para obtener información confidencial por parte de la víctima a través de la suplantación de identidad de una persona o de una corporación. El atacante pone a disposición de la víctima un enlace malicioso que comprometerá su sistema, revelando información confidencial o infectando el sistema con algún tipo de malware.
Presente desde los inicios de la popularización de internet, esta técnica ha experimentado un gran crecimiento durante los últimos años, en los que ha aumentado de forma notable el nivel de sofisticación de estos correos, dotándoles de una apariencia legítima que conlleva que el número de víctimas y daños causados sea cada vez mayor.
Ataque de denegación de servicio distribuido (DDoS)
Los ataques de denegación de servicio o DDoS tienen como objetivo bloquear los servidores y la red de la víctima a través del envío masivo de peticiones que terminan por colapsar todas las comunicaciones en el sistema.
Este tipo de ataque es muy utilizado en la actualidad, lanzados habitualmente desde granjas de botnets cuyos equipos pueden encontrarse infectados desde un largo tiempo, y en letargo hasta que se activan a demanda del atacante que posee el control sobre ellos, por lo que los usuarios no llegan a ser conscientes de que están formando parte de un ataque masivo. Se trata de ataques muy temidos por empresas y corporaciones, ya que su ejecución es relativamente sencilla y el rastreo del atacante es una tarea complicada.
¿Se producen ataque informáticos en España?
En España no estamos exentos de sufrir ataques informáticos, tanto a pequeña como gran escala, que afectan tanto a organismos públicos como a entidades de carácter privado. Se estima que se producen más de 40 mil ciberataques diarios en nuestro país, cifra que va aumentando cada año, y que 9 de cada 10 empresas españolas sufrió al menos un ciberataque durante este último año, siendo las compañías de seguros, las de telecomunicaciones y de banca las más afectadas.
Durante los últimos meses, se han producido casos sonados en España que han llegado a la prensa generalista. Un ejemplo es el ataque sufrido por el SEPE (Servicio Público de Empleo Estatal), víctima de un ataque con el conocido ramsonware ‘Ryuk’, muy utilizado para atacar entidades públicas, y mediante el cual se produce un cifrado de datos que impide su acceso hasta que se produce un pago por parte de la víctima a cambio de rescatar esta información. Este ataque, en palabras del propio SEPE, provocó una paralización de toda su actividad, tanto telemática como en las propias oficinas, lo que derivó en un gran retraso en la gestión de citas en todo el país. Todo esto tuvo unas consecuencias graves para la organización, ya que, además, esta situación coincidió con un aumento de su actividad debido a los efectos de la pandemia de COVID-19. No obstante, no consta que el atacante exigiera un pago para liberar la información comprometida.
Otra víctima reciente de ciberataques ha sido Glovo, la empresa española de reparto. Una brecha de seguridad en un panel de mantenimiento de una aplicación web permitió al atacante obtener una gran cantidad de información que más tarde fue puesta a la venta en Internet. En este caso, aunque no se filtraron datos bancarios ni especialmente sensibles, sí quedó evidenciado que los datos de los clientes no se habían cifrado correctamente.
También cabe señalar el caso de Phone House, que sufrió un ataque por el cual se cifraron datos sensibles de millones de clientes de esta compañía. A través de un ransonmware, el atacante robó esta información sensible de los clientes exigiendo a continuación a la empresa el pago de un rescate a cambio de no hacer públicos estos datos y de no facilitárselos a la competencia.
Otro caso sonado fue el sufrido por la cadena MediaMarkt, que también fue víctima de ataques ransomware coincidiendo con la campaña de Black Friday, por lo que las consecuencias fueron graves al verse muy afectada la actividad comercial. A través de un correo interno se logró comprometer la seguridad de más de tres mil sistemas Windows, bloqueando prácticamente toda la operativa de la compañía. Si bien la mayor parte de los ataques se produjeron en Holanda, Bélgica y Alemania, las tiendas de España también estuvieron afectadas por estos ataques y sufrieron sus consecuencias.
Pero si unas líneas más arriba señalábamos que se estima que se producen unos 40 mil ataques informáticos diarios en España, como podremos imaginar, no solo las grandes empresas o corporaciones son víctimas de estos ciberataques. En realidad, la mayor parte de estos ataques tienen a las PYMES como principal objetivo. En los últimos años se ha producido un gran incremento en el número de ataques sufridos por este tipo de empresas, que les hace perder de 2.000 a 50.000 euros según la gravedad del ataque.
El principal motivo de que este tipo de empresas reciban un gran número de ataques es que muchas de ellas son muy vulnerables, lo que las convierte en un objetivo fácil para los atacantes. Ya sea por malas prácticas o por una falta de recursos, un gran número de PYMES se encuentran totalmente expuestas a sufrir este tipo de ataques. Según el informe Indicadores sobre confianza digital y ciberseguridad en España y la Unión Europea, la falta de formación a empleados es una de los principales problemas en el ámbito de la seguridad informática, pero con grandes diferencias según el tamaño de las empresas. Se señala también que “más de la mitad de las empresas españolas habían definido una política de seguridad TIC en 2019, pero solo el 25% lo habían definido o revisado en los últimos 12 meses”. Este último dato es bastante revelador para entender el incremento en el número de ataques a medida que la presencia digital de las PYMES también ha ido en aumento.
¿Cómo prevenir y solucionar un ataque de virus informático?
En el caso de las empresas, la mejor forma de prevenir un ataque informático es establecer las medidas necesarias que permitan reducir el impacto del ataque lo máximo posible. Y es que por mucho empeño que se ponga, no existe ningún entorno informático que sea 100% seguro, y aproximarse a ello también puede suponer un coste que lo haga inviable en la práctica.
En primer lugar, debemos señalar las medidas de prevención, entre las que destaca la fomentación de buenas prácticas en la gestión de la información a través de una definición de roles que determine el nivel de acceso a esta, definiendo las políticas de seguridad necesarias para todo el ciclo de vida de los datos. También es fundamental diseñar un sistema de control de accesos, tanto físicos como de sistemas. Pero todo esto no servirá de nada si no se diseña un plan de formación para los empleados que les permita obtener el conocimiento y la sensibilidad necesarios para afrontar este tipo de escenarios de la mejor manera. Todo esto se podría resumir, al fin y al cabo, en el establecimiento de un protocolo de seguridad.
Adicionalmente, debemos fomentar medidas dirigidas a esta labor de prevención, como pueden ser el uso de contraseñas seguras, no descargar programas o archivos de dudosa fiabilidad o ignorar mensajes de remitentes desconocidos.
Como parte de estas medidas preventivas, es fundamental contar con un inventario de todos los riesgos existentes, a la vez que se van diseñando distintos mecanismos para protegerlos, revisándolos periódicamente para cerciorarse de que no han quedado obsoletos. También es absolutamente indispensable tener actualizados con los últimos parches disponibles tanto los sistemas operativos como del antivirus utilizado; de lo contrario, los sistemas estarán expuestos, siendo susceptibles de sufrir ataques como consecuencia de no tener solucionadas las distintas vulnerabilidades que siempre van siendo descubiertas a lo largo del tiempo.
En segundo lugar, debemos hablar de otra fase fundamental: la detección. Detectar a tiempo un ataque informático puede ayudar a prevenirlo o a reducir el impacto sufrido. Es imprescindible contar con un sistema de monitorización que nos ponga alerta ante cualquier sospecha y nos permita gestionar de la mejor manera las acciones necesarias para repeler o interrumpir el ataque. Este sistema de monitorización nos puede resultar de gran ayuda para identificar picos de tráfico anormales, detectar conexiones fraudulentas, identificar códigos maliciosos, etc.
Si sufrimos un ataque informático y lo detectamos cuando este ya está en curso, debemos afrontar una fase de recuperación. Previamente, tendremos que haber diseñado un plan que nos permita recuperar el sistema tal y como estaba antes de la consecución del ataque, por lo que es indispensable contar con backups actualizados de toda la información sensible de nuestros sistemas. Lo recomendable es aislar estos backups de nuestros sistemas, refiriéndonos tanto a su ejecución como a su almacenaje, de manera que no se vean comprometidos ante un eventual ataque.
