Las amenazas basadas en web, o amenazas en línea, son una categoría de riesgos de ciberseguridad que pueden causar un evento o acción indeseable a través de Internet. Ellas son posibles gracias a las vulnerabilidades de los usuarios finales, los desarrolladores/operadores de servicios web o los propios servicios de internet.
Independientemente de la intención o la causa, las consecuencias de una amenaza web pueden dañar tanto a las personas como a las organizaciones.
Este término suele aplicarse a las amenazas basadas en la red de las siguientes categorías, aunque no se limita a ellas:
- Amenazas a las redes privadas: afectan a las subredes conectadas a la Internet global más amplia. Algunos ejemplos típicos son las redes Wi-Fi o Ethernet domésticas, las intranets corporativas y las intranets nacionales.
- Amenazas de host: afectan a dispositivos de host de red específicos. El término host suele referirse a los puntos finales corporativos y a los dispositivos personales, como teléfonos móviles, tabletas y ordenadores tradicionales.
- Amenazas a los servidores web: afectan al hardware y software dedicados que sirven a la infraestructura y los servicios web.
.En esta categoría cabe un amplio abanico de peligros, incluidas amenazas bien conocidas como el phishing y los virus informáticos. Sin embargo, otras amenazas, como el robo de datos offline, también pueden considerarse parte de este grupo.
Pero las amenazas web no se limitan a la actividad en línea, sino que en última instancia implican a Internet en algún momento para infligir daño. Aunque no todas las amenazas web se crean deliberadamente, muchas tienen la intención —o el potencial— de causarlas:
- Denegación de acceso. Prevención de la entrada a un ordenador y/o servicios de red.
- Adquisición de acceso. Entrada no autorizada o no deseada en un ordenador privado y/o servicios de red.
- Uso no autorizado o no deseado de los servicios informáticos y/o de red.
- Exponer datos privados sin permiso, como fotos, credenciales de cuentas e información gubernamental sensible.
- Cambios no autorizados o no deseados en un ordenador y/o en los servicios de red.
En los últimos años, el panorama de las amenazas web ha crecido considerablemente. Tecnologías como los dispositivos inteligentes y las redes móviles de alta velocidad han permitido un vector siempre conectado de malware, fraude y otras complicaciones.
Además, la adopción de la web en ámbitos como las comunicaciones y la productividad a través del Internet de las Cosas (IoT) ha superado la concienciación de los usuarios en materia de seguridad.
A medida que sigamos dependiendo cada vez más de la web para nuestra vida diaria, seguirá aumentando exponencialmente como opción de ataque atractiva para los malintencionados. La comodidad y la falta de precaución en el uso de la web son algunas de las principales preocupaciones que siguen planteando nuevos riesgos para la privacidad y la seguridad.
Aunque los objetivos suelen ser informáticos, las víctimas humanas experimentan en última instancia los efectos duraderos de una amenaza web.
¿Cómo funcionan las amenazas web?
Cuando surge una amenaza en la red, se dan ciertas circunstancias que la convierten en un motivo de preocupación.
A saber, hay algunos componentes básicos en cualquier amenaza web:
1. Los motivos de amenaza dan a un agente de amenazas intencionadas una razón u objetivo para causar daño. Algunos agentes de amenazas no actúan intencionadamente o lo hacen de forma autónoma y, por tanto, pueden carecer de motivo.
2. Los agentes de amenaza son cualquier cosa o persona que pueda tener un impacto negativo con Internet, ya sea como vector de amenaza o como objetivo en sí mismo.
3. Las vulnerabilidades incluyen cualquier debilidad del comportamiento humano, sistemas tecnológicos u otros recursos que puedan conducir a un aprovechamiento o incidente perjudicial.
4. Los resultados de la amenaza son los resultados negativos de un agente de amenaza que actúa contra una o más vulnerabilidades.
Cuando estos componentes interactúan, una amenaza se convierte en un ataque a los sistemas informáticos. Los motivos de las amenazas pueden incluir cualquiera de los siguientes: financieros, vigilancia, información, represalias, sabotaje, etc.
Los agentes de amenaza suelen ser personas con intenciones maliciosas. Por extensión, los agentes también pueden ser cualquier cosa que se manipule para que actúe a favor del agente de la amenaza original. Sin embargo, algunos agentes de amenaza —como los fenómenos naturales destructivos— actúan totalmente sin intervención humana.
Los tipos de agentes de amenaza incluyen:
- Agentes no humanos: Algunos ejemplos son los códigos maliciosos (virus, malware, gusanos, scripts), las catástrofes naturales (meteorológicas, geológicas), los fallos de los servicios públicos (electricidad, telecomunicaciones), los fallos tecnológicos (hardware, software) y los riesgos físicos (calor, agua, impactos).
- Agentes humanos intencionados: basados en intención maliciosa. Pueden ser internos (empleados, contratistas, familiares, amigos, conocidos) y externos (hackers profesionales y aficionados, agentes y agencias del Estado-nación, empresas competidoras)
- Agentes humanos accidentales: basados en errores humanos. Este tipo, similar a las amenazas intencionadas, puede incluir agentes internos y externos.
- Agentes humanos basados en la negligencia: basados en comportamientos descuidados o descuidos de seguridad. De nuevo, esta categoría también puede incluir agentes internos y externos.
Las vulnerabilidades pueden ser puntos débiles en los que alguien o algo puede ser manipulado. Las vulnerabilidades pueden considerarse una amenaza en la red y una preocupación que posibilita otras amenazas. Esta área suele incluir algún tipo de debilidad humana o técnica que puede conducir a la penetración, el uso indebido o la destrucción de un sistema.
Los resultados de las amenazas pueden conducir a la divulgación de información privada, el engaño a los usuarios, la interrupción del uso del sistema informático o la confiscación de los privilegios de acceso. Las amenazas web suelen provocar, entre otras cosas:
- Daños a la reputación: Pérdida de confianza de clientes y socios, inclusión en listas negras de buscadores, humillación, difamación, etc.
- Interrupción de las operaciones: Tiempo de inactividad operativa, denegación de acceso a servicios basados en web como blogs o tablones de anuncios, etc.
- Robo: económico, de identidad, datos confidenciales del consumidor, etc.
Los cibecriminales utilizan prácticamente cualquier vulnerabilidad de un sistema operativo o una aplicación para lanzar ataques basados en exploits. No obstante, la mayoría de los cibecriminales desarrollan amenazas web dirigidas específicamente a los sistemas operativos y las aplicaciones más comunes, incluidos los siguientes:
- Java: Como Java está instalado en más de 3000 millones de dispositivos (que se ejecutan en varios sistemas operativos), se pueden crear exploits para aprovechar vulnerabilidades Java específicas en diferentes plataformas o sistemas operativos.
- Adobe Reader: aunque muchos ataques se han dirigido a Adobe Reader, Adobe ha implementado herramientas para proteger el programa contra la actividad de exploits. Sin embargo, Adobe Reader sigue siendo un objetivo habitual.
- Windows e Internet Explorer: Las exploits activos aún se dirigen a las vulnerabilidades detectadas en el año 2010, entre las que se incluyen MS10-042, en el Centro de ayuda y soporte técnico de Windows, y MS04-028, asociada con la gestión incorrecta de archivos JPEG.
- Android: Los cibecriminales utilizan exploits para obtener privilegios de usuario raíz. y conseguir así el control prácticamente absoluto del dispositivo objetivo.
¿Cómo se propagan las amenazas en Internet?
Las amenazas de web más preocupantes viajan por la red para atacar a más sistemas. Estos agentes suelen utilizar una mezcla de manipulación humana y órdenes técnicas para alcanzar sus objetivos.
Ataques de esta naturaleza utilizan los numerosos canales de comunicación de Internet para propagarse. Las de mayor envergadura utilizan Internet global, mientras que las más selectivas pueden infiltrarse directamente en redes privadas.
Normalmente, los actores maliciosos prefieren colocar estes ataques en lugares donde los usuarios suelen interactuar, como sitios web públicos, las redes sociales, los foros web y el correo electrónico.
Los usuarios se ven afectados cuando acceden a URL maliciosas, realizan descargas o proporcionan información confidencial a sitios web y remitentes de mensajes. Este compromiso también puede desencadenar la infección y propagación de amenazas web a otros usuarios y redes. No es raro que usuarios inocentes se conviertan ellos mismos en agentes de amenazas sin saberlo.
¿Cómo detectar ataques en la web?
A pesar de la infinita variedad de peligros en Internet, es posible identificar algunos rasgos generales. Sin embargo, detectar una amenaza web requiere un ojo vigilante para captar detalles sutiles.
Algunas afectan claramente al hardware de la infraestructura web, como el agua y el calor. Aunque estos son más fáciles de detectar, otros requieren una atención especial. Siempre que navegues por sitios web y recibas mensajes digitales es cuando debes ser más precavido.
Estos son algunos consejos que te ayudarán:
- Gramática: los actores maliciosos no siempre elaboran cuidadosamente sus mensajes o contenidos web al montar un ataque. Busca erratas, signos de puntuación extraños y expresiones inusuales.
- URL: los enlaces dañinos pueden enmascararse bajo un texto de anclaje señuelo, es decir, el texto visible que se muestra. Puedes pasar el ratón por encima de un enlace para inspeccionar su verdadero destino.
- Imágenes de baja calidad: el uso de imágenes de baja resolución o no oficiales puede indicar una página web o mensaje malicioso.
Tipos de amenazas a la seguridad web
Como ya se ha mencionado, las amenazas web suelen incluir manipulación humana y técnica para atacar. Tenga en cuenta que suele haber solapamiento entre las amenazas web, y algunas pueden producirse simultáneamente. Algunas de las amenazas web más comunes pueden ser las siguientes.
Ingeniería social
La ingeniería social consiste en engañar a los usuarios para que actúen sin saberlo en contra de sus propios intereses. Estas amenazas suelen consistir en ganarse la confianza de los usuarios para engañarlos. Manipular a los usuarios de esta manera puede incluir:
- Phishing: hacerse pasar por instituciones o personas legítimas para conseguir que divulguen datos personales.
- Ataques de abrevadero: explotación de sitios web populares para engañar a los usuarios y exponerlos a daños.
- Suplantación de red: puntos de acceso fraudulentos que imitan a los legítimos.
Código malicioso
Incluye malware y scripts dañinos (líneas de comandos de programación informática) para crear o explotar vulnerabilidades técnicas. Si la ingeniería social es el lado humano de las amenazas web, el código malicioso es el lado técnico. Estas amenazas pueden incluir, entre otras, las siguientes:
- Ataques de inyección: inserción de scripts dañinos en aplicaciones y sitios web legítimos. Algunos ejemplos son la inyección SQL y el cross-site scripting (XSS).
- Botnet: secuestro de un dispositivo de usuario para su uso remoto y automatizado en una red de “zombis” similares. Se utilizan para acelerar campañas de spam, ataques de malware, etc.
- Spyware: programas de seguimiento que controlan las acciones del usuario en un dispositivo informático. Los ejemplos más comunes son los keyloggers.
- Gusanos informáticos: scripts que se ejecutan, replican y propagan de forma autónoma sin la ayuda de un programa relacionado.
Exploits
Los exploits son abusos intencionados de vulnerabilidades que pueden conducir a un incidente no deseado.
- Ataques de fuerza bruta: intentos manuales o automatizados de violar “puertas” de seguridad y vulnerabilidades. Por lo general, se trata de generar todas las contraseñas posibles de una cuenta privada.
- Suplantación de identidad: enmascarar una identidad real para manipular sistemas informáticos legítimos. Algunos ejemplos son la suplantación de IP, la suplantación de DNS y el envenenamiento de caché.
Ciberdelincuencia
La ciberdelincuencia abarcad cualquier actividad ilegal realizada a través de sistemas informáticos. Estas amenazas suelen utilizar la web para llevar a cabo sus planes.
- Ciberacoso: abuso mental de las víctimas mediante amenazas y acoso.
- La revelación no autorizada de datos implica la divulgación de información privada, como filtraciones de correos electrónicos, fotos íntimas y fugas importantes de datos corporativos.
- Ciber difamación: también conocida como difamación en línea, puede consistir en atacar la reputación de personas u organizaciones. Esto puede hacerse mediante la falta de información (distribución deliberada de información inexacta) o la desinformación (distribución errónea de información inexacta).
- Amenazas persistentes avanzadas (APT): actores maliciosos acceden a una red privada y establecen un acceso continuo. Combinan ingeniería social, código malicioso y otras amenazas para explotar vulnerabilidades y obtener este acceso.
Normalmente, las amenazas web se refieren a programas maliciosos que pueden atacarte cuando utilizas Internet. Estas amenazas basadas en el navegador incluyen una gama de programas de software malicioso diseñados para infectar los ordenadores de las víctimas. La herramienta principal que se encuentra detrás de estas infecciones del navegador es el paquete de exploits, que proporciona a los cibecriminales una ruta para infectar ordenadores que:
1. No tienen un producto de seguridad instalado
2. Contienen un sistema operativo o una aplicación de uso habitual vulnerable porque el usuario no ha aplicado las actualizaciones más recientes o el proveedor de software debe publicar un parche nuevo
Los expertos en seguridad en Internet de Kaspersky han identificado los programas de software maliciosos más activos implicados en las amenazas web. La lista incluye los siguientes tipos de amenazas online:
- Sitios web maliciosos. Kaspersky identifica estos sitios web mediante métodos de detección exhaustivos basados en la nube. La mayoría de las detecciones de URL maliciosas proceden de sitios web que contienen exploits.
- Scripts maliciosos. Los hackers introducen scripts maliciosos en el código de sitios web legítimos con nivel de seguridad vulnerable. Estos scripts se utilizan para lanzar ataques ocultos en los que los visitantes del sitio web son redirigidos, sin saberlo, a recursos online maliciosos.
Scripts y archivos PE ejecutables que generalmente:
- Descargan e inician otros programas de software maliciosos
- Portan una carga que roba los datos de cuentas bancarias y redes sociales online, o bien roban los datos de inicio de sesión y de la cuenta del usuario para otros servicios
- Trojan-Downloaders. Estos virus troyanos distribuyen varios programas maliciosos en los ordenadores de los usuarios.
- Exploits y paquetes de exploits. Los explotis se dirigen a vulnerabilidades e intentan evitar la atención del software de seguridad de Internet.
- Programas de adware. El adware a menudo se instalará simultáneamente cuando un usuario inicie la descarga de un programa de freeware o shareware.
Ejemplos de amenazas web
Entre los muchos ejemplos de amenazas web, he aquí algunos de los más conocidos:
El ransomware WannaCry
En mayo de 2017, el ransomware WannaCry se propagó por muchas redes y bloqueó innumerables PC con Windows. Esta amenaza era especialmente peligrosa por su funcionalidad de gusano, que le permitía propagarse de forma completamente autónoma. WannaCry aprovechó un lenguaje de comunicación nativo de Windows para propagar este código malicioso.
Phishing de iCloud de famosos
Un ataque de phishing localizado provocó la violación de numerosas cuentas de iCloud de famosos. En última instancia, esta brecha dio lugar a la filtración no autorizada de innumerables fotos privadas de estas cuentas.
Aunque el agresor fue finalmente localizado y procesado, las víctimas siguen sufriendo que sus fotos íntimas se hagan públicas, sin su permiso. Este se ha convertido en uno de los ataques de phishing más conocidos de la década.
Cómo protegerte contra el pharming
La mayoría de las amenazas tienen éxito debido a dos debilidades principales:
- Error humano
- Error técnico
Una protección completa frente a las amenazas de la Web significa que tendrá que encontrar la manera de cubrir estos puntos débiles.
Entre los consejos generales que deben seguir tanto los usuarios finales como los proveedores de servicios web figuran los siguientes:
1. Crea siempre copias de seguridad: Todos los datos valiosos deben copiarse y almacenarse de forma segura para evitar la pérdida de datos en caso de incidente. Se pueden realizar copias de seguridad de sitios web, unidades de dispositivos e incluso servidores web.
2. Activa la autenticación multifactor (MFA): la MFA permite capas adicionales de autenticación de usuarios además de las contraseñas tradicionales. Las organizaciones deben habilitar esta protección para los usuarios, mientras que los usuarios finales deben asegurarse de hacer uso de ella.
3. Ejecuta análisis en busca de malware: los análisis periódicos en busca de infecciones mantendrán protegidos tus dispositivos informáticos. Los dispositivos personales pueden protegerse con una solución antivirus como Kaspersky Premium. Los equipos endpoint y las redes informáticas de las empresas también deberían utilizar esta protección.
4. Mantén actualizadas todas las herramientas, el software y el sistema operativo: los sistemas informáticos son más vulnerables cuando no han sido parcheados contra agujeros no descubiertos en su programación. Los desarrolladores de software comprueban periódicamente los puntos débiles y publican actualizaciones con este fin. Protégete descargando estas actualizaciones.
Los proveedores de servicios, como los propietarios de sitios web y los operadores de servidores, son el punto de partida de la verdadera seguridad integral. Estas partes deberán tomar precauciones para protegerse mejor. Pueden hacerlo:
1. Supervisando el tráfico web para evaluar los volúmenes y patrones normales.
2. Implementando firewalls para filtrar y restringir las conexiones web no permitidas.
3. Distribución de infraestructuras de red para descentralizar datos y servicios. Esto incluye aspectos como las copias de seguridad de diversos recursos y las rotaciones geográficas de los servidores.
4. Sondeo interno para investigar vulnerabilidades no parcheadas. Esto podría implicar, por ejemplo, el autoataque con herramientas de ataque de inyección SQL.
5. Configuración de seguridad adecuada para los derechos de acceso y la gestión de sesiones.
Los usuarios deben protegerse haciendo lo siguiente:
1. Analizar las descargas en busca de malware.
2. Vetar los enlaces antes de hacer clic, solo hacer clic si está seguro de que el destino es seguro y de confianza.
3. Crear contraseñas seguras y fuertes, y evitar las duplicadas. Utilizar un gestor de contraseñas seguro para gestionar todas tus cuentas y contraseñas.
4. Reducir los intentos de inicio de sesión activando el bloqueo de la cuenta tras un número limitado de intentos.
5. Estar atento a las señales de alerta de phishing en mensajes de texto, correo electrónico y otras comunicaciones.
Artículos relacionados
- Reconocer el ransomware: en qué se diferencian los troyanos de cifrado
- ¿Cómo actúan los virus informáticos?
- ¿Cómo detectar el spyware para proteger tu privacidad?