Los vectores de ataque son las formas en que un atacante puede vulnerar datos confidenciales o poner en riesgo una organización.
Después de leer este artículo podrás:
Contenido relacionado
ransomware
Ataques en ruta
¿Seguridad de aplicaciones web?
¿Qué es el desbordamiento del búfer?
Vulnerabilidad de día cero
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Un vector de ataque, o vector de amenaza, es una forma que tienen los atacantes de entrar en una red o sistema. Entre los vectores de ataque más habituales se encuentran los ataques de ingeniería social, el robo de credenciales, el aprovechamiento de vulnerabilidades y la insuficiente protección contra las amenazas internas. Una parte importante de la seguridad de la información es cerrar los vectores de ataque siempre que sea posible.
Supongamos que se encarga a una empresa de seguridad la vigilancia de un cuadro especial que está colgado en un museo. Un ladrón cuenta con varias formas de entrar y salir del museo: puerta principal, puertas traseras, ascensores y ventanas. Un ladrón también podría entrar de otra manera, quizás haciéndose pasar por un miembro del personal del museo. Todos estos métodos representan vectores de ataque, y la empresa de seguridad puede intentar eliminarlos al asignar guardias de seguridad a todas las puertas, colocar cerraduras en las ventanas y examinar con regularidad al personal del museo para confirmar su identidad.
De forma similar, todos los sistemas digitales tienen zonas que los atacantes pueden utilizar como puntos de entrada. Ya que los sistemas informáticos modernos y los entornos de aplicación son tan complejos, no suele ser posible cerrar todos los vectores de ataque. Pero unas prácticas de seguridad y unas defensas sólidas pueden eliminar la mayoría de los vectores de ataque, lo cual hace mucho más difícil que los atacantes los encuentren y los utilicen.
Phishing: el phishing consiste en robar datos, como la contraseña de un usuario, que un atacante puede utilizar para entrar en una red. Los atacantes acceden a estos datos al engañar a la víctima para que los revele. El phishing sigue siendo uno de los vectores de ataque más utilizados, por ejemplo, muchos ataques de ransomware comienzan con una campaña de phishing contra la organización a la que se va a atacar.
Adjuntos de correo electrónico: es uno de los vectores de ataque más habituales. Los adjuntos de correo electrónico pueden contener código malicioso que se ejecuta después de que el usuario abra el archivo. En los últimos años, varios ataques importantes de ransomware han utilizado este vector de amenaza, incluidos los ataques Ryuk .
Adquisición de cuentas: los atacantes pueden utilizar diferentes métodos para hacerse con la cuenta de un usuario legítimo. Pueden robar las credenciales de un usuario (nombre de usuario y contraseña) mediante un ataque de phishing, un ataque de fuerza bruta o adquiriéndolas en el mercado negro. Los atacantes también pueden intentar interceptar y utilizar una cookie de sesión para suplantar al usuario en una aplicación web.
Falta de encriptación: los datos que no están encriptados los puede ver cualquiera que tenga acceso a ellos. Pueden ser interceptados en tránsito entre redes, como en un ataque en ruta, o simplemente ser vistos sin querer por un intermediario a lo largo de la ruta de red.
Amenazas internas: una amenaza interna se produce cuando un usuario conocido y de confianza accede y distribuye datos confidenciales, o permite que un atacante lo haga. Estos sucesos los puede realizar el usuario de forma intencionada o accidental. Los atacantes externos pueden intentar crear amenazas internas al ponerse en contacto directamente con ellos con solicitudes, sobornos, engaños o amenazas para que les faciliten el acceso. En ocasiones, agentes internos malintencionados actúan por voluntad propia, por estar insatisfechos con su organización o por alguna otra razón.
Aprovechar vulnerabilidades: una vulnerabilidad es un fallo en el software o el hardware; sería algo así como una cerradura que no funciona correctamente, lo cual permite que un ladrón que sabe dónde está la cerradura defectuosa pueda entrar en un edificio asegurado. Cuando un atacante utiliza con éxito una vulnerabilidad para entrar en un sistema, se denomina aprovecharse de una vulnerabilidad. Implementar las actualizaciones del proveedor de software o hardware puede solucionar la mayoría de las vulnerabilidades. Pero algunas vulnerabilidades son vulnerabilidades de "día cero", vulnerabilidades desconocidas para las que no hay una solución conocida.
Ataques basados en navegador: para mostrar las páginas web, los navegadores de Internet cargan y ejecutan código que reciben de servidores remotos. Los atacantes pueden inyectar código malicioso en un sitio web o llevar a los usuarios a un sitio web falso, engañando al navegador para que ejecute un código que descargue malware o ponga en riesgo de cualquier otro modo los dispositivos de los usuarios. Con la informática en la nube, los empleados suelen acceder a los datos y las aplicaciones únicamente a través de su navegador de Internet, lo cual hace que este vector de amenaza sea especialmente preocupante.
Poner en riesgo la aplicación: en lugar de atacar las cuentas de los usuarios directamente, un atacante puede intentar infectar con malware una aplicación de terceros de confianza. O podría crear una aplicación falsa y maliciosa que los usuarios descarguen e instalen sin saberlo (un vector de ataque habitual para dispositivos móviles).
Puertos abiertos: un puerto es una entrada virtual a un dispositivo. Los puertos ayudan a ordenadores y servidores a asociar el tráfico de red con aplicaciones o procesos determinados. Los puertos que no están en uso deben estar cerrados. Los atacantes pueden enviar mensajes especialmente elaborados a los puertos abiertos para intentar poner en riesgo el sistema, del mismo modo que un ladrón de coches prueba a abrir las puertas de un coche para comprobar si alguna no está cerrada.
No existe forma de eliminar por completo los vectores de ataque. Pero estos enfoques pueden ayudar a detener tanto los ataques internos como los externos.
Una superficie de ataque es la combinación de todos los vectores de ataque disponibles para un atacante. Cuantos más vectores de ataque tenga una organización, mayor será la superficie de ataque. Inversamente, una organización puede reducir su superficie de ataque eliminando vectores de ataque dondequiera que sea posible.
Pensemos que un atacante es como un delantero de fútbol, y que la superficie de ataque es la portería. Sin un portero, la portería presenta un área bastante amplia para que el jugador pueda meter un gol fácilmente. Sin embargo, con un portero se reduce el área disponible para el ataque al colocarse en lugares estratégicos, y los compañeros del portero pueden hacer lo mismo por la forma en que defienden.
Del mismo modo, todas las organizaciones tienen una "portería" a la que se dirigen los atacantes externos: la superficie de ataque y los datos confidenciales que hay tras ella. Pero los productos y las prácticas de seguridad son como el portero y los defensas, que impiden que los atacantes utilicen esos vectores de ataque.
Para saber cómo Cloudflare ayuda a acabar con los vectores de ataque, lee sobre la plataforma SASE de Cloudflare, Cloudflare One.