Aproximación a vectores de ataques y soluciones

Aproximación a vectores de ataques y soluciones

Tiempo estimado de lectura: 10 minutos


Esta conferencia magistral pertenece al Módulo 2a "Concienciación en ciberseguridad" de C1b3rWall Academy 2021. El objetivo de la misma es recomendar soluciones a vectores de ataque a través de 13 pilares.

1. Las contraseñas

Las contraseñas quizá se acaben en algún momento gracias a los datos biométricos, pero por ahora tenemos un sistema basado en contraseñas que deben ser robustas. Hay que tener en cuenta que existen keyloggers, es decir, aplicaciones informáticas que extraen aquellas teclas que hemos pulsado, sistema que aprovechan los delincuentes. Este mundo de captación de datos no se basa solo en keyloggers, sino que también se extraen datos a través del giroscopio, el velocímetro, la geolocalización, NFC, bluetooth... prácticamente todos los sistemas que utilizamos, por eso hay que ser muy cautelosos.

2. Técnicas de fraude (electrónico o no)

  • Phishing (por mensajería).
  • Vishing (por voz).
  • Smishing (por SMS).
  • Pharming (explota DNS).
  • SIM Swapping (duplicado de SIM).
  • Fraude del CEO.
  • Ingeniería social.
  • Acceso por escritorio remoto.
  • Man in the middle (por intermediación).

3. 2FA y ulteriores

Podemos poner capas de seguridad gracias al doble factor de autenticación (2FA), que se consigue, por ejemplo, gracias a un generador de claves que podemos tener en el teléfono móvil para que el usuario tenga que introducir algún otro factor más para autenticarse más allá de su nick o cuenta. 

2FA:

  • Generador de claves.
  • ¿Tarjeta de coordenadas? Mejor no.
  • Token físico.

Ulteriores: 

  • Bloqueadores personales de acceso.
  • Bloqueo de Ataques de Fuerza Bruta.
  • Bloque por IP.
  • Bloqueo por patrones comportamentales.

4. Copias de seguridad (backup)

Lo mejor es tener siempre copias de seguridad, que pueden ser completas, diferenciales o incrementales y, además, con una periodicidad determinada: instatánea, diaria o semanal. 

5. Gestor de contraseñas

Ya que hay que tener contraseñas robustas, ayuda también cambiarlas de vez en cuando de manera completa. Para guardar las contraseñas existen gestores confiables como Dashlane, KeePass, Contraseñas Google Chrome, Gestor de contraseñas de Dropbox...

6. Recuerda: ya conocen tu contraseña

Las consecuencias de que los ciberdelincuentes sepan tu contraseña son: acceder a tu cuenta y a los servicios vinculados, sincronizar cuentas o descargar, acceder a datos de terceros e información usable en el futuro. Si quieres saber si tu contraseña o tu correo han sido extraídos de sitios web o servidores, puedes acceder a esta información visitando esta página

7. Protege ya tu endpoint (PC, móvil, tablet)

En cuanto a la protección, hay que tener en cuenta que los delincuentes no solo van a intentar ponerse en contacto con nosotros para defraudarnos, sino que también van a utilizar malware como virus, gusanos, troyanos, spyware, ransomware o zeroday (vulnerabilidades no conocidas hasta la fecha que son aprovechadas por los delincuentes).

8. Ni los más seguros están a salvo

No solo hay ataques a personas o usuarios individuales, también hay ataques de secuestro a barcos, hospitales, coches, televisiones... Estos ataques informáticos se realizan, en ocasiones, a través de cortinas de humo, referidas a la distracción de los equipos de seguridad para atacar al objetivo principal.

9. La IA y el malware son una terrible combinación

Cada vez con mayor frecuencia, los ataques de malware vienen complementados con inteligencia artificial. Hay ataques como el deeplocker que utilizan malware con capacidad de reconocimiento por IA. La inteligencia artificial utilizada para el mal es un riesgo importante al que nos enfrentamos.

10. El servidor es uno de los principales objetivos

El servidor de una empresa es uno de los principales objetivos que tienen los atacantes: cifrar contenidos y pedir rescate, sustraer información confidencial, manipular o destruir datos contables u obtener datos personales.

11. Sistemas de defensa

  • Cumplimiento RGPD + LSE + etc.
  • Sistema de protección del endpoint.
  • Antivirus en el móvil SIEMPRE.
  • Prevención de intrusiones (IPS).
  • Detección de intrusiones (IDS).
  • Firewall.
  • Conexiones VPN.
  • Concienciación sobre datos y seguridad.
  • DLP contra los sustractores.

12. Protección para web y perfiles sociales

Es importante proteger los sitios web y los perfiles en redes sociales, tanto los propios como los de empresa. Esto se puede hacer mediante la instalación de un certificado TLS v1.2, activar captchas contra spam, scam y web scrapping, o verificar y analizar el terminal del usuario.

13. Políticas de seguridad corporativa

Es recomendable establecer una política de seguridad corporativa y, si trabajas en una empresa que la tiene, aprender de ella. Estas políticas ayudan a que se cumpla la normativa de protección de datos personales y no personales. Algunas recomendaciones son:

  • Usar protector de pantalla con contraseña.
  • Apagar el ordenador por la noche.
  • Emplear la destructora de papel.
  • Usar cifrado (PGP, de disco, asimétrico).
  • Gamificar el cumplimiento.
  • Actualizar y renovar las soluciones de ciberseguridad.
  • Concienciarse y concienciar a otras personas en seguridad física y ciberseguridad.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí


Ponente: Pablo Fernández Burgueño

Pablo es es profesor y abogado of counsel de PwC Tax and Legal especializado en Derecho de las Nuevas Tecnologías y del Entretenimiento, y en especial en blockchain, ciberseguridad y derecho aplicado a los modelos de negocio basados en el uso de smart contracts, DAO, ICO y tokens. Fundó Abanlex, uno de los bufetes que introdujo en Europa el uso legal de bitcoin y ethereum. Es socio fundador de NevTrace, el laboratorio blockchain desarrollador de prototipos presentados en Policía Nacional, Guardia Civil y Europol, así como proyectos que aterrizan en las áreas de innovación de grandes empresas.