Ataque informático
Seguridad

Cómo realizar un ataque informático

0

Un ataque informático consiste en conseguir acceder directa o indirectamente a equipos informáticos ajenos para conseguir información o bloquear el uso normal del mismo. Las empresas comerciales de software realizan grandes esfuerzos por detectar y bloquear las vulnerabilidades que van surgiendo. No obstante, el ingenio no tiene fin, y los piratas informáticos también dedican mucho tiempo y talento en encontrar nuevas debilidades. Por tanto, la mejor manera de defenderse frente a estos ataques es mantener actualizado todo el software que utilizamos, tanto el sistema operativo como las aplicaciones de usuario.

La descripción que se realiza a continuación sobre cómo se lleva a cabo un ataque informático va dirigida a prevenir a los usuarios sobre las técnicas que utilizan los piratas, de forma que les ayude a tomar medidas de prevención.

Objetivos de los ataques informáticos

Rara vez se consigue conquistar un objetivo realizando un ataque directo sobre el mismo. Lo normal es que para ganar la guerra haya que librar muchas pequeñas batallas. Algunas de estas batallas se ganarán y otras se perderán, pero lo importante es avanzar. De igual forma, un pirata consigue alcanzar su objetivo a base de realizar sucesivos pequeños ataques que le vayan proporcionando la información necesaria para avanzar hacia su objetivo final.

Por tanto, no se debe considerar que la finalidad de un pirata siempre es conseguir el acceso a un sistema. A veces le puede interesar que un equipo o servicio deje de funcionar, conseguir aumentar los privilegios de usuario, obtener determinada información, etc.

Ataque informático
Ataque informático

Se puede decir que existen tres tipos de objetivos:

  • Conseguir acceso. Es el más conocido. Se trata de conseguir acceder a un equipo y poder utilizarlo en mayor o menor medida para conseguir información, descargar o subir archivos o ejecutar aplicaciones.
  • Aumentar los privilegios. El simple hecho de tener acceso a un equipo no quiere decir que pueda ser utilizado como se desea. Frecuentemente, la utilización de determinados recursos está restringida a ciertos tipos de usuarios. Pues bien, se trata de conseguir que nuestro usuario pase a tener dichos derechos o, en su defecto, conseguir un nuevo nombre de usuario y clave que los tenga. La meta máxima de un pirata es tener los derechos del administrador del equipo.
  • Negar el servicio. Consiste en conseguir que un equipo o servicio no pueda ser utilizado de forma normal, quedando bloqueado total o parcialmente.

Realizar un ataque desde Internet

Internet supone un medio ideal para realizar un ataque a una máquina, ya que las empresas suelen estar conectadas permanentemente a Internet e, incluso, los usuarios particulares dejan sus equipos encendidos y conectados a la red. Por otro lado, el ataque desde Internet se puede realizar desde la comodidad del propio hogar y la impunidad de utilizar un acceso ajeno. Además, si hace falta ayuda para continuar con el ataque, se dispone de cientos de foros y sitios Web donde ir a buscarla.

Los ataques más comunes que se realizan desde Internet son los siguientes:

  • Ataques coordinados. Un pirata puede trabajar solo, pero también puede realizar el ataque conjuntamente con otros colegas. Internet permite realizar esta coordinación con total facilidad. Para hacer que un grupo de personas tengan un objetivo común de ataque sólo hay que encontrar un argumento que los motive, el cual puede estar relacionado con ideales económicos, políticos, religiosos o lúdicos.
  • Secuestro de sesión. En algún caso puede resultar más fácil hacerse pasar por un usuario legítimo que buscar otra manera de entrar en el sistema. Esto puede hacerse de distintas formas; por ejemplo, se puede crear una página de acceso idéntica a la real, y cuando el usuario legítimo intenta acceder al sistema donde realmente está introduciendo su nombre de usuario y clave es en la página simulada. A continuación se le puede presentar una página de error y darle paso a la página real de acceso para que teclee de nuevo sus datos. Normalmente, el usuario cree que en el primer intento se equivocó al teclear. Otra forma es emplear la ingeniería social para averiguar un usuario y una clave correctos. Por último, si el pirata tiene más conocimientos, podrá interceptar las comunicaciones de una sesión ya establecida y tomar el control reencaminando todo el tráfico hacia su máquina y haciéndose pasar por el destinatario. Esto se conoce como IP splicing o IP hijacking (‘secuestro IP’).
  • Spoofing (‘engaño’). Consiste en sustituir la identificación del origen de los paquetes por otros falsos. Existen cuatro modalidades: IP spoofing, que sustituye el número IP origen; DNS spoofing, que sustituye el servidor DNS; Web spoofing, que consiste en crear un servicio Web falso similar al que la víctima espera entrar. Las técnicas de Web spoofing suelen utilizar los controles Active-X y Javascript. Por último, el correo falso (fake mail) es otra técnica de spoofing que consiste en enviar un mensaje de correo haciéndose pasar por otra persona.
  • Relaying o looping. Lo normal es que el pirata no desee que se pueda averiguar desde dónde se lleva a cabo el ataque. Una forma de esconder el ataque es utilizando la técnica conocida como relaying o retransmisión. Consiste en realizar el ataque desde otro sistema o con los datos de otro usuario. Si esta simulación se realiza de forma sucesiva, se consigue crear una cadena de identidades que puede, incluso, cruzar varias fronteras geográficas, lo que hace casi imposible seguirle la pista. Este último proceso se conoce como looping (‘bucle’). El ejemplo más simple de relaying consiste en enviar miles de correos basura (spam) desde una dirección de correo o un servidor ajeno.
  • Caballo de Troya. El caballo de Troya consiste en hacer que se ejecute una aplicación en el ordenador de la víctima. Esta aplicación la puede ejecutar directamente el pirata después de haber conseguido un acceso fraudulento, pero también puede inducir al usuario a que la ejecute escondiéndose tras una supuesta utilidad. Por ejemplo, se puede enviar un correo adjuntando un gráfico animado muy simpático. El usuario abre el archivo adjunto y disfruta del gráfico mientras la aplicación realiza sus tareas ocultas. Además, el propio usuario satisfecho puede reenviar el gráfico a todos sus amigos, y éstos a su vez a los suyos. El resultado es cientos, miles o millones de ordenadores infectados en poco tiempo. Una de las actividades que puede realizar un caballo de Troya es abrir una puerta trasera por donde el pirata puede entrar posteriormente con tranquilidad.
Ataque informático desde Internet
Ataque informático desde Internet

Ataque informático desde la red local

No siempre los ataques vienen de Internet. La mayoría de las empresas disponen de redes locales corporativas que interconectan todos sus ordenadores y les facilita el acceso a los recursos comunes. Por otro lado, dado el carácter privado y el ambiente de confianza en el que se mueven los usuarios corporativos, las medidas de seguridad dentro de la red suelen estar descuidadas.

La amenaza para estas redes viene, o bien del propio empleado, o bien de un tercero quien utiliza el acceso del empleado para realizar el ataque desde un entorno menos protegido.

Algunos de los ataques más habituales que se pueden llevar a cabo desde la propia red local son los siguientes:

  • Sniffing sobre el tráfico. Este ataque consiste en observar todo el tráfico que pasa por la red. El objetivo del ataque es conseguir la información necesaria para planificar futuros ataques directos u obtener archivos con información confidencial. Las redes locales se forman gracias a dos tipos de equipos: hub y switch. Los primeros, utilizados en redes pequeñas, retransmiten todo el tráfico de la red a todos los equipos para que cada uno se quede con el tráfico que le corresponde. En este caso, observar todo el tráfico de red es relativamente sencillo. Los switches, por su parte, envían los datos exclusivamente a su destinatario, por lo que resulta más complicado realizar escuchas. No obstante, los propios switches son controlados a través de la red y disponen de un puerto por el que se puede escuchar todo el tráfico. Por otro lado, cada vez es más habitual que la red local sea inalámbrica (Wi-Fi). En este caso, si la comunicación no está cifrada, cualquier pirata podría acceder a todo el tráfico, incluso desde el exterior de las dependencias de la empresa. 
  • Broadcasts. Consiste en enviar tráfico IP a todos los equipos de una red de forma simultánea. Normalmente, el tráfico tiene una sola dirección IP de destino, pero si el paquete se transmite en modo broadcast, el mismo paquete se enviará a todos los equipos de la red, sin necesidad de especificar todas y cada una de las direcciones IP de los equipos de la red. El objetivo de este tipo de envíos es generar tanto tráfico que la red funcione muy lentamente. Se trata de un ataque de negación de servicio.
  • Acceso a los archivos. Generalmente los empleados descuidan la custodia de sus nombres de usuario y claves. Fácilmente se habla en voz alta de tal o cual clave, se deja anotado en un papel o se utiliza cualquier dato público, como el apellido, como usuario y clave. Por otro lado, es frecuente que un usuario comparta abiertamente determinadas carpetas de su disco duro con un compañero sin percatarse que realmente está dejando vía libre a que cualquier empleado entre en su equipo. Basta con hacer una exploración del puerto 139 en una red corporativa para darse cuenta de la cantidad de información que hay disponible.
  • Control remoto. Existen dos formas de tener acceso a una red local corporativa: estando conectado a ella físicamente o realizar un acceso remoto. Los accesos remotos son muy habituales porque permiten que los empleados puedan seguir teniendo acceso a los recursos corporativos aunque se encuentren de viaje o en su casa (teletrabajo). Desde el punto de vista del usuario, una conexión remota le facilita los mismos niveles de acceso a los recursos corporativos que si estuviera en las propias dependencias de la empresa. Pues bien, un pirata podría aprovechar el momento en el que un empleado está conectado a Internet desde el entorno desprotegido de su hogar para hacerse con sus claves de acceso a la red corporativa. Otra forma de acceso remoto a una red corporativa consiste en instalar en un ordenador de la misma un programa (caballo de Troya) que le permita al pirata controlar de forma remota dicho ordenador y, a través de él, acceder al resto de recursos. Subseven, Netbus o Back Oriffice son programas de Windows que permiten realizar esta tarea.
  • Secuestro de aplicaciones. Consiste en tomar el control de una aplicación y, a través de ella, acceder a la información y recursos del equipo. Por ejemplo, si un pirata consigue acceder al sistema de facturación o fichas de clientes, podría conseguir copia de información extremadamente confidencial de la empresa.
Detección de ataque con un troyano
Detección de ataque con un troyano

Ataque informático desde el propio equipo

Puede parecer mentira, pero existen ataques que se realizan utilizando directamente el equipo de la víctima. Por ejemplo, si un pirata desea hacerse con información importante contenida en el disco duro de un ordenador portátil, una alternativa sería, simplemente, robar el ordenador. Si el equipo es de sobremesa, podría robar el disco duro. Un experto puede extraer un disco duro de un ordenador en cuestión de muy pocos minutos. Además, dado el pequeño tamaño que tiene un disco duro, se puede sacar en un bolsillo sin despertar sospecha. Por otro lado, si lo que se persigue es destruir información, el pirata podría destruir el equipo o cualquiera de sus componentes.

Aparte del robo, el martillo o el cerillo, existen otras formas de atacar localmente a un ordenador:

  • Observar sobre el hombro. Se trata de uno de los tipos de ataques más elementales. El pirata se acerca a la víctima en el momento adecuado con cualquier excusa y observa disimuladamente la clave que introduce. Si no es posible el acercamiento, se puede instalar una pequeña cámara que recoja este momento. También se da el caso de personas que vocalizan su contraseña mientras la introducen. Si el pirata es buen lector de labios, podría hacerse con la contraseña estando apartado de la víctima.
  • Aprovechar un descuido. Es habitual que un empleado entre a trabajar por la mañana y deje su equipo encendido durante toda la jornada. No obstante, no siempre está sentado delante de su ordenador: sale a una reunión, toma un café, va al aseo, etc. Estos momentos pueden ser aprovechados por el pirata para acceder al equipo y obtener la información buscada o dejar instalado un caballo de Troya que realice cualquier actividad. Por otro lado, dispositivos como los lápices de memoria (pen drive) permiten copiar una gran cantidad de información rápidamente y llevársela cómodamente en un bolsillo.
  • Leer una contraseña escrita. Puede parecer mentira, pero existen usuarios que escriben sus contraseñas en un papel y lo pegan sobre el teclado, sobre la pantalla, o lo colocan en un cajón de la mesa. Además, todas las mañanas abren el cajón visiblemente para leer la contraseña. En algún caso, el empleado escribe la contraseña en un papel al principio, porque todavía no está seguro de poderla recordar, pero cuando ya no le hace falta se olvida de destruir el papel. Por otro lado, los administradores de red suelen manejar distintos tipos de contraseñas y, para asegurarse de que no las olvidan, es frecuente que las anoten en algún sitio. Hay que tener en cuenta que algunas de estas contraseñas las utilizan muy esporádicamente. El sitio habitual para anotar las contraseñas es un papel que dejan en algún lado cerca de su equipo o en sus propias agendas.

Borrando el rastro

Una vez realizado el ataque, la siguiente prioridad es borrar todas las pistas para no ser descubierto. Lo más habitual es borrar los archivos del sistema que registran su actividad. Estos archivos, conocidos como logs, mantienen los detalles de quién accedió al sistema y cuándo lo hizo. Los archivos logs suelen estar presentes en los ordenadores servidores y en los equipos de red (por ejemplo, en los firewalls), pero no suelen existir en los ordenadores personales.

La revisión del contenido de los logs puede detectar que un usuario no autorizado accedió al sistema e, incluso, determinar qué tipo de acción realizó sobre el equipo. Por tanto, uno de los objetivos del pirata es descubrir dónde están guardados los logs y modificar su contenido para que no quede rastro de su visita.

Generalmente, el pirata prefiere no borrar el archivo log para no levantar sospechas. Por otro lado, en las redes corporativas importantes, los datos de los archivos logs son guardados en sistemas alternativos o enviados directamente a la impresora para evitar perder estos detalles.

Otra alternativa es que el pirata cancele el registro de datos en el archivo log tan pronto accede al sistema. A pesar de ello, el log tendrá registrado el acceso indebido, pero ya son menos datos a borrar. En este caso, antes de abandonar la conexión se puede borrar el detalle del acceso y volver a activar el registro de datos.

Por último, aunque en muchos casos el sistema detecta que se ha modificado el log de forma anormal, existen alternativas para engañar al sistema y hacer que el archivo se muestre como si no hubiese sido modificado.

Conclusión

Estas son las técnicas generales que utilizan los piratas para realizar un ataque informático. Aunque aquí no se describe ninguna técnica concreta para realizar el ataque, no tenga duda que los piratas tienen el tiempo y la motivación suficiente como para seguir profundizando en el tema. Por favor, tómese el asunto de la seguridad informática en serio y adopte las medidas mínimas necesarios para no convertirse en víctima. Sobre todo, mantenga todo su software actualizado. Es la mejor manera de ir tapando los agujeros que continuamente se van descubriendo.

Más información

REF: FW-PG99

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *