Vulnerabilidades en los Controles de Seguridad: El Rol de las Trampas de Información en el Robo

By /

En el panorama actual de amenazas cibernéticas, la seguridad de la información y los bienes se ha convertido en una preocupación primordial. Los ataques a organizaciones y particulares crecen diariamente, haciendo evidente que las defensas tecnológicas por sí solas no son suficientes. Los ciberdelincuentes evolucionan constantemente sus estrategias, a menudo dirigiendo sus ataques a las personas usuarias mediante técnicas de ingeniería social que eluden las defensas tradicionales. Estas tácticas explotan las vulnerabilidades en los controles de seguridad, utilizando la información como una "trampa" para lograr sus objetivos.

Esquema de un ataque de phishing y sus fases

El Phishing y la Ingeniería Social: La Trampa Principal

El phishing es un tipo común de ciberataque que se dirige a las personas a través del correo electrónico, mensajes de texto, llamadas telefónicas y otras formas de comunicación. El término, que en inglés se pronuncia igual que la palabra "fishing" (pescar), se utiliza para identificar a los hackers que utilizan comunicaciones fraudulentas para "pescar" información de usuarios desprevenidos.

Siendo uno de los tipos más populares de ingeniería social, el phishing conlleva el uso de la manipulación psicológica y el engaño. Mediante estas técnicas, los agentes de amenaza se hacen pasar por entidades de buena reputación para embaucar a los usuarios y lograr que realicen acciones específicas, como divulgar información personal o credenciales.

Evolución y Tipos de Ataques de Phishing

Desde mediados de la década de 1990, los ataques de phishing se han vuelto cada vez más sofisticados y ahora se dividen en diferentes tipos, cada uno caracterizado por canales y métodos de ejecución específicos:

  • Phishing por correo electrónico: Término general para cualquier mensaje de correo electrónico malintencionado destinado a engañar a los usuarios para que divulguen información privada, como credenciales de cuentas, información personal identificable (PII) y secretos comerciales corporativos.
  • Spear Phishing: Una campaña de phishing altamente dirigida a un objetivo específico, aunque la táctica general es robar información personal o credenciales.
  • Smishing: Uso de mensajes SMS (texto) para engañar a los usuarios y hacer que accedan a páginas web malintencionadas desde sus smartphones.
  • Vishing: Los atacantes usan software de modificación de voz para dejar un mensaje en el que le dicen a la víctima que deben llamar a un número telefónico en el que pueden ser estafados.
  • Whaling (fraude al CEO): Estos mensajes suelen enviarse a empleados de alto nivel de una empresa para hacerles creer que el CEO (director general) u otro ejecutivo ha solicitado transferir dinero. Un atacante suplanta al CEO de la corporación objetivo.
  • Pharming: Un ataque en dos fases utilizado para robar credenciales. En la primera fase, se instala malware en la víctima y se la redirige a un navegador y a un sitio web falso para que divulgue sus credenciales.
  • Watering Hole (abrevadero): Un atacante identifica un sitio web legítimo utilizado por numerosos usuarios objetivo, explota una vulnerabilidad en el sitio y lo utiliza para engañar a los usuarios para que descarguen malware.

Tanto si una campaña de phishing está altamente dirigida como si se envía a la mayor cantidad posible de víctimas, siempre comienza con un mensaje malintencionado disfrazado de una empresa legítima. El ataque se facilita enfatizando un sentido de urgencia, amenazando con la suspensión de la cuenta, la pérdida de dinero o del trabajo para el usuario objetivo.

Mecanismos de una Trampa de Phishing

El phishing evoluciona continuamente para eludir los filtros de seguridad y la detección humana. A menudo, los ciberdelincuentes utilizan ataques de phishing para obtener acceso directo al correo electrónico, redes sociales y otras cuentas, o para obtener permisos que les permitan modificar y comprometer sistemas conectados. Dado que los ataques de phishing suelen enviarse al mayor número de personas posible, el mensaje suele ser escueto y genérico. Estos mensajes podrían utilizar el logotipo oficial de la empresa, pero la dirección del remitente no incluiría el dominio oficial de la empresa.

El archivo adjunto puede ser una página web, un script de línea de comandos (por ejemplo, PowerShell) o un documento de Microsoft Office con una macro malintencionada. Los enlaces malintencionados llevan a los usuarios a páginas web falsas o infectadas con malware.

  • Ejemplo de FedEx: Un correo electrónico exhortaba a los destinatarios a imprimir un recibo postal adjunto y llevarlo a una sede de FedEx para recuperar un paquete no entregado. Desafortunadamente, el archivo adjunto contenía un virus que infectaba los ordenadores de los destinatarios.
  • Ejemplo de gov.uk: Una página falsa imitaba la web de gov.uk. Después de hacer clic en un enlace de phishing, los usuarios eran redireccionados a esta página fraudulenta que parecía ser parte de la agencia tributaria HMRC, solicitando información delicada.

A través de estas técnicas se solicita a los usuarios que introduzcan información delicada, como ID de usuario, contraseñas, datos de tarjetas de crédito y números telefónicos. Para evitar los filtros, un atacante puede enviar un correo electrónico inicial, en apariencia benigno, para crear confianza, y después un segundo correo electrónico con un enlace o solicitud de información delicada.

El Robo de Datos y la Identidad: Objetivos y Métodos

El objetivo principal del phishing es el beneficio económico, por lo que los atacantes se dirigen principalmente a sectores específicos que almacenan datos de tarjetas de crédito o disponen de fondos para pagar grandes sumas de dinero. El objetivo podría ser tanto una organización entera como usuarios individuales.

El robo de datos, también conocido como robo de información, es la transferencia o el almacenamiento ilegal de información personal, confidencial o financiera. Esto podría incluir contraseñas, códigos de software o algoritmos, procesos o tecnologías patentadas, información de cuentas bancarias, números de pasaporte, licencias de conducir, números de seguro social, historias clínicas, etc.

El robo de identidad abarca una amplia gama de métodos para robar la información de otras personas. Si los ladrones de datos roban suficiente información, pueden usarla para acceder a cuentas seguras, generar tarjetas de crédito con el nombre de la víctima o usar su identidad para beneficiarse de algún modo.

Infografía: Tipos de información sensible susceptible de ser robada

Fuentes Comunes de Vulnerabilidad para el Robo de Datos

El robo digital se lleva a cabo a través de diferentes medios y a menudo explota las vulnerabilidades en los sistemas y programas:

  • Contraseñas Débiles: Si se usa una contraseña fácil de adivinar o la misma contraseña para varias cuentas, los atacantes podrían acceder a los datos. Las contraseñas cortas y poco complejas son fáciles de adivinar para los ciberdelincuentes.
  • Vulnerabilidades de Software y Diseño de Red: Las aplicaciones de software mal desarrolladas o los sistemas de red mal diseñados o implementados crean vulnerabilidades que los piratas informáticos pueden explotar.
  • Amenazas Internas: Empleados deshonestos, contratistas descontentos, o incluso exempleados que aún tienen acceso, pueden copiar, modificar o robar datos.
  • Errores Humanos: Las vulneraciones de datos no solo son resultado de acciones maliciosas. Errores comunes incluyen enviar información confidencial a la persona equivocada (correo electrónico erróneo, documento adjunto incorrecto) o entregar un archivo físico a alguien sin acceso autorizado.
  • Malware: Programas maliciosos (virus, spyware, cryptominers) pueden instalarse en un equipo y desde allí espiar la actividad del usuario (keyloggers) o proporcionar puertas traseras a los atacantes para acceder a bases de datos o archivos con información personal.
  • Sitios Web Comprometidos o Falsos: Una persona podría descargar programas o datos de sitios web comprometidos, o ser redirigida a sitios web falsos que parecen reales y solicitan información personal.
  • Redes Wi-Fi Públicas Inseguras: Las conexiones seguras y confiables no siempre son lo que parecen en redes Wi-Fi públicas. Estas pueden ser objetivos fáciles para piratas informáticos que espían las comunicaciones para robar información personal.
  • Robo Físico: Incluye el robo de documentos o dispositivos como equipos portátiles, teléfonos o dispositivos de almacenamiento. El trabajo remoto aumenta las probabilidades de que los dispositivos desaparezcan o se roben.
  • Skimming de Tarjetas de Crédito: Una máquina de tarjeta de crédito falsa instalada en una gasolinera u otro dispositivo de punto de venta (POS) se usa para recopilar la información de las tarjetas de los clientes.
  • Robo de Correo y Basura: Antes de Internet, los ladrones robaban tarjetas de crédito u otra información de los buzones o de la basura, donde las personas desechan documentos con información confidencial.
  • Robo de Teléfonos Móviles: Popular porque las personas a menudo almacenan información personal (contraseñas, números de cuenta) en aplicaciones. También pueden usarse para la segunda etapa de autenticación de dos factores.
  • Robo de Identidad Infantil y Fiscal: Utilización del número de seguro social del niño para abrir cuentas fraudulentas, o del número de seguro social y otra información para declarar impuestos y cobrar reembolsos de forma fraudulenta.

La web oscura consiste en una red de sitios web ocultos de usuarios de Internet regulares. Es un punto de venta principal para información personal robada, ya que los piratas informáticos a menudo venden los datos para obtener ganancias rápidas.

Controles de Seguridad: Tipos, Marcos y Evaluación de Vulnerabilidades

Los controles de seguridad son parámetros implementados para proteger diversas formas de datos e infraestructura importantes para una organización. Dada la creciente tasa de ciberataques, los controles de seguridad de datos son hoy más importantes que nunca.

La Unión Europea implementó el Reglamento General de Protección de Datos (RGPD) en 2018, y en EE. UU. la Ley de Privacidad del Consumidor de California entró en vigor en 2020. Es crítico que las empresas refuercen sus políticas de protección de datos para evitar multas y cumplir con la normativa.

Diagrama de flujo de un sistema de control de accesos.

Clasificación de los Controles de Seguridad

Existen varios tipos de controles de seguridad que protegen el hardware, software, redes y datos de acciones y eventos que podrían causar pérdidas o daños:

  • Controles de seguridad física: Incluyen barreras perimetrales, bloqueos, tarjetas de control de acceso, sistemas de control de acceso biométrico, cámaras de vigilancia y sensores de detección de intrusiones.
  • Controles de seguridad digital: Abarcan nombres de usuario y contraseñas, autenticación de dos factores, software antivirus y firewalls.
  • Controles de ciberseguridad: Todo lo diseñado específicamente para prevenir ataques a los datos, incluida la mitigación de DDoS y los sistemas de prevención de intrusiones.
  • Controles de seguridad en la nube: Medidas tomadas en cooperación con un proveedor de servicio cloud para ofrecer la protección necesaria para los datos y las cargas de trabajo.

Marcos y Evaluación de Controles

Los marcos de seguridad, como el creado por el Instituto Nacional de Estándares y Tecnología (NIST) o las medidas defensivas prioritarias del Centro para la Seguridad de Internet (CIS), permiten a una organización gestionar de forma coherente los controles de seguridad. Una evaluación de controles de seguridad es un primer paso excelente para determinar dónde existen vulnerabilidades.

Los métodos y procedimientos de evaluación determinan si los controles de seguridad se implementan correctamente y funcionan según lo previsto, asegurándose de que cumplan los requisitos de seguridad de la organización. Esto incluye:

  • Determinación de los sistemas de destino: Crear una lista de direcciones IP de todos los sistemas y dispositivos conectados a la red que necesitan ser escaneados.
  • Determinación de las aplicaciones de destino: Enumerar las aplicaciones y servicios web a escanear, incluyendo el tipo de servidor, base de datos y tecnologías utilizadas.
  • Análisis y elaboración de informes de vulnerabilidades: Mantener informados a los equipos de red y de TI de toda la actividad de evaluación y asegurar que las IPs del escáner estén incluidas en la lista blanca en IPS/IDS.

Fortaleciendo los Controles: Medidas de Prevención y Protección

La prevención de los ataques de phishing y otros tipos de robo requiere una combinación de formación de los usuarios para reconocer las señales de advertencia y sistemas de ciberseguridad robustos.

Capacitación y Concienciación del Usuario

La capacitación para la concienciación de los usuarios es la línea de defensa más importante. Es fundamental que las organizaciones se comuniquen con los empleados y les brinden formación sobre las últimas técnicas de phishing e ingeniería social. La sensación de urgencia, las solicitudes de datos personales, los enlaces incrustados y los archivos adjuntos son señales de advertencia clave.

La simulación de phishing es lo más puntero en formación para empleados, proporcionando experiencia práctica sobre cómo se lleva a cabo un ataque. Los informes y análisis informan a los administradores de dónde puede mejorar la organización, descubriendo qué ataques de phishing engañaron a los empleados.

¿Cómo detectar un ataque de phishing?

Medidas Técnicas de Protección

  • Contraseñas Robustas: Deben ser difíciles de deducir (al menos 12 caracteres, mezcla de mayúsculas, minúsculas, números y símbolos) y cambiarse con regularidad (cada 30-45 días). No se deben almacenar en papel ni en programas no diseñados para ello (como el navegador).
  • Autenticación Multifactor (MFA): Habilitar un segundo factor de autenticación (como un código enviado al teléfono o datos biométricos) además de la contraseña, para validar la identidad del usuario.
  • Software y Firmware Actualizados: Mantener actualizados el software y el firmware para corregir errores y problemas de seguridad. Habilitar las actualizaciones automáticas siempre que sea posible.
  • Cortafuegos (Firewalls): Instalar cortafuegos que controlen el tráfico entrante y saliente, y sistemas que detecten software malicioso (antivirus).
  • Evitar Ventanas Emergentes Maliciosas: Los atacantes pueden cambiar la ubicación del botón "X" de una ventana emergente para engañar a los usuarios y hacerles abrir un sitio malintencionado o descargar malware.
  • Cuidado con Datos de Tarjeta de Crédito: A menos que el sitio sea de total confianza, nunca se deben facilitar datos de tarjeta de crédito a un sitio web no reconocido.
  • Cifrado de Discos Duros: En los PCs, es posible activar el cifrado de los discos duros para proteger la información en caso de robo físico.
  • Servidores DNS Seguros: Utilizar servidores DNS seguros que realicen un filtrado de dominios maliciosos.
  • Conexiones Inalámbricas Seguras: Evitar conectarse a redes inalámbricas inseguras (aeropuertos, restaurantes), y utilizar diferentes redes Wi-Fi (SSIDs) para diferentes usos, con cifrado adecuado. Las tecnologías NAC son eficaces para que solo accedan a la red equipos y/o personas autorizadas.
  • Conexiones Físicas: No debería haber conexiones físicas de red en lugares accesibles al público. Las que existan deben converger en un RITI o armario de comunicaciones, y las necesarias deben estar controladas.
  • Protección contra Phishing Avanzada: Soluciones de puerta de enlace de correo electrónico que detectan y clasifican correos de phishing basándose en la mala reputación de las URL incrustadas o en análisis de anomalías. Estas herramientas deben poner en cuarentena los mensajes sospechosos.
  • Gestión del Software: Desinstalar programas no utilizados. Realizar instalaciones como usuario no privilegiado para limitar permisos. Utilizar software que permita localizar o bloquear dispositivos de forma remota. Aplicar guías de bastionado o hardening (CCN-CERT, NIST, CIS).

Gestión de la Información y Conexiones

La protección de las conexiones es crucial para acceder a los sistemas de información de una organización. Con la popularización de las conexiones inalámbricas y las VPN para el trabajo remoto, la necesidad de proteger estas conexiones se vuelve cada vez mayor.

Las organizaciones deben proteger los servicios ofrecidos a través de Internet (páginas web, correo electrónico, VPN) con tecnologías específicas para cada tipo de servicio.

Copias de Seguridad y Actualizaciones de Seguridad

  • Copias de Seguridad (Backups): Son un respaldo de la información crítica, duplicada y almacenada de forma segura para recuperar datos en caso de pérdida. Existen copias completas, diferenciales e incrementales. Es fundamental disponer del número adecuado de copias y alojar al menos una en una localización distinta. Las copias deben destruirse adecuadamente según el medio.
  • Parches y Actualizaciones de Seguridad: Son piezas de software que corrigen vulnerabilidades. Es vital mantener un listado de equipos y software instalado, controlar el ciclo de vida del software y valorar el riesgo de seguridad antes de aplicar parches masivamente.

Control de Accesos y Auditoría

El control de accesos es el conjunto de mecanismos y procedimientos que permiten a los gestores de la seguridad controlar y restringir el uso de los recursos del sistema de información. Se recomienda que los mecanismos de autenticación usen al menos dos categorías (por ejemplo, "¿Qué tengo?" y "¿Qué soy?") para ser seguros. Otros procedimientos incluyen el "Single Sign-On" (SSO).

  • Control de Acceso Discrecional (DAC): Restringe el acceso a objetos en función de la identidad del sujeto y/o los grupos a los que pertenece.
  • Control de Acceso Obligatorio (MAC): La política de seguridad es controlada por un administrador central.
  • Control de Acceso Basado en Roles (RBAC): Los permisos se asignan a roles predefinidos, no directamente a los usuarios, lo que facilita la gestión.

La auditoría (o contabilidad) hace referencia a la posibilidad de registrar las sesiones y transacciones de los usuarios del sistema para obtener información con propósitos de auditoría de seguridad.

La Seguridad del Hogar y en Entornos Urbanos: Controles Físicos y la Información como Factor de Riesgo

En un contexto donde la seguridad ciudadana es una preocupación creciente, la protección del hogar se vuelve una prioridad fundamental. Adoptar medidas que fortalezcan la seguridad en las casas y brinden tranquilidad es clave.

Foto: Sistema de alarma doméstica con sensores

Trampas Caseras Anti-Robos y Controles Físicos

La prevención es clave para evitar ser víctima de robos en el hogar. La seguridad perimetral, la instalación de rejas en ventanas o puertas y el uso de cerraduras de alta seguridad son medidas fundamentales. Un ladrón buscará siempre el camino más fácil para ingresar, por lo que reforzar las ventanas con enrejados y colocar cercos perimetrales con elementos disuasivos es altamente recomendable. Las puertas deben ser de materiales sólidos o blindadas, con cerraduras antirrobos diseñadas para evitar métodos como el bumping o el ganzuado. La instalación de un sistema de alarma, complementado con sensores de movimiento y apertura, es una herramienta esencial.

Los sistemas avanzados, como los que ofrece Verisure, incluyen sensores de movimiento con fotodetector y sensores de golpes que identifican intentos de forzar accesos, alertando inmediatamente a propietarios y autoridades. La visión remota mediante aplicaciones conectadas permite monitorear el hogar en tiempo real.

La Información como Vulnerabilidad en la Seguridad Doméstica

El manejo de la información personal es crucial. Publicar fotos de vacaciones o compartir detalles sobre los horarios de la familia en redes sociales puede alertar a los ladrones de que la vivienda está vacía. Para evitar ser un blanco fácil, es vital filtrar cuidadosamente la información que se comparte y establecer configuraciones de privacidad estrictas en los perfiles digitales.

Además, para no dar señales de que la vivienda está vacía, se deben evitar dejar luces apagadas por largos periodos, ropa colgada sin retirar o cortinas cerradas durante días. Simular actividad en el hogar con temporizadores para encender y apagar luces es una forma sencilla de disuadir a los ladrones.

La comunicación con los vecinos es un recurso valioso. Informar a los vecinos cuando se está fuera de casa y establecer redes de comunicación puede ser clave para prevenir robos. En caso de ausentarse por períodos prolongados, es recomendable solicitar a un vecino de confianza que recoja las cartas y vigile la propiedad, además de suspender la recepción de diarios y suscripciones.

Seguridad en Entornos Urbanos

Las ciudades representan un entorno donde la delincuencia encuentra más posibilidades debido a su concentración de oportunidades y servicios. Las estadísticas policiales reflejan una mayor incidencia de robos en comunas urbanas. No todos los robos ocurren por casualidad; a menudo se producen por accesos traseros que no tienen ningún tipo de sensor ni vigilancia. Un simple punto débil puede ser suficiente para vulnerar la seguridad de un negocio o una vivienda.

La seguridad es más efectiva cuando es compartida y no depende de una sola herramienta. La combinación de cámaras con rondas de seguridad privada y un sistema de alarmas con conexión a una central de monitoreo, junto con la creación de "comités de seguridad vecinal", ha demostrado reducir significativamente los intentos de intrusión y la percepción de inseguridad.

Qué Hacer si se ha Sido Víctima

Si cree que está siendo víctima de una campaña de phishing, el primer paso es denunciarlo ante las autoridades adecuadas. En una red corporativa, lo mejor es reportarlo al personal de TI para que puedan revisar el mensaje y determinar si es una campaña dirigida. En España, las empresas pueden informar sobre el incidente a través del INCIBE (Instituto Nacional de Ciberseguridad), donde se encargarán de evaluarlo y ofrecer soporte para su mitigación y resolución.

Si ha clicado en un enlace o ha abierto un archivo adjunto sospechoso, su ordenador podría tener malware instalado. Después de haber enviado su información a un atacante, lo más probable es que esta se comparta con otros estafadores, lo que puede llevar a recibir mensajes de vishing, smishing, nuevos correos de phishing y llamadas de voz. La Comisión Federal de Comercio de los EE. UU. (FTC) tiene una página web dedicada a identificar robos para ayudar a mitigar los daños y a monitorizar la calificación crediticia.

Es importante prestar atención al correo y revisar con regularidad los resúmenes bancarios, de tarjetas de crédito y de otras cuentas para detectar cargos no autorizados u otras anomalías, ya que esto podría detectar una vulneración de datos que pudo pasar desapercibida.

tags: #controles #vulnerables #a #robos #en #su

Publicaciones populares:

  • Calificación de Discapacidad en España
  • Conoce el Centro Diurno en La Cruz
  • Requisitos para pensión de invalidez
  • Casas de Ancianos en La Florida
  • Heredabilidad de fondos previsionales