Ciberseguridad

Cuando hablamos de ciberseguridad, es fácil que la mente se nos vaya al cine. Pantallas negras con letras verdes, hackers con capucha tecleando a toda velocidad, luces parpadeando y alguien diciendo: ¡Estoy dentro! justo antes de provocar un apagón en medio planeta. Matrix, Jungla de Cristal 4.0, Skyfall, Blackhat, Mr. Robot… Hay de todo. Algunas se acercan bastante a la realidad, otras no tanto, y la mayoría se pasan por alto lo aburrido que es a veces esto de la seguridad informática en el mundo real.

Pero aburrido no significa poco importante. Al contrario: vivimos en un mundo tan conectado que hasta tu nevera puede tener una dirección IP, y protegerse se ha convertido en una necesidad básica. Y aunque la mayoría no trabajemos en una central nuclear ni tengamos documentos secretos de la NASA, eso no significa que no tengamos nada que perder.

He trabajado más de una década en una empresa dedicada precisamente a esto, a la seguridad de sistemas informáticos. No vengo a dar lecciones, ni a agobiarte con jerga técnica, pero sí a explicarte de forma sencilla cómo funcionan los ataques, qué herramientas se usan, qué peligros existen y por qué esto también va contigo.

No es solo cosa de las grandes empresas

Hay una idea bastante extendida de que esto de la ciberseguridad es cosa de bancos, gobiernos o multinacionales. Como si a un hacker le fuese a interesar tu ordenador, tu móvil o la red wifi de tu casa.

Pero la realidad es otra: muchas veces no quieren tus datos, sino tu dispositivo. Lo que buscan es usarlo para lanzar ataques a terceros, como si fuese un zombi digital que obedece órdenes sin que tú lo sepas. Se calcula que hay millones de dispositivos zombis repartidos por todo el mundo: ordenadores, routers, cámaras IP y hasta electrodomésticos que han sido infectados y ahora forman parte de redes llamadas botnets.

¿Para qué sirven? Pues para saturar servidores (con ataques DDoS), enviar spam, minar criptomonedas o abrir puertas traseras a sistemas más importantes. Y tú, sin enterarte.

Así atacan: técnicas y tácticas

Los ataques informáticos no son aleatorios ni improvisados. Detrás de ellos suele haber planificación, conocimiento técnico y, sobre todo: método. Una de las referencias más completas que tenemos en el sector es la Matriz ATT&CK de MITRE, una especie de catálogo vivo donde se documentan cientos de técnicas y tácticas utilizadas por atacantes reales.

En MITRE se diferencian dos cosas importantes:

  • Las tácticas, que son los objetivos que persigue el atacante en cada fase (como reconocimiento, acceso inicial, persistencia, evasión de defensas...).
  • Las técnicas, que son los métodos concretos que utilizan para conseguir esos objetivos (como spear phishing, ejecución de scripts maliciosos, robo de credenciales, etc.).
    Por ejemplo, un atacante puede querer obtener acceso inicial (táctica), y para ello usar un correo de phishing con un fichero adjunto infectado (técnica). O puede buscar moverse lateralmente por una red para escalar privilegios, utilizando exploits ya conocidos en sistemas desactualizados.

Esta matriz no es solo útil para los técnicos; también da una idea de hasta qué punto se ha profesionalizado este mundo del cibercrimen.

Malware

El término engloba a toda clase de software malicioso. Los hay de muchos tipos: virus, troyanos, gusanos, spyware, etc. Algunos destruyen, otros espían, otros simplemente abren puertas para que entren cosas peores. A menudo se disfraza como programas legítimos o llega oculto en archivos aparentemente inofensivos.

En la ficción suelen ser muy espectaculares: una sencilla línea de código o una interfaz en tres dimensiones y ¡pum!, todo se va al traste. En la realidad suelen ser más sutiles, persistentes y peligrosos a largo plazo.

Ransomware

Uno de los más temidos actualmente. Este tipo de malware cifra todos los archivos del sistema y deja un mensaje pidiendo un rescate económico (normalmente en criptomonedas) a cambio de la clave para recuperarlos. Si no pagas, pierdes tus datos.

Ataques como WannaCry o Ryuk causaron estragos hace unos años en hospitales, empresas y administraciones públicas. Y aunque muchas víctimas se niegan a pagar, otras acaban haciéndolo porque no tienen otra salida. Pero conviene saber, que el que paga, se está pintando una diana en la frente. Volverán.

Phishing

Aquí no hay líneas de código ni exploits sofisticados. Solo engaño. El phishing se basa en correos o mensajes que parecen legítimos pero que en realidad son falsos. Te piden que confirmes tu cuenta del banco, que descargues una factura, que cambies tu contraseña… y en cuanto haces clic, ya te han pillado.

Hay variantes: el spear phishing es más dirigido, pensado para un objetivo concreto. El smishing se hace por SMS y el vishing por llamadas de voz, como esas que dicen ser del soporte de Microsoft para avisarte de un supuesto virus en tu PC.

Lo más preocupante es que cada vez son más realistas. Algunas campañas utilizan inteligencia artificial para hacerse pasar por personas reales o incluso utilizan información real de la víctima, obtenida previamente por redes sociales o filtraciones anteriores.

Ataques dirigidos

Cuando el objetivo no es cualquiera, sino alguien concreto: una empresa, una institución, un político… Hablamos de los llamados APT (amenazas persistentes avanzadas). Estos ataques pueden durar meses, van poco a poco infiltrándose, estudiando los hábitos de la víctima y ejecutando su acción cuando nadie lo espera.

A menudo combinan varias tácticas: phishing personalizado, malware hecho a medida, llamadas telefónicas, incluso visitas físicas.

El cine a veces los retrata bien, como en Skyfall o en Mr. Robot, donde vemos que muchas veces el punto débil es humano y no técnico.

Ataques DDoS

Aquí la idea es saturar un servicio con tantas peticiones que no pueda responder y se venga abajo. Son relativamente fáciles de lanzar si se dispone de una botnet lo bastante grande. Y aunque no son destructivos en sí mismos, pueden causar grandes pérdidas económicas si tumban tiendas online, servicios bancarios o páginas gubernamentales.

Un ataque DDoS es como enviar un millón de robots a la vez a una tienda pequeña: no pueden entrar, y los clientes de verdad tampoco.

Y ahora, la pregunta del millón: ¿cómo nos defendemos?

No existe una bala de plata, pero sí hay muchas buenas prácticas que ayudan, y mucho.

  • Contraseñas seguras y distintas para cada servicio. Usar un gestor de contraseñas es más seguro que repetir “123456”.
  • Doble factor de autenticación siempre que sea posible. Aunque alguien consiga tu contraseña, no podrá entrar sin ese segundo paso.
  • Actualizaciones al día, tanto del sistema operativo como de los programas. Muchos ataques se aprovechan de errores que ya están corregidos pero que tú aún no has parcheado.
  • Desconfía del correo. Ante la duda, no hagas clic. Llama al banco si hace falta. Nadie te va a regalar un iPhone por email.
  • Copias de seguridad frecuentes. Si algo falla, siempre puedes recuperar la información.
  • Antivirus y firewall activados, aunque no sean infalibles, ayudan a frenar muchos ataques automáticos.

La ciberseguridad no es cuestión de paranoia ni de ser un experto. Es sentido común, prevención, y quizá algo de práctica. Es como ponerte el cinturón de seguridad o cerrar la puerta de casa. No hace falta vivir con miedo, pero sí conviene estar despiertos.

Porque aunque esto no sea Matrix, lo que pasa tras la pantalla sí que es muy real.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *