Conceptos básicos de seguridad en Internet (Niveles B1 y B2)

Introducción al contenido

El uso de las tecnologías de la información y las comunicaciones (TIC) ha supuesto un gran avance e importantes mejoras para la vida cotidiana, la comunicación entre personas y los entornos profesionales. Pero también lleva asociados sus riesgos y amenazas, que son tanto intrínsecos a la propia tecnología, como al (mal) uso que hacemos de ella o a las nuevas posibilidades (para bien o para mal) que se nos abren. 
En los contenidos que se presentan en esta unidad vamos a dar una visión general a la problemática actual de la ciberseguridad y cómo nos puede afectar como usuarios de las TIC, tanto en el ámbito profesional como en el personal. 

Inicio de los ciberataques

La inmensa mayoría de los ciberataques a empresas y organizaciones se inician de una de las dos formas siguientes: 

  1. Usando contraseñas o credenciales de acceso robadas (que se han obtenido engañando al usuario mediante técnicas de "ingeniería social") o "adivinadas" (que se han obtenido por el uso de contraseñas débiles).
  2. Aprovechando vulnerabilidades en los equipos de los usuarios: porque no están debidamente actualizados y parcheados; o porque se han instalado programas desde fuentes no fiables; o porque tienen habilitado el acceso remoto, entre otras causas.

Esto nos lleva a la conclusión inmediata de que nosotros, como usuarios, tenemos un papel muy importante en la seguridad global de los sistemas de información de nuestra organización y debemos tener las herramientas y conocimientos básicos para poder hacer un uso seguro de las TIC. 
El objetivo principal de esta unidad didáctica es que tomemos conciencia de la importancia de un uso seguro de las TIC y que aprendamos de forma sencilla y práctica cómo hacerlo.

Se puede repasar las unidades de contenido para los niveles A1 y A2 (especificar URL) para recordar la exposición básicas de los conceptos y términos que se van a tratar con un poco más de profundidad en este nivel.

El "Malware" y sus diferentes tipos

Malware es un término que proviene del inglés y que podemos traducir como “software o programa malicioso” y se trata de un tipo de programa que tiene como objetivo dañar o infiltrarse y tomar el control en un ordenador sin el consentimiento de su propietario.

A su vez nos podemos encontrar distintas categorías de malware en función de la acción maliciosa que realizan, aunque genéricamente nos podemos referir a todos ellos, en español, como "Virus".

En general, podemos afirmar que las acciones maliciosas (amenazas) que el malware pretende realizar se centran en alguna da las siguientes: 

  1. Acceso a información privada o confidencial (ataque contra la confidencialidad de la información)
  2. Alteración indebida de la información (ataque contra la integridad y la autenticidad de la información)
  3. Robo de credenciales de acceso (para ataque de suplantación de identidad).
  4. Utilización indebida de los recursos del ordenador (ataque de denegación de servicio, ejecución de programas no autorizados, conexión a servidores de control de ciberdelincuentes)
  5. Propagación por una red local.

En la siguiente sección, pulsando en cada pestaña, podrás ver los diferentes tipos de malware y su acción maliciosa principal: 

  Pulsa en cada pestaña

Se propaga de forma muy rápida infectando otros ordenadores que estén conectados a una red local.

Se instala y ejecuta sin que el usuario del ordenador lo perciba, generalmente oculto en algún fichero que se ha descargado, y establece comunicación con un equipo malicioso remoto permitiendo al atacante controlar nuestro equipo y ejecutar de forma oculta procesos en nuestro ordenador.

Recopila información de nuestro ordenador y después la envía a una entidad remota sin nuestro conocimiento.

Se trata de una variedad de spyware, muy usados para el robo de contraseñas, cuya finalidad es detectar y almacenar las pulsaciones de un teclado.

Software malicioso diseñado para mostrarnos anuncios no deseados de forma masiva.

Se ejecuta en el equipo infectado y “secuestra” la información del usuario cifrándola, de tal forma que permanece ilegible si no se cuenta con la contraseña de descifrado. Posteriormente, el atacante extorsiona al usuario pidiendo un rescate económico a cambio de esta contraseña para que, supuestamente, pueda recuperar sus datos.

Una infección por "ransomware" puede tener un gran impacto en las organizaciones, pues además suele tener capacidades de "gusano" para propagarse rápidamente por la red de dicha organización.

De forma inadvertida para el usuario, este malware utiliza la potencia de cálculo de su equipo para el minado de criptomonedas (cryptomining).

Saber más: El "Malware como servicio" (MaaS)

El "Malware como servicio" (MaaS) supone un nuevo paradigma en el mundo de la ciberseguridad. Los grupos criminales desarrollan herramientas y capacidades que comercializan directamente en la Dark Web como un servicio contratable y operado directamente por ellos; esta oferta de malware “a medida” permite a delincuentes no expertos utilizar funcionalidades de malware avanzado en todo tipo de ciberataques. El proveedor del servicio recibe finalmente un porcentaje (previamente acordado) de las ganancias obtenidas en el ciberataque.
Un ejemplo muy extendido es el Ransomware-as-a-Service (RaaS).

Atención, las vías de infección más típicas son:

  • Descarga de programas o contenidos de sitios no oficiales o de software pirata.
  • Por correo electrónico, mediante un fichero adjunto o a través de un enlace a una dirección web maliciosa.
  • Por la navegación web por sitios webs fraudulentos o accediendo a las ventanas emergentes que aparezcan durante la navegación.
  • Utilización de dispositivos USB de dudosa procedencia.
  • Por conexión a una red local en la que hay otros equipos infectados (gusano).

Cómo se desarrolla un ciberataque

En este apartado veremos algunos detalles sobre cómo se puede desarrollar un ciberataque típico. Pero antes será conveniente disponer de un glosario en el que definamos algunos términos que designan a herramientas y técnicas tanto de ataque como de defensa.

Técnicas y herramientas de ataque: 

  • Bug: error o fallo en un programa que desencadena un resultado indeseado. Generalmente, el malware aprovecha estos bugs o fallos de software para realizar sus acciones maliciosas. Un bug es una vulnerabilidad de un programa.
  • Exploit: Secuencia de comandos que aprovecha un bug en un programa para provocar en él un comportamiento indeseado. Dicho de otra forma: el malware es un programa que contiene uno o varios exploits que aprovechan bugs en un programa que tenemos instalado en nuestro ordenador.
  • Ingeniería social: tácticas basadas en el engaño, utilizadas para obtener información y datos de naturaleza sensible, generalmente claves o credenciales, de una persona. Estas técnicas de persuasión suelen valerse de la buena voluntad y falta de precaución de la víctima.
  • Botnet (red de bots): conjunto de ordenadores (denominados bots) controlados remotamente por un atacante que pueden ser utilizados en conjunto para realizar actividades maliciosas como envío de spam, ataques de DDoS, etc. Para incluir un equipo en una botnet, previamente se le ha infectado con un malware. Las botnets se caracterizan por tener un servidor central (C&C, de sus siglas en inglés Command & Control) al que se conectan los bots para enviar información y recibir comandos.
  • Denegación de Servicio (DoS): tipo de ataque que consiste en saturar con peticiones de servicio a un servidor, hasta que éste no puede atenderlas, provocando su colapso. En el mundo “cyber” es el equivalente a un sabotaje. Un método más avanzado es el ataque de Denegación de Servicio Distribuido (DDoS), mediante el cual las peticiones son enviadas, de forma coordinada entre varios equipos, que pueden estar siendo utilizados para este fin sin el conocimiento de sus legítimos dueños (por ejemplo a través de una botnet).

 

Técnicas y herramientas de defensa: 

  • Parche o actualización de seguridad: conjunto de cambios que se aplican a un software o programa para corregir errores de seguridad; son desarrollados por el fabricante del software tras la detección de una vulnerabilidad (bug) en el software y pueden instalarse de forma automática o manual por parte del usuario. La aplicación de un parche hace que nuestro sistema sea inmune de forma permanente a un bug y, por lo tanto, al malware que trata de aprovecharse del mismo.
  • Antivirus: programa específicamente diseñado para detectar, bloquear y eliminar malware. El antivirus previene que un malware actúe en nuestro sistema, pero no corrige la vulnerabilidad y, por lo tanto, no nos hace inmunes al malware.
  • Criptografía: técnica que consiste en cifrar un mensaje, conocido como texto en claro, convirtiéndolo en un mensaje cifrado, que resulta ilegible para todo aquel que no conozca el sistema mediante el cual ha sido cifrado. Existen dos tipos principales de criptografía: por un lado, la conocida como criptografía simétrica, más tradicional, y la criptografía asimétrica que se basa en la utilización de dos claves complementarias: la clave pública y la clave privada. 
    Actualmente, todos aquellos sistemas o comunicaciones que requieren confidencialidad, identificación segura o garantía de autenticidad se basan en la aplicación práctica de la criptografía asimétrica.
  • VPN (red privada virtual): tecnología de red que permite una conexión virtual punto a punto entre dos equipos usando para la conexión una red pública como es Internet y consiguiendo que esta conexión sea segura gracias al cifrado de la comunicación. Una VPN es un caso práctico de aplicación de la Criptografía a las comunicaciones.
Fuente: INCIBE

Describiremos ahora cómo se desarrollaría un ataque típico (y completo) a una institución, siguiendo una serie de fases que constituyen lo que se denomina "Cyberkill-chain":

Fase 1: Reconocimiento

Fase 2: Preparación

Fase 3: Distribución

Fase 4: Explotación

Fase 5: Instalación

Fase 6: Comando y control

Fase 7: Acciones sobre los objetivos

  Pulsa en cada pestaña para ver los detalles de cada fase

En esta fase, el atacante va a tratar de recopilar información sobre el objetivo al que pretende atacar; esta información puede ser de tipo técnico (sistemas operativos empleados, aplicaciones, direccionamiento IP y servicios que están abiertos a conexiones externas, etc.), datos personales (cuentas de correo, redes sociales) u organizativa. El primer tipo de información (la de carácter técnico) le puede servir para conocer posibles vulnerabilidades en los sistemas; las otras dos (datos personales e información organizativa) para preparar algún ataque basado en “ingeniería social”.

Con la información recopilada, el atacante trata de preparar la forma en la que va a realizar su ataque para que sea lo más efectivo posible para sus intereses: enviando phishing, distribuyendo software malicioso, aprovechando alguna vulnerabilidad de un equipo conectado a la red, etc.

Ahora el atacante comienza lo que podríamos denominar la “fase activa” del ataque: distribuyendo el malware; enviando una campaña de correos maliciosos (phishing) o atacando activamente las vulnerabilidades descubiertas.

El resultado de la fase anterior es que el atacante encuentra el agujero por el que empezar su “tarea” y aquí ya lanza el exploit que la permitirá asentarse y apropiarse de un equipo en la red objetivo; en esta fase, utilizando terminología militar, el atacante obtiene una “cabeza de puente” en los sistemas de la víctima.

El malware empieza a actuar en el equipo afectado y realiza distintas acciones encaminadas fundamentalmente a evitar su detección, a garantizar su permanencia (“persistencia”) en el equipo infectado y a descubrir máquinas y servicios conectados a la misma red. 

El atacante ya cuenta con el control del equipo de la víctima; en este momento trata de establecer conexión con un servidor remoto controlado con el atacante (lo que se domina “Centro de Mando y Control” o “C&C” por su acrónimo en inglés), lo cual permitirá al atacante incrementar el impacto de su ataque, conocer más detalles de los sistemas de la víctima y robar información confidencial e incluso credenciales de acceso (exfiltración). En el peor de los casos, esto puede suponer un control total de los sistemas del objetivo.

En esta última fase, el atacante se hace con el control, extrae datos y definitivamente despliega todo su ataque. 
Puede finalizar de dos formas:

  • Termina el ataque y se “sale” del sistema, tratando de borrar todo el rastro posible. Por ejemplo, puede ser el caso en que el objetivo sea espiar o robar información, pero no interesa que la víctima detecte que ha sufrido el ataque.
  • Lanza el ataque y avisa a la víctima exigiéndole el pago de un rescate por su información o para la recuperación de los servicios (ransomware) o simplemente cambia los contenidos de la web institucional (ataques reputacionales, hacktivismo).

Muy importante:

El objetivo de haber expuesto la "Cyberkill-chain" no es otro que mostrar y concienciar sobre la importancia que, como usuarios de los servicios y de los equipos, cada uno de nosotros tenemos para la seguridad global delos sistemas de nuestra organización y que podemos jugar un papel activo en la prevención o reducción del riesgo de un ciberataque.

En las primeras fases expuestas, el papel de los usuarios y de sus equipos son clave para impedir o detectar un ciberataque; sólo con aplicar las buenas prácticas y recomendaciones que se exponen en estas unidades didácticas se reducirá enormemente el riesgo de que nuestra institución sufra un ciberataque.

Phishing

Se trata de ataques basados en el engaño o “ingeniería social”; de forma general, el ciberdelincuente, para lograr su objetivo, envía un mensaje suplantando a una entidad legítima (un banco, un Administración o entidad pública, un servicio técnico, una persona de confianza) con la que el destinatario se pueda sentir confiado. Los mensajes suelen ser de carácter urgente o atractivo, para evitar que los usuarios apliquen el sentido común. Los mensajes traen consigo un enlace a una web fraudulenta, que ha podido ser suplantada, fingiendo ser un enlace legítimo, o bien llevan un archivo adjunto malicioso para infectarnos con malware.

Este tipo de estafas reciben distintos nombres según el medio que se use para el envío del mensaje: 

  • Phishing (correo electrónico).
  • Smishing (SMS)
  • Vishing (llamada telefónica).

Cuando se trata de un ataque dirigido a una persona en concreto, se conoce como Spear phishing, o phishing dirigido.

¿Cómo detectar un correo fraudulento?

El reto que nos planteamos ahora es tratar de detectar correos fraudulentos y evitar caer en su engaño. Actualmente, los servidores de correo electrónico de las empresas y los más populares disponen de mecanismos y herramientas para detectar y avisar al usuario sobre correos basura (spam) o maliciosos (phishing), así como mecanismos antivirus para detectar si un fichero adjunto al correo contiene malware. Algunos servicios también incorporan medidas más avanzadas para comprobar la autenticidad del correo, ya sea del remitente o del dominio de origen; e incluso, algunos incorporan mecanismos para detectar si un enlace contenido en el correo es fraudulento y evitar que se acceda a la web enlazada si el remitente hace click en el mismo. 

Pero aún así, siempre los ciberdelincuentes siempre idean nuevas técnicas para tratar de saltarse estos controles y, en algunos casos, lo consiguen. Por lo tanto, como usuarios debemos estar siempre alerta para saber detectar este tipo de correos. 

A continuación planteamos una serie de pistas y consejos que nos serán de utilidad para detectar correos maliciosos: 

Aunque parezca muy simple, el consejo más eficaz para identificar y detectar correos electrónicos dañinos es el sentido común. Esto significa que cualquier síntoma o patrón fuera de lo considerado normal o habitual debe despertar nuestras sospechas.  

  Pulsa en cada pestaña

Si no conocemos la identidad del remitente y tampoco se ha identificado correctamente en el cuerpo del mensaje, debemos desconfiar; o bien también debemos desconfiar si la dirección de correo que aparece en el campo de "remitente" no coincide con la dirección de correo habitual del supuesto autor (por ejemplo, utiliza un dominio de correo distinto). 

Además, para el ciberdelincuente es sencillo falsificar la dirección que aparece en el campo de "remitente" (esta técnica se denomina "spoofing"); en este caso, para comprobar si el correo es legítimo debemos analizar las cabeceras del mismo.

En este caso nos centraremos en el contenido (cuerpo) del mensaje. Los siguientes rasgos nos deben hacer sospechar:

  • El mensaje genera alerta en el destinatario y le urge a realizar una acción inmediata: acceder a una web (fraudulenta), abrir un archivo adjunto, proporcionar las credenciales, chantaje, etc.
  • Una compañía de confianza nos expone un asunto o solicitud poco habitual y nos pide acceder a una dirección web incluida en el correo.
  • La comunicación es impersonal y no se dirige al remitente por su nombre, sino usando términos genéricos como "usuario" o "cliente".
  • Mala redacción, faltas de ortografía, expresiones no habituales. 

Siempre que no sea algo esperado, cualquier correo que recibamos con un fichero adjunto debe provocar nuestras sospechas. 
Actualmente, siguiendo las buenas prácticas recomendadas, ninguna entidad (banco, administración pública, compañía energética telefónica, etc.) envía a sus destinatarios documentos adjuntos en un correo electrónico. Si es necesario que se descargue algún archivo se hará desde su portal web o aplicación oficial.

Especialmente peligrosos son los archivos con las siguientes extensiones:

  • .exe – El tradicional archivo ejecutable de Windows.
  • .vbs – Archivo Visual Basic Script que también puede ser ejecutado.
  • .docm – Archivo Microsoft Word con macros.
  • .xlsm – Archivo Microsoft Excel con macros.
  • .pptm – Archivo Microsoft PowerPoint con macros.
  • .zip o .rar - Archivos comprimidos. 

Si dudamos sobre si un documento adjunto puede estar infectado, lo mejor será analizarlo con un antivirus. Si tras comprobarlo, aún persiste la duda, no debemos abrirlo nunca. Si es posible, hay contactar con el remitente por otro canal, como una llamada de teléfono para que
confirme el mensaje y el adjunto.

A continuación mostramos un gráfico (Fuente: INCIBE) que nos resume de forma muy visual todos estos elementos que nos pueden hacer sospechar y una infografía (Fuente: CCN-CERT) que nos hace un resumen de todo lo visto sobre correos maliciosos y medidas de prevención: 
Fuente: INCIBE
Fuente: CCN-CERT

Medidas preventivas y buenas prácticas

De cara a prevenir o minimizar los riesgos y el impacto del malware disponemos de diferentes herramientas de defensa.

Ya en la unidad de contenido para nivel A1 se mostró un decálogo de buenas prácticas que no nos cansaremos de recordar y que reproducimos aquí de nuevo para su repaso.

  Pulsa en cada pestaña

No abrir ningún enlace o fichero adjunto en los correos que consideremos sospechosos; y ante cualquier sospecha, preguntar al remitente (si se trata de alguien conocido) o al Servicio de atención al usuario de la institución. Con esto evitaremos ser víctimas de phishing o que se nos instale un malware (en el caso de los ficheros adjuntos).

Mantener siempre actualizado nuestro sistema operativo (sea el que sea: Windows, IOS, Android, Linux, etc.) y el resto de programas, fundamentalmente el navegador. Con esto nos evitaremos la ejecución o los efectos del malware en nuestro equipo.

Utilizar contraseñas fuertes (que sean difíciles de adivinar) y cambiarlas regularmente o, al menos, cuando se tengan sospechas de que pueden haber sido comprometidas. Así evitaremos que suplanten nuestra identidad, el acceso de terceros a información privada o confidencial, robos en cuentas bancarias, etc. Las contraseñas deben de ser secretas y únicas, no debemos anotarlas, compartirlas o reutilizarlas.

No utilizar las credenciales de acceso corporativas en aplicaciones de uso personal; no dar nuestras contraseñas (o cualquier tipo de información sensible) a través de medios inseguros (wifis abiertas, servidores web inseguros, etc.).

No instalar aplicaciones de origen desconocido; pueden (suelen) contener malware “incrustado”.

Tener instalado y activado un antivirus que esté debidamente actualizado.

Usar herramientas de borrado seguro cuando se quiera eliminar información sensible o cuando se vaya a desechar un equipo. Así evitaremos la filtración de información privada o confidencial.

Ser cautos con los dispositivos externos de memoria (USB) que conectamos a nuestro equipo; sobre todo si son de procedencia desconocida o poco confiables.

Hacer copias de seguridad de nuestra información sensible. 

En caso de sospechar que se ha sido víctima de un ataque de seguridad comunicarlo a los técnicos que puedan resolverlo o a las personas de tu entorno que puedan ayudarte.

Línea 017 de INCIBE (Ayuda en ciberseguridad)

Línea 017 INCIBE

Tu Ayuda en Ciberseguridad es el servicio nacional, gratuito y confidencial que INCIBE pone a disposición de los usuarios de Internet con el objetivo de ayudarles a resolver los problemas de ciberseguridad que puedan surgir en su día a día. Está dirigido a los ciudadanos; empresas y profesionales; y menores y su entorno (padres, educadores). 
El servicio es atendido por un equipo multidisciplinar de expertos, a través de las diferentes opciones de contacto, que ofrecen asesoramiento técnico, psicosocial y legal, en horario de 8 de la mañana a 11 de la noche, los 365 días del año

Documentos y enlaces de referencia

Test final (B1 y B2)

  A continuación presentamos un test de 8 preguntas con una única respuesta correcta, como repaso a los conceptos tratados en esta unidad

  Responde cada pregunta

¿Con qué finalidad se utilizará un "keylogger en un ciberataque?[Selecciona la opción correcta]

  Responde cada pregunta

El malware que cifra la información de un ordenador y posteriormente pide un rescate por ella para que vuelva a estar accesible se denomina...[Selecciona la opción correcta]

  Responde cada pregunta

En relación con la VPN, indique la respuesta INCORRECTA[Selecciona la opción correcta]

  Responde cada pregunta

Ante la aparición de un exploit conocido en un sistema operativo (por ejemplo Windows), ¿cuál es la mejor protección que nos asegura que los atacantes no van a poder aprovecharlo para su cadena de ataque (Cyberkill-chain)?[Selecciona la opción correcta]

  Responde cada pregunta

¿Qué información puede ser interesante recopilar por parte de un ciberatacante en la fase de "Reconocimiento"?[Selecciona la opción correcta]

  Responde cada pregunta

Comprobar el remitente de los correos electrónicos es una de las mejores formas para diferenciar si una comunicación es fraudulenta o no. Ante un correo enviado por una supuesta entidad bancaria llamada Lesan Bank, ¿cuál de los siguientes remitentes sería más sospechoso de ser fraudulento?[Selecciona la opción correcta]

  Responde cada pregunta

Ante una comunicación por correo electrónico cuyo remitente parece legítimo pero existen sospechas sobre su legitimidad, la mejor forma de proceder es:[Selecciona la opción correcta]

  Responde cada pregunta

Cuál de las siguientes afirmaciones es falsa:[Selecciona la opción correcta]