Descubrir los tipos de amenazas
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Enumerar los tipos de amenazas.
- Identificar las características y los motivos clave de cada tipo de atacante.
¿A qué nos enfrentamos?
Hoy en día, las redes, los usuarios y los dispositivos están en peligro constante, estemos o no al tanto. Nuestras compras, las operaciones bancarias y las comunicaciones se trasladaron al mundo en línea, lo cual conlleva el riesgo de que se filtre información confidencial. Por el modo en que exploramos el mundo en línea y por la huella digital que dejamos, nunca fue tan difícil navegar sin perder datos financieros críticos, registros médicos y otro tipo de información.
La acción inicial en la mayoría de las estrategias de seguridad digital personal es implementar herramientas como antivirus y gestores de contraseñas, pero esto es como empezar a construir una casa por el tejado. El primer paso más crítico es comprender de quién nos estamos defendiendo y qué tácticas usan los atacantes. Para protegernos, es muy útil entender las motivaciones de cada atacante a fin de identificar los recursos necesarios para resguardar nuestros datos. En última instancia, cuanto más comprendamos las motivaciones, la intención y las capacidades del adversario, mejor preparados estaremos para protegernos frente a posibles ataques.
A los adversarios digitales se los conoce por diferentes nombres: exploradores, hacktivistas, ciberterroristas, cibercriminales y ciberguerreros, entre otros. Estas categorías permiten precisar cuáles son los motivos y las estrategias de un ciberatacante, un punto clave para determinar qué tipo de soluciones de seguridad es necesario implementar para protegerse. Antes de adentrarnos en los adversarios, veamos dos amenazas en las que quizás no haya pensado antes: personas con información privilegiada y los errores humanos. El enfoque para abordar estas amenazas difiere notablemente de los métodos para evitar otros ataques, ya que se trata de acciones internas y no necesariamente malintencionadas. Echemos un vistazo más de cerca.
Amenaza interna
Conozcamos a Sean, empleado en una empresa de medios. Puede ser una amenaza para la organización, sus datos y la reputación de la marca. Los empleados actuales como Sean y los exempleados cuentan con conocimientos valiosos sobre la compañía y tienen la capacidad de cometer delitos que provocarían daños irreparables en la organización.
Una persona con información privilegiada es un empleado actual o anterior, un contratista externo o un socio de negocios que tiene acceso a los sistemas de red, a los datos o a las instalaciones de la compañía. Una amenaza interna es el riesgo de que una persona con acceso a información privilegiada use su acceso autorizado, de forma accidental, maliciosa o complaciente, causando daños a su organización.
Por ejemplo, Sean es una amenaza interna maliciosa que usa su acceso para perjudicar a la agencia tras enterarse de que lo van a despedir. Está muy molesto y decide destruir parte de los datos a los que tiene acceso. En su vida personal, esto podría implicar cambiar la contraseña de la computadora que compartía con una pareja de la cual se separó. También podría ser controlar su cuenta bancaria para impedir que un familiar con quien tiene un conflicto y que puede acceder a la cuenta retire una gran cantidad de dinero.
Una amenaza interna accidental es un empleado u otra persona con acceso a información privilegiada que, sin saberlo, pone en peligro la seguridad al hacer clic en un vínculo de phishing o al manejar indebidamente datos confidenciales (por ejemplo, al enviarlos a una dirección de email incorrecta).
Una amenaza interna complaciente conoce las políticas de seguridad, pero decide ignorarlas, ya sea por comodidad o por falta de preocupación por los riesgos. Pueden usar contraseñas débiles o reutilizadas, o saltarse protocolos de seguridad, como las VPN, para agilizar las tareas.
Al lidiar con amenazas internas, es útil crear una cultura de la confianza. Por ejemplo, dedicar más tiempo a explicar los riesgos cibernéticos, concientizar sobre ellos y sus consecuencias; implementar procedimientos de ciberseguridad y demostrar cómo el comportamiento individual puede estar a favor o en contra de la misión de la organización. Otras acciones de mitigación incluyen usar el principio de mínimo privilegio, por el que los usuarios solo obtienen acceso a aquello que necesitan para completar una tarea.
A veces, las amenazas internas pueden ser involuntarias y deberse a un error humano. Echemos un vistazo.
Error humano
El error humano es la causa raíz de casi toda filtración de datos. Los errores pueden surgir por incumplir las mejores prácticas de seguridad, no hacer copias de seguridad de la información confidencial o no estar al tanto de las personas que tenemos cerca cuando consultamos o mencionamos información confidencial. Desconfíe de las solicitudes sospechosas, de los desconocidos que intentan ponerse en contacto con usted y de la información no solicitada que reciba por alguna vía de comunicación. De lo contrario, podría terminar poniendo en riesgo sus datos confidenciales de manera involuntaria; por ejemplo, si hace clic en un email de phishing (suplantación de identidad) o comete un acto negligente, como incumplir las mejores prácticas de seguridad para terminar una tarea más rápido. Sin saberlo, estas acciones pueden comprometer de algún modo la seguridad.
Como sucede con las amenazas internas, crear una cultura de la confianza puede ayudar a mitigar los errores humanos. Además, fomentar un comportamiento orientado a la seguridad puede ayudar a que esta sea una prioridad en las acciones diarias, lo cual previene errores costosos.
Ahora que sabe un poco más de los riesgos que suponen las amenazas internas y los errores humanos, veamos algunos de los atacantes cibernéticos más comunes y que quizás conozca.
El explorador
Conozcamos a Dread386. Participa en una gran comunidad digital —aunque nunca conoció a nadie en persona— e intenta aprovecharse de sus miembros mediante diferentes tipos de hackeos. Básicamente, lo que busca es reconocimiento.
A Dread386 le interesa, sobre todo, descubrir qué tipos de vulnerabilidades informáticas puede encontrar, qué hacer para aprovecharlas y cuánto puede adentrarse en esos sistemas. Se divierte explorando, pero no necesariamente tiene la intención de causar daño. A veces, modifica una página de un sitio web para demostrarle al mundo su inteligencia o para avergonzar a alguien, pero no causa grandes daños.
En general, los exploradores prueban diversas formas de obtener credenciales para iniciar sesión en los sistemas que les interesa vulnerar. Hay listas en línea con las contraseñas más elegidas por los usuarios. Estas listas pueden resultar útiles, pero no son muy eficientes. En cambio, los exploradores buscan la forma de engañar a las personas para que sean ellas quienes directamente les revelen sus nombres de usuario y contraseñas.
El hacktivista
Ahora conozcamos a Suzette. Ella es hacker y activista, o sea, una hacktivista. Su motivación es el escándalo político, social o moral. Su objetivo es atacar blancos que representan aquello con lo que ella no está de acuerdo, como ciertas corporaciones, organizaciones políticas o sociales, o incluso determinadas personas.
Suzette usa muchísimas herramientas para impulsar su causa: una de las más comunes es el ataque de denegación de servicio o DDoS. Estos ataques están dirigidos a sitios web “enemigos”, que se inundan con tanto tráfico falso que los servidores no pueden responder a las solicitudes legítimas.
El ciberterrorista
Ahora conozcamos a Jules, miembro de una agrupación ciberterrorista.
Su objetivo es intimidar y aterrorizar a sus enemigos mediante disrupciones, daño y caos. Su motivación es puramente ideológica.
Por desgracias para Jules, su agrupación no suele estar tan bien financiada, por lo que sus tácticas principales varían. Utiliza los recursos que puede para atacar objetivos de alto impacto para el enemigo. Intenta desestabilizar los servicios de Internet, infiltrar los sistemas para robar información confidencial o exponer datos personales sobre personas a las que la agrupación busca dañar. También amenaza con dañar información crítica, como registros de salud o votaciones, en busca de que industrias o sistemas de gobierno enteros queden sumidos en el caos. Dado que los ciberterroristas no suelen disponer de grandes recursos, no desarrollan mucha tecnología maliciosa propia. En cambio, piden prestado y roban lo que pueden, donde lo encuentren.
El cibercriminal
Conozcamos a Evan. Integra una organización de crimen organizado que opera exclusivamente en línea.
Si bien algunos cibercriminales de poca importancia operan solos y obtienen poco dinero de varias fuentes, la organización de Evan es más grande. Cuentan con recursos para atacar blancos más importantes y su motivación es, lisa y llanamente, el dinero.
Hasta el momento, las principales víctimas de Evan han sido redes con terminales de tarjeta de crédito como puntos de venta. Si ingresa en esas redes y obtiene los datos de las tarjetas de crédito, puede vender la información a cualquier cantidad de compradores o, incluso, puede utilizar las tarjetas.
Una vez dentro de las redes, también puede robar información de identificación personal, como números de teléfono, direcciones y números de identificación personal emitidos por el Gobierno. Un conjunto de objetivos particularmente provechosos para Evan son los sistemas que almacenan datos de salud, ya que contienen muchísima información sobre los individuos, y esto le facilita la tarea del robo de identidad al atacante.
El ciberguerrero
La Teniente General Anderson está a cargo de las fuerzas especiales de ciberguerreros de su país. La motivación y el accionar de su equipo provienen de los intereses nacionales y militares del gobierno de su país. Cuentan con la financiación y los recursos necesarios no solo para usar todos los métodos de vulneración vigentes, sino también para desarrollar sus propios métodos nuevos.
A diferencia de otros atacantes que ya analizamos, los ciberguerreros no tienen un único foco de interés. Sus misiones oscilan entre el espionaje, la extorsión y el bochorno hasta el uso de armas cibernéticas dirigidas para alterar, dañar o destruir infraestructura crítica. Para completar estas misiones, usan diversos métodos de ataque. Es más, ¡los usan todos!
Ya sea por un error humano cotidiano o por las acciones de los temidos ciberguerreros, no sorprende que la información esté en riesgo. Ahora bien, ¿de qué modo exactamente los atacantes apuntan a la información? Lo veremos a continuación.