Las amenazas pueden originarse tanto dentro como fuera de una organización, con atacantes que buscan acceso a información confidencial valiosa, como registros de personal, propiedad intelectual y datos financieros.
Las amenazas internas generalmente son llevadas a cabo por empleados actuales o anteriores y otros socios contractuales que manipulan accidental o intencionalmente datos confidenciales o amenazan las operaciones de servidores o dispositivos de infraestructura de red conectando medios infectados o accediendo a correos electrónicos o sitios web maliciosos.
Las amenazas externas de los aficionados o de los atacantes expertos pueden explotar las vulnerabilidades en los dispositivos conectados a la red o pueden utilizar la ingeniería social, como trucos, para obtener acceso.

1.1.5 Avatar

¿Sabía que las amenazas internas tienen el potencial de causar un daño mayor que las amenazas externas? Esto se debe a que los empleados o partners que trabajan en una organización tienen acceso directo a sus instalaciones y dispositivos de infraestructura. También tendrán un conocimiento interno de la red, los recursos y los datos confidenciales de la organización, así como las medidas de seguridad implementadas.

1.1.7 Avatar

Las ciberamenazas pueden propagarse de varias maneras, como a través de los propios usuarios, dispositivos conectados a la red o servicios alojados en una nube pública o privada. Y no olvide la amenaza de un ataque físico si no se aplican las medidas de seguridad adecuadas.
Observemos esto con mayor profundidad.

1.1.9 Amenazas a los dispositivos

• Cualquier dispositivo que quede encendido y desatendido representa el riesgo de que alguien obtenga acceso no autorizado a los recursos de la red.

• La descarga de archivos, fotos, música o vídeos de fuentes poco confiables podría generar la ejecución de código malicioso en los dispositivos.

• Los ciberdelincuentes a menudo aprovechan las vulnerabilidades de seguridad dentro del software instalado en los dispositivos de una organización para lanzar un ataque.

• Los equipos de seguridad de la información de una organización deben intentar mantenerse al día con el descubrimiento diario de nuevos virus, gusanos y otro malware que representa una amenaza para sus dispositivos.

• Los usuarios que insertan unidades USB, CD o DVD no autorizados corren el riesgo de introducir malware o comprometer los datos almacenados en sus dispositivos.

• Las políticas existen para proteger la infraestructura de TI de la organización. Un usuario puede enfrentar serias consecuencias por violar intencionalmente dichas políticas.

• El uso de hardware o software desactualizado hace que los sistemas y los datos de una organización sean más vulnerables a los ataques.

Entre los ejemplos de amenazas a la LAN se incluyen:

• Acceso no autorizado a los sistemas, los datos, las salas de computadoras y los armarios de cableado.

• Vulnerabilidades de software debido a sistemas operativos o servicios de red anticuados.

• Ataques a los datos en tránsito.

• Tener servidores LAN con hardware o sistemas operativos diferentes hace que administrarlos y solucionarlos sea más difícil.

• Escaneo del puerto y sondeo de redes no autorizados.

El dominio de nube privada incluye servidores, recursos e infraestructura de TI privados disponibles para los miembros de la organización a través de Internet. Si bien muchas organizaciones consideran que sus datos están más seguros en una nube privada, este dominio aún presenta amenazas de seguridad significativas, que incluyen:

• Escaneo de puertos y sondeo de redes no autorizados

• Acceso no autorizado a los recursos

• Vulnerabilidad del software del sistema operativo de los dispositivos de red, firewall o router

• Error de configuración del router, firewall o dispositivo de red

• Usuarios remotos que acceden a la infraestructura de la organización y descargan datos confidenciales.

Si bien los proveedores de servicios de nube pública implementan controles de seguridad para proteger el entorno de la nube, las organizaciones son responsables de proteger sus propios recursos en la nube. Por lo tanto, algunas de las amenazas más comunes al dominio de nube pública incluyen:

• Violaciones de datos

• Pérdida o robo de propiedad intelectual

• Credenciales comprometidas o secuestro de cuenta.

• Ataques de ingeniería social

• Violación del cumplimiento.

Una amenaza persistente avanzada (APT) es un ataque continuo que utiliza tácticas de espionaje elaboradas que involucran a múltiples actores y/o malware sofisticado para obtener acceso a la red de un objetivo y analizarla. Los atacantes operan bajo el radar y permanecen sin ser detectados durante un largo período de tiempo, con consecuencias potencialmente devastadoras. Las APT generalmente apuntan a gobiernos y organizaciones de alto nivel y generalmente están bien organizadas y bien financiadas.

Como su nombre indica, los ataques de algoritmos aprovechan los algoritmos de un software legítimo para generar comportamientos no deseados. Por ejemplo, los algoritmos utilizados para rastrear e informar cuánta energía consume una computadora se pueden utilizar para seleccionar objetivos o activar alertas falsas. Los ataques algorítmicos también pueden desactivar una computadora forzándola a usar memoria o a trabajar demasiado su unidad de procesamiento central.

1.1.17 Avatar

Muchas organizaciones confían en los datos de inteligencia de amenazas para comprender su riesgo general, a fin de poder formular y aplicar medidas preventivas y de respuesta eficaces.
Algunos de estos datos son de código cerrado y requieren una suscripción paga para acceder. Otros datos se consideran inteligencia de código abierto (OSINT) y se puede acceder desde fuentes de información disponibles al público. De hecho, compartir datos de inteligencia de amenazas es cada vez más popular, con gobiernos, universidades, organizaciones del sector de la salud y empresas privadas trabajando juntos para mejorar la seguridad de todos.

1.2.2 Tácticas de ingeniería social

Recuerde que el repertorio de los ciberdelincuentes es vasto y está en constante evolución. A veces, pueden combinar dos o más de las tácticas anteriores para aumentar sus posibilidades.
Depende de los profesionales de ciberseguridad crear conciencia y educar a otras personas en una organización sobre estas tácticas para evitar que sean víctimas de tales ataques.

1.2.5 Avatar

La mayoría de los ataques cibernéticos implican algún tipo de engaño. Echemos un vistazo a algunos de los tipos más comunes.

La navegación de hombro

Es un ataque simple que implica observar o literalmente mirar por encima del hombro de un objetivo para obtener información valiosa, como PIN, códigos de acceso o detalles de tarjetas de crédito. Los delincuentes no siempre tienen que estar cerca de la víctima para navegar por el hombro; pueden usar binoculares o cámaras de seguridad para obtener esta información. Este es un motivo por el que una persona solo puede leer una pantalla de ATM en determinados ángulos. Estos tipos de medidas de seguridad hacen la técnica de espiar por encima del hombro mucho más difícil.

Dumpster Diving

Es posible que haya oído hablar de la frase "la basura de un hombre es el tesoro de otro". En ninguna parte es esto más cierto que en el mundo del buceo en basureros: el proceso de revisar la basura de un objetivo para ver qué información se ha tirado. Esta es la razón por la cual los documentos que contienen información confidencial deben triturarse o almacenarse en bolsas para quemar hasta que el fuego los destruya después de un cierto período de tiempo.

1.2.10 Defensa contra el engaño

Las organizaciones deben promover el conocimiento de tácticas de ingeniería social y formar correctamente a los empleados en relación con las medidas de prevención, como las siguientes: Estos son algunos consejos importantes.

• Nunca proporcione información confidencial o credenciales por correo electrónico, sesiones de chat, en persona o por teléfono a desconocidos.

• Resista el impulso de hacer clic en correos electrónicos y enlaces de sitio web atractivos.

• Tenga cuidado con las descargas no iniciadas o automáticas.

• Establecer y educar a los empleados sobre las políticas de seguridad clave.

• Aliente a los empleados a asumir la responsabilidad de los problemas de seguridad.

• No se sienta presionado por personas desconocidas.

1.3.2 Bombas lógicas

Una bomba lógica es un programa malicioso que espera un activador, como una fecha específica o una entrada en la base de datos, para activar el código malicioso. La bomba lógica permanece inactiva hasta que se produce el evento activador.
Una vez activada, una bomba lógica implementa un código malicioso que provoca daños en una computadora. Una bomba lógica puede sabotear los registros de bases de datos, borrar los archivos y atacar los sistemas operativos o aplicaciones.
Los especialistas en ciberseguridad han descubierto recientemente bombas lógicas que atacan y destruyen los componentes de hardware de un dispositivo o servidor, incluidos los ventiladores de refrigeración, la unidad central de procesamiento (CPU), la memoria, los discos duros y las fuentes de alimentación. La bomba lógica abruma estos dispositivos hasta que se sobrecalientan o fallan.

El malware está diseñado para mantener cautivo un sistema computacional o los datos que contiene hasta que se realice un pago.
El ransomware generalmente funciona cifrando sus datos para que no pueda acceder a ellos. Según las afirmaciones de ransomware, una vez que se paga el rescate a través de un sistema de pago imposible de rastrear, el ciberdelincuente proporcionará un programa que descifra los archivos o envía un código de desbloqueo, pero en realidad, muchas víctimas no obtienen acceso a sus datos incluso después de haber pagado.
Algunas otras versiones de ransomware pueden aprovechar vulnerabilidades específicas del sistema para bloquearlo. El ransomware a menudo se propaga a través de correos electrónicos de phishing que lo alientan a descargar un archivo adjunto malicioso o a través de una vulnerabilidad.

1.3.5 Avatar

Los ataques de denegación de servicio distribuido (DDoS) son similares, pero se originan en varias fuentes coordinadas. Así es como sucede esto:

1. Un atacante crea una red (botnet) de hosts infectados llamados zombies, que son controlados por sistemas de manejo.
2. Las computadoras zombis constantemente analizan e infectan más hosts, creando más y más zombis.
3. Cuando está listo, el hacker proporciona instrucciones a los sistemas manipuladores para que los botnet de zombies lleven a cabo un ataque de DDoS.

Suplantación de identidad (spoofing)

La falsificación de identidad es un ataque que aprovecha una relación de confianza entre dos sistemas.

• La suplantación de direcciones MAC se produce cuando un atacante oculta su dispositivo como válido en la red y, por lo tanto, puede omitir el proceso de autenticación.

• La falsificación de ARP envía mensajes ARP falsificados a través de una LAN. Esto vincula la dirección MAC de un atacante con la dirección IP de un dispositivo autorizado en la red.

• La falsificación de direcciones IP envía paquetes IP de una dirección de origen falsificada para disfrazarse.

Saturación de direcciones MAC

Los dispositivos en una red se conectan a través de un switch de red mediante la conmutación de paquetes para recibir y reenviar datos al dispositivo de destino. La inundación de MAC compromete los datos transmitidos a un dispositivo. Un atacante inunda la red con direcciones MAC falsas, comprometiendo la seguridad del switch de red.

1.3.10 Avatar

Un ataque de repetición ocurre cuando un atacante captura la comunicación entre dos hosts y luego retransmite el mensaje al destinatario, para engañar al destinatario para que haga lo que el atacante desea evitar, comprometiendo así cualquier mecanismo de autenticación.

Un ataque de día cero o una amenaza de día cero aprovechan las vulnerabilidades de software antes de que se conozcan o antes de que el proveedor de software las divulgue.
Una red es extremadamente vulnerable a los ataques entre el momento en que se detecta un ataque (cero horas) y el tiempo que le lleva al proveedor de software desarrollar y lanzar un parche que corrige este ataque.
La defensa contra ataques tan rápidos requiere que los profesionales de seguridad de redes adopten una visión más sofisticada y holística de cualquier arquitectura de red.

Como su nombre indica, el registro de teclado o de teclas se refiere a la grabación o el registro de cada tecla presionada en el teclado de una computadora.
Los ciberdelincuentes registran las pulsaciones de teclas mediante el software instalado en un sistema informático o mediante dispositivos de hardware conectados físicamente a una computadora, y configuran el software del registrador de teclas para enviar el archivo de registro al delincuente. Debido a que ha registrado todas las pulsaciones de teclas, este archivo de registro puede revelar nombres de usuario, contraseñas, sitios web visitados y otra información confidencial.
Muchas aplicaciones antispyware pueden detectar y eliminar registros de clave no autorizados.

Es importante tener en cuenta que el software de registro de teclas puede ser legítimo. Muchos padres la utilizan para controlar el comportamiento de sus hijos en Internet.

Una organización puede realizar varios pasos para defenderse de diversos ataques. Estos incluyen los siguientes:

• Configure firewalls para descartar cualquier paquete fuera de la red que tenga direcciones que indican que se originaron dentro de la red.

• Asegúrese de que los parches y las actualizaciones estén actualizados.

• Distribuya la carga de trabajo entre los sistemas de servidor.

• Los dispositivos de red utilizan paquetes de protocolo de mensajes de control de Internet (ICMP) para enviar mensajes de error y control, como si un dispositivo puede comunicarse con otro en la red. Para evitar ataques DoS y DDoS, las organizaciones pueden bloquear paquetes ICMP externos con sus firewalls.

El uso generalizado de Internet y los dispositivos móviles significa que ahora, más que nunca, podemos comunicarnos y trabajar sobre la marcha, sin la necesidad de cables. Pero esto también genera más oportunidades para que los ciberdelincuentes accedan a la información confidencial que buscan.
Desplácese hacia abajo para obtener más información sobre cómo lo hacen.

Grayware incluye aplicaciones que se comportan de manera molesta o no deseada. Aunque estas aplicaciones no contienen un malware claramente identificado, aún pueden representar un riesgo para el usuario, como el seguimiento de su ubicación o la entrega de publicidad no deseada.
Los creadores de grayware se mantienen generalmente en el lado de la legitimidad al incluir sus capacidades en la letra pequeña del contrato de licencia. Muchos usuarios de smartphones, sin prestar atención a esta letra pequeña, instalan aplicaciones que podrían comprometer su privacidad.
SMiShing (suplantación de identidad de servicio de mensajes cortos) es una táctica donde los atacantes envían mensajes de texto falsos para engañar al usuario. Estos mensajes pueden solicitar visitar un sitio web malicioso o llamar a un número de teléfono fraudulento, llevando a la descarga de malware o al intercambio de información personal.

1.4.4 Bloqueo de Radiofrecuencia

Las señales inalámbricas son susceptibles a la interferencia electromagnética (EMI), a la interferencia de radiofrecuencia (RFI) e incluso pueden ser vulnerables a los rayos o ruidos de luces fluorescentes.
Los atacantes pueden aprovechar esta vulnerabilidad bloqueando deliberadamente la transmisión de una estación de radio o satélite para evitar que una señal inalámbrica llegue a la estación receptora.
Para bloquear con éxito la señal, la frecuencia, la modulación y la potencia del bloqueador de RF deben ser iguales a las del dispositivo que el atacante busca interrumpir.

1.4.5 Avatar

Probablemente haya oído hablar de las Bluetooth, pero ¿sabe exactamente qué es y cómo funciona?

Bluetooth es un protocolo de corto alcance y baja potencia que transmite datos en una red de área personal (PAN) y utiliza el emparejamiento para establecer una relación entre dispositivos como móviles, computadoras portátiles e impresoras. Los ciberdelincuentes han descubierto formas de aprovechar las vulnerabilidades entre estas conexiones.

Desplace hacia abajo para obtener más información.

Los ataques a través de aplicaciones web son cada vez más comunes. Implican a los ciberdelincuentes que aprovechan las vulnerabilidades en la codificación de una aplicación web para obtener acceso a bases de datos o servidores. Veamos algunos ejemplos:

• Inyección SQL: los atacantes insertan comandos SQL maliciosos en una entrada de usuario para manipular la base de datos subyacente.

• Cross-Site Scripting (XSS): inyectar scripts maliciosos en páginas web que son visualizadas por otros usuarios, comprometiendo su información.

• Cross-Site Request Forgery (CSRF): engañar a un usuario para que realice acciones no deseadas mientras está autenticado.

Secuencias de Comandos entre Sitios (XSS)

El XSS es una vulnerabilidad que permite a los ciberdelincuentes inyectar scripts maliciosos en páginas web, afectando a los usuarios que visitan dichas páginas.

1. Los atacantes aprovechan la vulnerabilidad para inyectar scripts maliciosos en una página web.
2. La víctima accede a la página web, y el navegador ejecuta el script sin saberlo.
3. El script puede acceder a información sensible del usuario, como cookies o tokens de sesión.
4. Con esta información, el atacante puede suplantar al usuario.

1.5.4 Desbordamiento de Búfer

Un desbordamiento de búfer ocurre cuando los datos exceden los límites de una área de memoria asignada a una aplicación.
Esto puede provocar que la aplicación acceda a la memoria asignada a otros procesos, llevando a un bloqueo del sistema, comprometiendo los datos o permitiendo el escalamiento de privilegios.
Los atacantes pueden aprovechar estas fallas para obtener control total del dispositivo, instalando malware o accediendo a la red interna desde el dispositivo afectado.

Desbordamiento de Búfer

Un estudio de la Universidad Carnegie Mellon estima que casi la mitad de todas las vulnerabilidades de los programas informáticos se derivan de algún tipo de desbordamiento del búfer.