Tipos más comunes de ataques cibernéticos

Tipos más comunes de ataques cibernéticos.Un ataque cibernético es cualquier tipo de acción ofensiva que se dirige a los sistemas informáticos de información, infraestructuras, redes informáticas o dispositivos informáticos personales, utilizando diversos métodos para robar, alterar o destruir datos o sistemas de información.

Hoy describiré los 10 tipos de ataques cibernéticos más comunes:

Ataques de denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS)
Ataque de hombre en el medio (MitM)
Ataques de phishing y phishing con lanza
Ataque de drive-by
Ataque de contraseña
Ataque de inyección SQL
Ataque de secuencias de comandos entre sitios (XSS)
Ataque de escuchas
Ataque de cumpleaños
Ataque de malware

Ataques de denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS)

Un ataque de denegación de servicio supera los recursos de un sistema para que no pueda responder a las solicitudes de servicio. Un ataque DDoS también es un ataque a los recursos del sistema, pero se lanza desde una gran cantidad de otras máquinas host que están infectadas por un software malicioso controlado por el atacante.

A diferencia de los ataques que están diseñados para permitir que el atacante obtenga o aumente el acceso, la denegación de servicio no ofrece beneficios directos para los atacantes. Para algunos de ellos, es suficiente tener la satisfacción de la negación del servicio. Sin embargo, si el recurso atacado pertenece a un competidor comercial, el beneficio para el atacante puede ser lo suficientemente real. Otro propósito de un ataque DoS puede ser desconectar un sistema para poder lanzar un tipo diferente de ataque. Un ejemplo común es el secuestro de sesión, que describiré más adelante.

Hay diferentes tipos de ataques DoS y DDoS; Los más comunes son el ataque de inundación TCP SYN, el ataque de lágrima, el ataque de pitufo, el ataque de ping de la muerte y las redes de bots.

Ataque de inundación TCP SYN

En este ataque, un atacante explota el uso del espacio del búfer durante un protocolo de inicio de sesión del Protocolo de Control de Transmisión (TCP). El dispositivo del atacante inunda la pequeña cola en proceso del sistema de destino con solicitudes de conexión, pero no responde cuando el sistema de destino responde a esas solicitudes. Esto hace que el sistema de destino se agote mientras espera la respuesta del dispositivo del atacante, lo que hace que el sistema se bloquee o se vuelva inutilizable cuando la cola de conexión se llena.

Qué hacer

Hay algunas contramedidas para un ataque de inundación de TCP SYN:

Coloque los servidores detrás de un firewall configurado para detener los paquetes SYN entrantes.
Aumente el tamaño de la cola de conexión y disminuya el tiempo de espera en conexiones abiertas.

Ataque de lágrima

Este ataque hace que los campos de desplazamiento de longitud y fragmentación en paquetes de Protocolo de Internet (IP) secuenciales se superpongan entre sí en el host atacado; el sistema atacado intenta reconstruir paquetes durante el proceso pero falla. El sistema de destino se confunde y se bloquea.

Si los usuarios no tienen parches para protegerse contra este ataque DoS, desactive SMBv2 y bloquee los puertos 139 y 445.

Ataque del pitufo

Este ataque implica el uso de suplantación de IP y el ICMP para saturar una red objetivo con tráfico. Este método de ataque utiliza solicitudes de eco ICMP dirigidas a direcciones IP de difusión. Estas solicitudes de ICMP se originan de una dirección de “víctima” falsificada. Por ejemplo, si la dirección de la víctima prevista es 10.0.0.10, el atacante falsificaría una solicitud de eco ICMP desde 10.0.0.10 a la dirección de transmisión 10.255.255.255. Esta solicitud iría a todas las direcciones IP en el rango, con todas las respuestas que se remontan a 10.0.0.10, abrumando a la red. Este proceso es repetible y se puede automatizar para generar grandes cantidades de congestión de red.

Para proteger sus dispositivos de este ataque, debe deshabilitar las difusiones dirigidas por IP en los enrutadores. Esto evitará la solicitud de transmisión de eco ICMP en los dispositivos de red. Otra opción sería configurar los sistemas finales para evitar que respondan a los paquetes ICMP desde las direcciones de difusión.

Ataque de ping de la muerte

Este tipo de ataque utiliza paquetes IP para hacer ping a un sistema de destino con un tamaño de IP superior al máximo de 65,535 bytes. Los paquetes IP de este tamaño no están permitidos, por lo que el atacante fragmenta el paquete IP. Una vez que el sistema de destino vuelve a ensamblar el paquete, puede experimentar desbordamientos de búfer y otros bloqueos.

Los ataques de ping de la muerte se pueden bloquear mediante el uso de un firewall que verificará los paquetes de IP fragmentados para determinar el tamaño máximo.

Botnets

Los botnets son los millones de sistemas infectados con malware bajo el control de piratas informáticos para llevar a cabo ataques DDoS. Estos robots o sistemas zombi se utilizan para llevar a cabo ataques contra los sistemas objetivo, a menudo abrumando el ancho de banda y las capacidades de procesamiento del sistema objetivo. Estos ataques DDoS son difíciles de rastrear porque las botnets están ubicadas en diferentes ubicaciones geográficas.

Qué hacer

Los botnets pueden ser mitigados por:

El filtrado RFC3704, que denegará el tráfico de direcciones falsificadas y ayudará a garantizar que el tráfico sea rastreable a su red de origen correcta. Por ejemplo, el filtrado RFC3704 eliminará los paquetes de las direcciones de lista de bogon.
Filtrado de agujeros negros, que elimina el tráfico no deseado antes de que entre en una red protegida. Cuando se detecta un ataque DDoS, el host BGP (Border Gateway Protocol) debe enviar las actualizaciones de enrutamiento a los enrutadores ISP para que dirijan todo el tráfico hacia los servidores víctimas a una interfaz null0 en el próximo salto.

Ataque de hombre en el medio (MitM)

Un ataque MitM ocurre cuando un hacker se inserta entre las comunicaciones de un cliente y un servidor. Aquí hay algunos tipos comunes de ataques de hombre en el medio:

Secuestro de sesión

En este tipo de ataque MitM, un atacante secuestra una sesión entre un cliente de confianza y un servidor de red. La computadora atacante sustituye su dirección IP para el cliente de confianza mientras el servidor continúa la sesión, creyendo que se está comunicando con el cliente. Por ejemplo, el ataque podría desarrollarse así:

Un cliente se conecta a un servidor.
La computadora del atacante gana el control del cliente.
La computadora del atacante desconecta al cliente del servidor.
La computadora del atacante reemplaza la dirección IP del cliente con su propia dirección IP y falsifica los números de secuencia del cliente.

La computadora del atacante continúa el diálogo con el servidor y el servidor cree que todavía se está comunicando con el cliente.

IP spoofing

La suplantación de IP es utilizada por un atacante para convencer a un sistema de que se está comunicando con una entidad conocida y confiable y le brinda acceso al atacante. El atacante envía un paquete con la dirección de origen IP de un host conocido y confiable en lugar de su propia dirección de origen IP a un host de destino. El host de destino podría aceptar el paquete y actuar sobre él.

Repetición

Un ataque de repetición ocurre cuando un atacante intercepta y guarda mensajes antiguos y luego intenta enviarlos más tarde, haciéndose pasar por uno de los participantes. Este tipo se puede contrarrestar fácilmente con marcas de tiempo de sesión o nonce (un número aleatorio o una cadena que cambia con el tiempo).

Actualmente, no existe una única tecnología o configuración para evitar todos los ataques MitM. En general, el cifrado y los certificados digitales proporcionan una protección efectiva contra los ataques MitM, asegurando tanto la confidencialidad como la integridad de las comunicaciones. Pero un ataque de hombre en el medio se puede inyectar en el medio de las comunicaciones de tal manera que el cifrado no ayude, por ejemplo, el atacante “A” intercepta la clave pública de la persona “P” y la sustituye por su propio público. llave. Entonces, cualquier persona que desee enviar un mensaje cifrado a P usando la clave pública de P, sin saberlo, está utilizando la clave pública de A. Por lo tanto, A puede leer el mensaje destinado a P y luego enviarlo a P, cifrado en la clave pública real de P, y P nunca se dará cuenta de que el mensaje estaba comprometido. Además, A también podría modificar el mensaje antes de reenviarlo a P. Como puede ver,

Entonces, ¿cómo puede asegurarse de que la clave pública de P pertenezca a P y no a A?

Las autoridades de certificación y las funciones hash se crearon para resolver este problema. Cuando la persona 2 (P2) quiere enviar un mensaje a P, y P quiere asegurarse de que A no leerá o modificará el mensaje y que el mensaje realmente proviene de P2, se debe usar el siguiente método:

P2 crea una clave simétrica y la cifra con la clave pública de P.
P2 envía la clave simétrica cifrada a P.
P2 calcula una función hash del mensaje y la firma digitalmente.
P2 cifra su mensaje y el hash firmado del mensaje utilizando la clave simétrica y envía todo el mensaje a P.
P puede recibir la clave simétrica de P2 porque solo él tiene la clave privada para descifrar el cifrado.
P, y solo P, puede descifrar el mensaje cifrado simétricamente y el hash firmado porque tiene la clave simétrica.
Puede verificar que el mensaje no se haya modificado porque puede calcular el hash del mensaje recibido y compararlo con uno firmado digitalmente.
P también puede probarse a sí mismo que P2 era el remitente porque solo P2 puede firmar el hash para que se verifique con la clave pública P2.

Phishing

El ataque de phishing es la práctica de enviar correos electrónicos que parecen provenir de fuentes confiables con el objetivo de obtener información personal o influenciar a los usuarios para que hagan algo. Combina ingeniería social y engaños técnicos. Podría incluir un archivo adjunto a un correo electrónico que carga malware en su computadora. También podría ser un enlace a un sitio web ilegítimo que puede engañarlo para que descargue malware o transfiera su información personal.

Spear phishing es un tipo muy específico de actividad de phishing. Los atacantes se toman el tiempo para realizar investigaciones sobre objetivos y crear mensajes que sean personales y relevantes. Debido a esto, el phishing puede ser muy difícil de identificar y aún más difícil de defender. Una de las formas más simples en que un pirata informático puede realizar un ataque de phishing con spear es la falsificación de correos electrónicos, que es cuando se falsifica la información en la sección “De” del correo electrónico, haciendo que parezca que proviene de alguien que usted conoce, como Su dirección o su empresa socia. Otra técnica que los estafadores utilizan para agregar credibilidad a su historia es la clonación de sitios web: copian sitios web legítimos para engañarlo y que ingresen información de identificación personal (PII) o credenciales de inicio de sesión.

Mitigar

Para reducir el riesgo de ser phishing, puede utilizar estas técnicas:

Pensamiento crítico : no aceptes que un correo electrónico sea lo más importante solo porque estés ocupado o estresado o porque tengas otros 150 mensajes no leídos en tu bandeja de entrada. Detente un minuto y analiza el correo electrónico.
Desplazándose sobre los enlaces : mueva el mouse sobre el enlace, ¡pero no haga clic en él ! Simplemente deje que el cursor de su mouse h sobre el enlace y vea a dónde lo llevaría. Aplicar el pensamiento crítico para descifrar la URL.
Análisis de encabezados de correo electrónico: los encabezados de correo electrónico definen cómo llegó un correo electrónico a su dirección. Los parámetros “Responder a” y “Ruta de retorno” deben llevar al mismo dominio que se indica en el correo electrónico.
Sandboxing : puede probar el contenido del correo electrónico en un entorno de sandbox, registrar la actividad desde la apertura del archivo adjunto o hacer clic en los enlaces dentro del correo electrónico.

Ataque de drive-by

Los ataques de descarga directa son un método común de propagación de malware. Los piratas informáticos buscan sitios web inseguros y colocan un script malicioso en un código HTTP o PHP en una de las páginas. Este script puede instalar malware directamente en la computadora de alguien que visita el sitio, o puede redirigir a la víctima a un sitio controlado por los piratas informáticos. Las descargas no autorizadas pueden ocurrir al visitar un sitio web o ver un mensaje de correo electrónico o una ventana emergente. A diferencia de muchos otros tipos de ataques de seguridad cibernética, un drive-by no confía en que un usuario haga nada para activar el ataque de manera activa; no tiene que hacer clic en un botón de descarga ni abrir un archivo adjunto de correo electrónico malicioso para infectarse. Una descarga directa puede aprovechar una aplicación, un sistema operativo o un navegador web que contiene fallas de seguridad debido a actualizaciones fallidas o falta de actualizaciones.

Para protegerse de los ataques automáticos, debe mantener actualizados sus navegadores y sistemas operativos y evitar los sitios web que puedan contener códigos maliciosos. Se adhieren a los sitios que usa normalmente, aunque tenga en cuenta que incluso estos sitios pueden ser pirateados. No guarde demasiados programas y aplicaciones innecesarios en su dispositivo. Cuantos más complementos tengas, más vulnerabilidades hay que pueden ser explotadas por ataques drive-by.

Ataque de contraseña

Debido a que las contraseñas son el mecanismo más utilizado para autenticar a los usuarios en un sistema de información, la obtención de contraseñas es un método de ataque común y efectivo. El acceso a la contraseña de una persona se puede obtener mirando alrededor del escritorio de la persona, “olfateando” la conexión a la red para adquirir contraseñas no cifradas, utilizando ingeniería social, obteniendo acceso a una base de datos de contraseñas o haciendo suposiciones. El último enfoque se puede hacer de forma aleatoria o sistemática:

Adivinar contraseñas de fuerza bruta significa utilizar un enfoque aleatorio al probar diferentes contraseñas y esperar que funcione. Se puede aplicar algo de lógica al intentar contraseñas relacionadas con el nombre de la persona, el título del trabajo, pasatiempos o elementos similares.
En un ataque de diccionario, se usa un diccionario de contraseñas comunes para intentar obtener acceso a la computadora y la red de un usuario. Un método consiste en copiar un archivo cifrado que contiene las contraseñas, aplicar el mismo cifrado a un diccionario de contraseñas de uso común y comparar los resultados.
Para protegerse del diccionario o de ataques de fuerza bruta, debe implementar una política de bloqueo de cuenta que bloquee la cuenta después de algunos intentos de contraseña no válida. Puede seguir estas prácticas recomendadas de bloqueo de cuenta para configurarlo correctamente.

Ataque de inyección SQL

La inyección de SQL se ha convertido en un problema común con los sitios web basados en bases de datos. Ocurre cuando un factor masculino ejecuta una consulta SQL a la base de datos a través de los datos de entrada del cliente al servidor. Los comandos SQL se insertan en la entrada del plano de datos (por ejemplo, en lugar del inicio de sesión o la contraseña) para ejecutar comandos SQL predefinidos. Un exploit de inyección SQL exitoso puede leer datos confidenciales de la base de datos, modificar (insertar, actualizar o eliminar) datos de la base de datos, ejecutar operaciones de administración (como el cierre) en la base de datos, recuperar el contenido de un archivo dado y, en algunos casos, Emitir comandos al sistema operativo.

La vulnerabilidad a este tipo de ataque de seguridad cibernética depende del hecho de que SQL no hace una distinción real entre el control y los planos de datos. Por lo tanto, las inyecciones de SQL funcionan principalmente si un sitio web utiliza SQL dinámico. Además, la inyección de SQL es muy común con las aplicaciones PHP y ASP debido a la prevalencia de las interfaces funcionales más antiguas. Las aplicaciones J2EE y ASP.NET tienen menos probabilidades de haber explotado fácilmente las inyecciones de SQL debido a la naturaleza de las interfaces programáticas disponibles.

Para protegerse de los ataques de inyección de SQL, aplique el modelo de permisos menos privilegiado en sus bases de datos. Se adhieren a los procedimientos almacenados (asegúrese de que estos procedimientos no incluyan ningún SQL dinámico) y declaraciones preparadas (consultas parametrizadas). El código que se ejecuta contra la base de datos debe ser lo suficientemente fuerte como para evitar ataques de inyección. Además, valide los datos de entrada contra una lista blanca en el nivel de la aplicación.

Ataque de secuencias de comandos entre sitios (XSS)

Los ataques XSS utilizan recursos web de terceros para ejecutar scripts en el navegador web o la aplicación de script de la víctima. Específicamente, el atacante inyecta una carga útil con JavaScript malicioso en la base de datos de un sitio web. Cuando la víctima solicita una página del sitio web, el sitio web transmite la página, con la carga útil del atacante como parte del cuerpo HTML, al navegador de la víctima, que ejecuta el script malicioso. Por ejemplo, podría enviar la cookie de la víctima al servidor del atacante, y el atacante puede extraerla y utilizarla para el secuestro de la sesión. Las consecuencias más peligrosas ocurren cuando se usa XSS para explotar vulnerabilidades adicionales. Estas vulnerabilidades pueden permitir que un atacante no solo robe cookies, sino que también registre pulsaciones de teclas, capture capturas de pantalla, descubra y recopile información de red, y acceda y controle de forma remota la máquina de la víctima.

Si bien se puede aprovechar XSS dentro de VBScript, ActiveX y Flash, el más abusado es JavaScript, principalmente porque JavaScript se admite ampliamente en la web.

Para defenderse de los ataques XSS, los desarrolladores pueden desinfectar la entrada de datos por parte de los usuarios en una solicitud HTTP antes de devolverla. Asegúrese de que todos los datos estén validados, filtrados o escapados antes de devolverle algo al usuario, como los valores de los parámetros de consulta durante las búsquedas. Convierta caracteres especiales como?, &, /, <,> Y espacios a sus respectivos HTML o equivalentes codificados en URL. Ofrezca a los usuarios la opción de deshabilitar los scripts del lado del cliente.

Ataque de escuchas

Los ataques de escuchas ilegales ocurren a través de la intercepción del tráfico de red. Al espiar, un atacante puede obtener contraseñas, números de tarjetas de crédito y otra información confidencial que un usuario podría estar enviando a través de la red. La escucha puede ser pasiva o activa:

Escuchas pasivas : un pirata informático detecta la información escuchando la transmisión del mensaje en la red.
Escuchas activas : un pirata informático captura activamente la información disfrazándose de unidad amiga y enviando consultas a los transmisores. Esto se llama sondeo, escaneo o manipulación.
Detectar ataques de escuchas pasivas a menudo es más importante que detectar ataques activos, ya que los ataques activos requieren que el atacante tenga conocimiento de las unidades amigas realizando una escucha pasiva antes.

El cifrado de datos es la mejor contramedida para las escuchas ilegales.

Ataque de cumpleaños

Los ataques de cumpleaños se realizan contra algoritmos hash que se utilizan para verificar la integridad de un mensaje, software o firma digital. Un mensaje procesado por una función hash produce un resumen de mensaje (MD) de longitud fija, independiente de la longitud del mensaje de entrada; este MD caracteriza de forma única el mensaje. El ataque de cumpleaños se refiere a la probabilidad de encontrar dos mensajes aleatorios que generan el mismo MD cuando son procesados por una función hash. Si un atacante calcula el mismo MD para su mensaje que el usuario, puede reemplazar el mensaje del usuario de manera segura, y el receptor no podrá detectar el reemplazo incluso si compara los MD.

Ataque de malware

El software malintencionado se puede describir como software no deseado que se instala en su sistema sin su consentimiento. Puede adjuntarse a código legítimo y propagarse; Puede estar al acecho en aplicaciones útiles o replicarse a través de Internet. Estos son algunos de los tipos de malware más comunes:

Virus de macro : estos virus infectan aplicaciones como Microsoft Word o Excel. Los virus de macro se adjuntan a la secuencia de inicialización de una aplicación. Cuando se abre la aplicación, el virus ejecuta las instrucciones antes de transferir el control a la aplicación. El virus se replica y se adjunta a otro código en el sistema informático.
Infector de archivos: los virus de infector de archivos generalmente se adjuntan a un código ejecutable, como los archivos .exe. El virus se instala cuando se carga el código. Otra versión de un infector de archivos se asocia con un archivo creando un archivo de virus con el mismo nombre, pero con una extensión .exe. Por lo tanto, cuando se abra el archivo, se ejecutará el código del virus.
Infectores del sistema o de registro de inicio: un virus de registro de inicio se adjunta al registro de inicio maestro en los discos duros. Cuando se inicie el sistema, verá el sector de inicio y cargará el virus en la memoria, donde se puede propagar a otros discos y computadoras.
Virus polimórficos : estos virus se ocultan mediante diversos ciclos de cifrado y descifrado. El virus cifrado y un motor de mutación asociado se descifran inicialmente mediante un programa de descifrado. El virus procede a infectar un área de código. Luego, el motor de mutación desarrolla una nueva rutina de descifrado y el virus cifra el motor de mutación y una copia del virus con un algoritmo correspondiente a la nueva rutina de descifrado. El paquete cifrado de motor de mutación y virus se adjunta al nuevo código, y el proceso se repite. Tales virus son difíciles de detectar pero tienen un alto nivel de entropía debido a las muchas modificaciones de su código fuente. El software antivirus o herramientas gratuitas como Process Hacker pueden usar esta función para detectarlos.
Virus ocultos: los virus ocultos asumen las funciones del sistema para ocultarse. Hacen esto al comprometer el software de detección de malware, de modo que el software informará que un área infectada no está infectada. Estos virus ocultan cualquier aumento en el tamaño de un archivo infectado o cambios en la fecha y hora de la última modificación del archivo.
Troyanos : un troyano o un troyano es un programa que se oculta en un programa útil y generalmente tiene una función maliciosa. Una diferencia importante entre los virus y los troyanos es que los troyanos no se replican a sí mismos. Además de lanzar ataques a un sistema, un troyano puede establecer una puerta trasera que puede ser explotada por los atacantes. Por ejemplo, un troyano puede programarse para abrir un puerto de número alto para que el pirata informático pueda usarlo para escuchar y luego realizar un ataque.
Bombas lógicas : una bomba lógica es un tipo de software malicioso que se adjunta a una aplicación y se desencadena por un suceso específico, como una condición lógica o una fecha y hora específicas.
Gusanos : los gusanos se diferencian de los virus en que no se adjuntan a un archivo host, sino que son programas independientes que se propagan a través de redes y computadoras. Los gusanos se propagan comúnmente a través de archivos adjuntos de correo electrónico; Al abrir el archivo adjunto se activa el programa gusano. Un ataque de gusano típico implica que el gusano se envíe una copia de sí mismo a cada contacto en la dirección de correo electrónico de una computadora infectada. Además de realizar actividades maliciosas, un gusano que se propaga por Internet y sobrecarga los servidores de correo electrónico puede provocar ataques de denegación de servicio contra nodos en la red
Droppers : un dropper es un programa que se utiliza para instalar virus en las computadoras. En muchos casos, el dropper no está infectado con código malicioso y, por lo tanto, puede no ser detectado por el software de detección de virus. Un dropper también puede conectarse a Internet y descargar actualizaciones de software antivirus que reside en un sistema comprometido.
Ransomware : Ransomware es un tipo de malware que bloquea el acceso a los datos de la víctima y amenaza con publicarlo o eliminarlo a menos que se pague un rescate. Si bien algunos ransomware informáticos simples pueden bloquear el sistema de una manera que no sea difícil de revertir para una persona con conocimientos, el malware más avanzado utiliza una técnica llamada extorsión criptoviral, que encripta los archivos de la víctima de una manera que hace que sea casi imposible recuperarlos sin clave de descifrado.
Adware : Adware es una aplicación de software que utilizan las empresas con fines de marketing; banners publicitarios se muestran mientras se ejecuta cualquier programa. El software publicitario puede descargarse automáticamente en su sistema mientras navega por cualquier sitio web y puede verse a través de ventanas emergentes o de una barra que aparece en la pantalla de la computadora automáticamente.
Spyware : Spyware es un tipo de programa que se instala para recopilar información sobre los usuarios, sus computadoras o sus hábitos de navegación. Realiza un seguimiento de todo lo que hace sin su conocimiento y envía los datos a un usuario remoto. También puede descargar e instalar otros programas maliciosos desde internet. El software espía funciona como software publicitario, pero generalmente es un programa separado que se instala sin saberlo cuando instala otra aplicación gratuita.

Leer también: ¿Qué es una dirección Ip dedicada? ¿Para qué sirve? Beneficios; ¿Qué es el desencriptado SSL / TLS?; ¿Puede el certificado SSL prevenir ataques XSS?