En muchos de los artículos que hemos publicado sobre ciberseguridad en el blog de Atico34, aparece el concepto de «vectores de ataque», pero hasta ahora no nos habíamos parado a explicaros a qué nos referimos exactamente cuando los mencionamos. En este artículo veremos qué son los vectores de ataque en ciberseguridad y cuáles son los más utilizados.
En este artículo hablamos de:
¿Qué es un vector de ataque informático?
Un vector de ataque informático es el medio escogido por los ciberdelincuentes, hackers o crackers informáticos para transmitir al equipo objetivo (un ordenador o cualquier otro dispositivo conectado a la Red) un código malicioso, que les permitirá tomar el control total o parcialmente de dicho equipo y explotarlo para sus fines, sean estos económicos o de cualquier otra índole.
Aunque es un término habitualmente utilizado en la consultoría informática, originalmente proviene del ámbito militar, en el que los vectores de ataque hacen referencia a fallos o agujeros de seguridad dentro de las líneas de defensa enemiga, que pueden ser explotados para llevar a cabo un ataque determinado.
Los vectores de ataque son, por tanto, la ruta escogida para explotar las debilidades o vulnerabilidades que pueden estar presentes en ordenadores, aplicaciones, servidores de correo electrónico, software, páginas web, navegadores, redes, etc., y llevar a cabo ataques informáticos e introducir diferentes tipos de malware existentes para conseguir los objetivos propuestos.
Tipos de vectores de ataque
Aunque podemos hablar de diferentes vectores de ataque, puesto que hay muchas técnicas y formas para obtener acceso no autorizado a una red interna, alterar datos, encriptar la información, deshabilitar funciones o secuestrar un equipo, por citar algunos de ellos, los vectores de ataque pueden clasificarse en dos tipos:
- Vectores de ataque pasivos: Son aquellos que intentan ganar el acceso al sistema o utilizar información del mismo, pero que no afecta a los recursos del sistema. Ejemplos de vectores de ataque pasivos son el phishing, el spear phishing, el sniffing o cualquier ataque basado en ingeniería social.
- Vectores de ataque activos: Son aquellos cuyo objetivo es alterar el sistema o su funcionamiento, como por ejemplo, los vectores de ataque que usan malware, secuestros de dominio, ataques DDoS o ransomware.
Si bien no es raro que un ciberataque combine ambos tipos de vectores de ataque, en función de los objetivos que tenga intención de conseguir.
¿Cuáles son los vectores de ataque más comunes?
Los ciberataques cada vez protagonizan más noticias y durante 2021, ha sido el ransomware uno de los vectores de ataque de los que posiblemente más hemos oído hablar, pero ¿cuál es el mayor vector de ciberataques?
De acuerdo a un reciente informe de Kaspersky, los vectores de ataque más comunes son los siguientes:
Ataques de fuerza bruta
Los ataques de fuerza bruta se coronan como el vector de ataque más utilizado. Su aumento se ha debido sobre todo al cambio apresurado al teletrabajo y el uso de servicios de acceso remoto durante los primeros meses de la pandemia. Estas transiciones de la oficina a casa no se hicieron todo lo bien que deberían haberse hecho en materia de ciberseguridad y eso provocó que las conexiones remotas se convirtieran en un blanco preferido de los ciberdelincuentes, sobre todo debido al empleo de contraseñas débiles o a conexiones inseguras.
Explotación de vulnerabilidades
Junto a los ataques de fuerza bruta, la explotación de vulnerabilidades es otro de los vectores de ataque más usado actualmente. Principalmente debido a que las empresas tardan demasiado tiempo en implementar las actualizaciones que parchean precisamente esas vulnerabilidades en sus sistemas, equipos y software, incluso cuando el parche ya ha sido publicado.
Las vulnerabilidades son una de las formas de entrada en sistemas y redes más utilizados por los ciberdelincuentes y, aunque en ocasiones, los desarrolladores tardan tiempo en sacar un parche de seguridad para solucionarlas, no seguir sus recomendaciones durante ese tiempo y no instalar el parche en el momento en que esté disponible, supone un gran riesgo para la ciberseguridad de organizaciones y particulares.
Correo electrónico malicioso
Los correos electrónicos maliciosos son otro de los vectores de ataque favoritos de los ciberdelincuentes, especialmente empleados para distribuir malware vía enlace o adjuntos o para llevar a cabo ataques de phishing.
Muchas veces, protegerse de este tipo de ataque solo requiere precaución y seguir unas normas básicas de ciberseguridad, como no pulsar en enlaces o descargar adjuntos de emails sospechosos. Sin embargo, sigue siendo uno de los vectores de ataque más empleados porque sigue ofreciendo «buenos resultados», pese a que los usuarios cada vez son más conscientes y cuidadosos con los correos electrónicos.
Drive-by compromise
El drive-by compromise es un vector de ataque que podemos encontrar en algunos ataques de amenazas avanzadas persistentes (APT). Consiste en aprovechar una web que las víctimas visiten con regularidad o la que se llega por casualidad o conduciéndolas hacia ella; esta web está cargada con scripts que explotan alguna vulnerabilidad del navegador para instalar algún tipo de malware en el ordenador de las víctimas o se les engaña para que lo descarguen e instalen ellas mismas.
Unidades de memoria externa
Finalmente, aunque cada vez menos habituales, las memorias externas infectadas con malware son todavía un vector de ataque que se emplea para ganar acceso a equipos y redes internas. En muchas ocasiones se deja «abandonada» una memoria USB infectada, esperando que alguien la recoja y acabe conectándola a su ordenador particular o de la empresa, momento en que comenzará la infección.
Consejos para no ser víctimas de estos ciberataques
Aumentar la ciber resiliencia de las organizaciones para prevenir ser víctimas de estos ciberataques o minimizar su impacto si llegan a producirse, pasa por tener en cuenta estos consejos:
- Formar y sensibilizar a toda la plantilla en ciberseguridad, incluyendo hablarles de estos vectores de ataque y cómo pueden reconocerlos.
- No permitir el acceso a la red interna de la organización desde redes públicas o no seguras.
- Instalar las actualizaciones de seguridad tan pronto como estén disponibles, para solucionar vulnerabilidades conocidas.
- Instalar herramientas anti phishing, como filtros de spam y listas negras y blancas, en los servidores de correo.
- Implantar una política de contraseñas robusta y estricta, así como la autenticación multifactor.
- Instalar soluciones de seguridad que monitoreen la red y los equipos en tiempo real.
- Implantar políticas de dispositivos endpoint y BYOD.