Una vez que alguien está decidido a atacarnos, puede elegir alguna de
estas formas:
Interrupción.
El
ataque consigue provocar un corte en la prestación de un servicio: el servidor
web no está disponible, el disco en red no aparece o solo podemos leer (no
escribir), etc.
Intercepción.
El
atacante ha logrado acceder a nuestras comunicaciones y ha copiado la
información que estábamos transmitiendo.
Modificación.
Ha conseguido acceder, pero, en lugar de copiar la información, la está
modificando para que llegue alterada hasta el destino y provoque alguna
reacción anormal. Por ejemplo, cambia las cifras de una transacción bancaria.
Fabricación.
El
atacante se hace pasar por el destino de la transmisión, por lo que puede
tranquilamente conocer el objeto de nuestra comunicación, engañarnos para
obtener información valiosa, etc.
Para conseguir su objetivo
puede aplicar una o varias de estas técnicas:
Ingeniería social.
A la hora de poner una contraseña, los usuarios no suelen utilizar
combinaciones aleatorias de caracteres. En cambio, recurren a palabras
conocidas para ellos: el mes de su cumpleaños, el nombre de su calle, su
mascota, su futbolista favorito, etc. Si conocemos bien a esa persona, podemos
intentar adivinar su contraseña. También constituye ingeniería social pedir por
favor a un compañero de trabajo que introduzca su usuario y contraseña, que el
nuestro parece que no funciona. En esa sesión podemos aprovechar para
introducir un troyano, por ejemplo.
Phishing.
El atacante se pone en contacto con la víctima (generalmente, un correo
electrónico) haciéndose pasar por una empresa con la que tenga alguna relación
(su banco, su empresa de telefonía, etc.). En el contenido del mensaje intenta
convencerle para que pulse un enlace que le llevará a una (falsa) web de la
empresa. En esa web le solicitarán su identificación habitual y desde ese
momento el atacante podrá utilizarla.
Keyloggers.
Un troyano en nuestra máquina puede tomar nota de todas las teclas que
pulsamos, buscando el momento en que introducimos un usuario y contraseña. Si
lo consigue, los envía al atacante.
Fuerza bruta.
Las contraseñas son un número limitado de caracteres (letras, números y
signos de puntuación). Una aplicación malware puede ir generando todas las
combinaciones posibles y probarlas una a una; tarde o temprano, acertará.
Incluso puede ahorrar tiempo si utiliza un diccionario de palabras comunes y
aplica combinaciones de esas palabras con números y signos de puntuación.
Contra los ataques de fuerza bruta hay varias medidas:
- Utilizar contraseñas no triviales. No utilizar nada personal e insertar en medio de la palabra o al final un número o un signo de puntuación. En algunos sistemas nos avisan de la fortaleza de la contraseña elegida
- Cambiar la contraseña con frecuencia (un mes, una semana). Dependiendo del hardware utilizado, los ataques pueden tardar bastante; si antes hemos cambiado la clave, se lo ponemos difícil.
- Impedir ráfagas de intentos repetidos. Nuestro software de autenticación que solicita usuario y contraseña fácilmente puede detectar varios intentos consecutivos en muy poco tiempo. No puede ser un humano: debemos responder introduciendo una espera. En windows se hace: tras cuatro intentos fallidos, el sistema deja pasar varios minutos antes de dejarnos repetir. Esta demora alarga muchísimo el tiempo necesario para completar el ataque de fuerza bruta.
- Establecer un máximo de fallos y después bloquear el acceso. Es el caso de las tarjetas sim que llevan los móviles gsm/umts: al tercer intento fallido de introducir el pin para desbloquear la sim, ya no permite ninguno más. Como el pin es un número de cuatro cifras, la probabilidad de acertar un número entre 10 000 en tres intentos es muy baja.
Spoofing. Alteramos algún
elemento de la máquina para hacernos pasar por otra máquina. Por ejemplo, generamos
mensajes con la misma dirección que la máquina auténtica.
Sniffing. El atacante
consigue conectarse en el mismo tramo de red que el equipo atacado. De esta
manera tiene acceso directo a todas sus conversaciones.
DoS (Denial of Service, denegación de
servicio). Consiste
en tumbar un servidor saturándolo con falsas peticiones de conexión. Es decir,
intenta simular el efecto de una carga de trabajo varias veces superior a la
normal.
DDoS (Distributed Denial of Service, denegación de servicio
distribuida).
Es el mismo ataque DoS, pero ahora no es una única máquina la que genera las
peticiones falsas (que es fácilmente localizable y permite actuar contra ella),
sino muchas máquinas repartidas por distintos puntos del planeta. Esto es
posible porque todas esas máquinas han sido infectadas por un troyano que las
ha convertido en ordenadores zombis (obedecen las órdenes del atacante).
Vulnerabilidad por malware. Una
vulnerabilidad es un defecto de una aplicación que puede ser aprovechado por un
atacante. Si lo descubre, el atacante programará un software (llamado malware)
que utiliza esa vulnerabilidad para tomar el control de la máquina (exploit) o
realizar cualquier operación no autorizada.
Hay muchos tipos
de malware:
- Virus. Intentan dejar inservible el ordenador infectado. Pueden actuar aleatoriamente o esperar una fecha concreta (por ejemplo, Viernes 13).
- Gusanos. Van acaparando todos los recursos del ordenador: disco, memoria, red. El usuario nota que el sistema va cada vez más lento, hasta que no hay forma de trabajar.
- Troyanos. Suelen habilitar puertas traseras en los equipos: desde otro ordenador podemos conectar con el troyano para ejecutar programas en el ordenador infectado.
No hay comentarios:
Publicar un comentario