Common cyber attacks: A guide to detection and prevention

Ciberataques más frecuentes: una guía para su detección y prevención

Los tipos más frecuentes de ciberataques son el phishing, los ataques DDoS, el ransomware, la usurpación de cuentas y la inyección de código SQL.

Los tipos más frecuentes de ciberataques

Un ciberataque es cualquier acción cuya intención es modificar, robar, destruir o interrumpir datos y procesos dentro de un sistema digital. Los ciberataques suponen menos riesgo físico para los ciberdelincuentes que los delitos en el mundo no digital, y pueden ser (en algunos casos) muy lucrativos, por lo que su popularidad va en aumento. Hay decenas de tipos de ciberataques, y a menudo forman parte de una campaña de ataques de mayor envergadura. Algunos de los ciberataques más habituales son:

Phishing
Ataques DoS y DDoS
ransomware
Apropiación de cuentas
Inyección de código SQL
XSS y CSRF
Amenazas internas
Ataques a la cadena de suministro
Explotación de vulnerabilidades
Ataques en ruta

1. Phishing

El phishing hace referencia a los intentos de robar información confidencial (en concreto, credenciales de usuario o información financiera) mediante el uso de mensajes fraudulentos. Se suele pensar que los ataques de phishing se lanzan por correo electrónico, pero los atacantes también pueden utilizar otros canales para sus mensajes de phishing, desde llamadas telefónicas y mensajes de texto hasta códigos QR.

Algunos mensajes de phishing se envían de forma masiva, mientras que otros tipos de ataques de phishing son muy selectivos y personalizados (como el spear phishing o phishing de objetivo definido y el whale phishing o whaling.

Muchos de los otros ataques que se enumeran a continuación suelen ir precedidos de ataques de phishing. Por ejemplo, un atacante puede utilizar el phishing para introducirse en una organización más grande y luego infectar esa organización con ransomware.

Cómo evitar el phishing | Evita correos maliciosos

El phishing sigue siendo uno de los ciberataques más eficaces y más utilizados, pero estas y otras técnicas pueden ayudar a prevenir el phishing.

Pasarela de correo electrónico segura (SEG): puede ayudar a cerrar los vectores de ataque basados en el correo electrónico, aunque los ataques de phishing también pueden llegar por otros canales. Lo ideal es que una pasarela de correo electrónico segura no solo bloquee el correo no deseado conocido o los correos electrónicos de dominios suplantados, sino que también utilice el aprendizaje automático para identificar los correos electrónicos sospechosos incluso de fuentes conocidas.

Filtrado de DNS y aislamiento de navegador: el filtrado de DNS puede evitar que se carguen páginas web suplantadas de inicio de sesión u otros enlaces de phishing maliciosos, mientras que el aislamiento de navegador ayuda a bloquear las descargas no autorizadas de cualquier enlace malicioso que se cargue.

Formación de los usuarios: los usuarios deben recibir formación periódica sobre cómo identificar los correos electrónicos de phishing. El error humano no se puede eliminar por completo, pero cuanto mejor puedan los usuarios detectar los correos electrónicos de phishing, menos probable será el éxito de un ataque.

2. Ataques DoS y DDoS

Los ataques de denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS) se producen cuando un atacante inunda un servidor, una aplicación o una red con tráfico basura para que el objetivo se bloquee o no pueda atender a los usuarios legítimos. Los ataques DDoS pueden desconectar una aplicación o incluso interrumpir amplias franjas de Internet si el atacante tiene como objetivo sistemas fundamentales como el DNS.

Los ataques DDoS siguen aumentando de tamaño: la botnet Aisuru-Kimwolf ha enviado ataques de más de 30 Tb/s a sus objetivos.

Cómo mitigar los ataques DoS y DDoS

Tanto los firewalls de aplicaciones web (WAF) como los servicios de mitigación de DDoS pueden bloquear el tráfico de red ilegítimo y absorber ataques grandes. La mitigación de DDoS de Cloudflare bloqueó los ataques Aisuru-Kimwolf mencionados anteriormente, y el servicio está disponible para cualquier persona con un nombre de dominio, de forma gratuita.

3. Ransomware

El ransomware es malware, o software malicioso, que al ejecutarse encripta el contenido de un sistema de archivos o un disco duro para que los propietarios de los datos no puedan abrir o usar los datos. A continuación, los ciberdelincuentes que controlan el ransomware exigen un pago por desbloquear los datos. Por supuesto, no hay ninguna garantía de que el pago del rescate signifique que los atacantes realmente desbloqueen los datos.

Los ataques de ransomware suelen ser muy lucrativos y rápidos, por lo que es un tipo muy popular de ciberataque.

Cómo prevenir el ransomware

El ransomware no se genera espontáneamente dentro de un dispositivo o sistema: entra a través de una amplia variedad de vectores de ataque. El phishing es uno de los principales vectores, al igual que la explotación de vulnerabilidades, los ataques de usurpación de cuentas y los ataques anteriores basados en malware. La adopción de medidas para detectar y bloquear los ataques a través de estos vectores puede ayudarte a reducir el riesgo de ransomware.

Otra medida de seguridad fundamental es tener un plan de copias de seguridad. Las copias de seguridad periódicas de los sistemas y los datos garantizan que, incluso si los datos originales se pierden debido a un ataque de ransomware, una organización puede volver a la copia de seguridad y continuar operando sin pagar el rescate. Más información sobre cómo prevenir el ransomware.

4. Usurpación de cuentas (ATO)

Los ataques de usurpación de cuentas (ATO) son intentos de hacerse con el control de la cuenta de un usuario. Los atacantes cuentan con diversos métodos para acceder a una cuenta:

El relleno de credenciales, cuando los atacantes utilizan bots para intentar iniciar sesión de forma automática y rápida en una cuenta de usuario utilizando una lista de contraseñas habituales o expuestas.
Los Intentos de descifrar una contraseña por fuerza bruta, en los que los atacantes utilizan el método de prueba y error para intentar adivinar las contraseñas de los usuarios.
El phishing, descrito anteriormente
Las cookies robadas, que permiten a los atacantes apropiarse de la sesión de navegación web de un usuario.
Las infecciones de malware, que pueden registrar la actividad del usuario y sus credenciales para luego enviarlas al atacante.

La usurpación de cuentas no solo puede afectar a la cuenta comprometida. Los atacantes pueden utilizar la cuenta para acceder a otras cuentas del usuario, para moverse lateralmente dentro de la red de una organización y comprometer sistemas adicionales, para lanzar ataques de phishing o para robar datos confidenciales.

Cómo evitar la usurpación de cuentas

Las medidas de seguridad básicas, como las políticas de contraseñas seguras, el uso de la autenticación multifactor (MFA), la limitación de velocidad y los filtros de seguridad del correo electrónico pueden ser bastante eficaces para la prevención de la usurpación de cuentas. Para las empresas y organizaciones, una arquitectura de seguridad Zero Trust puede contener los daños de un ataque de apropiación de cuentas que tenga éxito, al segmentar la red interna para evitar el movimiento lateral y una exposición mayor.

5. Inyección de código SQL

La inyección de Structured Query Language (SQL) es un ataque frecuente que se puede dirigir contra cualquier aplicación web que permita entradas de usuario. Al introducir sentencias SQL especializadas en un campo de entrada, un atacante puede ejecutar comandos que permitan la obtención de datos de la base de datos o la destrucción de esos datos. Las inyecciones de código SQL funcionan aprovechando las aplicaciones que esperan un tipo de datos, pero en su lugar reciben un comando SQL y no tienen suficientes protecciones en el lado del servidor para reconocer y bloquear dichos comandos.

Cómo prevenir la inyección de código SQL

Un desarrollador de aplicaciones puede seguir una serie de pasos específicos para diseñar el backend de su aplicación a fin de evitar los ataques de inyección de código SQL (entre ellos, escapar las entradas del usuario, utilizar sentencias preparadas y procedimientos almacenados, y aplicar el acceso de privilegio mínimo). Además, un WAF puede bloquear la mayoría de los ataques de inyección de código SQL antes de que lleguen a las aplicaciones. Suscríbete para empezar a utilizar Cloudflare WAF.

6. Cross-site scripting (XSS) y falsificación de solicitud entre sitios (CSRF)

Estos ataques tienen como objetivo la actividad del navegador web. En un ataque de cross-site scripting (XSS), un atacante adjunta código malicioso a un sitio web legítimo que se ejecuta cuando un usuario carga el sitio web. En un ataque de falsificación de solicitud entre sitios (CSRF), un atacante falsifica una solicitud de usuario y la adjunta a un enlace. Cuando se carga el enlace, se lleva a cabo la solicitud.

Cómo prevenir XSS y CSRF

Las reglas WAF pueden bloquear muchos tipos de ataques XSS y CSRF. Además, los desarrolladores de aplicaciones deben tener en cuenta estos ataques a la hora de desarrollar sus aplicaciones e incorporar medidas de mitigación. Por último, los usuarios deben desconfiar de los enlaces que reciban por correo electrónico u otras fuentes, y cargar siempre la URL real del sitio web o la aplicación que intentan utilizar.

Consulta los 10 principales riesgos de OWASP para ver una lista más completa de las amenazas a las aplicaciones web.

7. Amenazas internas

Los "insiders" o personas dentro de una organización pueden representar una amenaza tan grande como los atacantes externos en cuanto al:

El robo o la filtración de datos
La destrucción de datos
La instalación de malware
Una configuración errónea de la seguridad
Venta de los secretos de la empresa
La divulgación de secretos internos a adversarios externos

Cómo detectar y prevenir las amenazas internas

La seguridad Zero Trust garantiza que ningún usuario interno tenga más acceso del que necesita. Esto limita los daños que un usuario interno malintencionado podría causar en los sistemas y datos internos.

La prevención de pérdida de datos (DLP) puede detectar los datos confidenciales y bloquear los intentos de copiar, descargar, cargar o enviar por correo electrónico esos datos.

8. Ataques a la cadena de suministro

Los ciberdelincuentes pueden atacar a una organización o aplicación de forma indirecta (en lugar de directamente), poniendo en riesgo componentes de su cadena de suministro. Esto podría significar poner en riesgo las dependencias de aplicaciones de terceros (cualquier aplicación o API integrada), el software de terceros, el código abierto o los proveedores de hardware. Los ciberdelincuentes han llegado incluso a atacar a un proveedor de ciberseguridad y han añadido código malicioso a su software, que se envía posteriormente en una actualización del sistema a los clientes de ese proveedor.

Cómo prevenir los ataques a la cadena de suministro

Los ataques a la cadena de suministro son un problema especialmente difícil en el panorama informático actual tan interconectado. Sin embargo, estas medidas de seguridad pueden ayudarte a reducir el riesgo:

La implementación de la seguridad Zero Trust
La evaluación de los riesgos de terceros
La identificación del Shadow IT
La aplicación temprana de las actualizaciones del sistema y de las revisiones de vulnerabilidades.
La carga del código de terceros fuera del navegador del usuario (un servicio que ofrece Cloudflare Zaraz)

Más información sobre los ataques a la cadena de suministro y su prevención.

9. Explotación de vulnerabilidades

Cualquier software puede tener fallos, y algunos de esos fallos pueden exponer el software a ataques. Estos fallos se denominan vulnerabilidades. Las explotaciones de vulnerabilidades son ataques que se aprovechan de las vulnerabilidades y permiten al atacante hacerse con el control de un sistema o ver datos confidenciales.

Cómo prevenir la explotación de vulnerabilidades

Los proveedores de software publican con frecuencia revisiones y actualizaciones que eliminan las vulnerabilidades de su software. La aplicación de esas actualizaciones lo antes posible bloquea muchas vulnerabilidades. En el caso de las aplicaciones web, un WAF puede proteger contra las vulnerabilidades más comunes, ya que los atacantes suelen utilizar las mismas vulnerabilidades en varias aplicaciones para intentar ponerlas en riesgo.

Algunas vulnerabilidades aún no son conocidas por los proveedores de software ni por la comunidad de seguridad en general: las amenazas de día cero. No existe una protección infalible contra las amenazas de día cero, pero un WAF puede bloquear muchos tipos de ataques desconocidos, y el aislamiento de navegador puede proteger los dispositivos de los usuarios contra el código no fiable.

10. Ataques en ruta

En un ataque en ruta, el atacante se sitúa entre dos partes que se tienen confianza mutua y se hace pasar por una ante la otra. Esto permite al atacante interceptar los datos.

Cómo prevenir los ataques en ruta

Uno de los métodos más básicos para la prevención de los ataques en ruta es el uso de TLS (anteriormente "SSL") en los sitios web. Este protocolo utiliza firmas digitales para verificar la identidad del servidor web al que está conectado el usuario y garantizar que este no envíe sus datos a un impostor. Los usuarios también deben evitar el envío de datos confidenciales a través de redes WiFi públicas, ya que son un sitio habitualmente utilizado para los ataques en ruta. Cloudflare activa automáticamente TLS gratuito para todos los dominios conectados a la red de Cloudflare.

Suscríbete a un plan de Cloudflare.