Adentrándonos un poco más en los tipos de ataque

Aunque el lunes pasado creyeras que ya te has acongojado lo suficiente con este tema, la cosa no ha hecho más que empezar y, podríamos decir, que lo visto hasta ahora no es más que pecata minuta. Vamos, que lo divertido está por llegar.

Para entrar en materia te voy a hablar de un ataque que es habitual pensar que solo está dirigido contra servidores, pero nada más lejos de la realidad. Me estoy refiriendo a los ataques de denegación de servicio, lo que se conoce como ataques DoS. Es cierto que son habituales contra servidores. Un atacante lanza millones de peticiones a un servidor web y éste acaba colapsando. Hasta ahora era habitual que lo realizara un único atacante desde una única IP, por lo que era relativamente sencillo contrarrestarlo, pero la sofisticación de los delincuentes, hace que estos ataques se lancen ahora desde redes zombies, donde miles o millones de ordenadores trabajan sin saberlo en favor de los fines de los delincuentes, ya que previamente han sido contaminados con algún tipo de malware que los fuerza a realizar tareas que les ordena quien controla la botnet y todos juntos atacan a las víctimas como si fueran un único ordenador, de ahí su gran peligro.

Pero algo que se está viendo últimamente, es que estos ataques desde botnets no solo van encaminados contra servidores de empresas, sino también contra dispositivos de particulares. Desde routers hasta NAS (discos duros conectados en red), pasando por dispositivos IOT, en especial cámaras IP, smartphones y hasta coches, están sufriendo ataques, entre otros, ataques DoS, que dejan colapsados o con un mal funcionamiento los dispositivos de la víctima y, lo que es peor, hacen que esos dispositivos pasen a formar parte de la botnet y se conviertan en atacantes sin saberlo.

Y ahora, muchos podrían preguntarse tras ser atacados: ¿Y por qué a mi? ¿Qué he hecho yo para que un individuo de Ucrania o de Corea del Norte quiera atacarme? La respuesta es muy simple: Nada. No has hecho nada. Estas gentes, lo que hacen es escanear rangos de direcciones IP y analizar qué hay detrás de ellas. Si encuentran una que sea vulnerable, la atacan y si resulta que esa IP es la tuya, pues TE-HA-TO-CA-DO y pasas a ser de su propiedad, literalmente. ¿Puedes defenderte? Pues depende (y esta es la respuesta más odiosa que puedes escuchar). No es lo mismo haber sufrido un phising y no hacer nada, que es lo más sensato que se puede hacer, que haberlo recibido y haber picado. Lo más probable es que ante un phising ignorado nadie se haya dado cuenta de ello y que no pase nada hasta que recibas otro intento de phising y otro y otro. En todos ellos lo mejor que puedes hacer es ignorarlos y jamás pinchar en los enlaces que te ofrecen. Pero si has picado y has pinchado en algún enlace, ahora, cuando menos, saben que existes y es cuando irán a por ti. Ya no eres una IP aleatoria o un correo sacado de una lista de correos recopilados de vete a saber dónde. Ahora puede, incluso, que tengas nombre, apellidos, número de DNI, dirección, teléfono, dirección de correo comprobada como existente y activa y mucha, mucha más información que tú les habrás dado a los delincuentes. Lo que pase de ahora en adelante es un misterio, pero ya te digo que no será nada bueno y que defenderte no será nada fácil si no te pones en manos de especialistas, como puede ser la Brigrada de Delitos Telemáticos de la Guardia Civil o la Policía Nacional.

Y por seguir ahondando en los tipos de ataques que se pueden sufrir, ahora quiero hablarte de uno de los más divertidos (buenos, la verdad es que gracia no tiene para quien lo recibe) y que a mi más me gusta. Se trata de ARP Spoofing, que también es conocido como empozoñamiento de la tabla ARP. Me explico. Este ataque solo se suele producir dentro de una red local, como por ejemplo una red pública, la red de una empresa o la propia red doméstica. En el caso de las dos primeras, suelen estar protegidas contra estos ataques usando técnicas que ya vienen implementadas en los propios switch de gama alta, pero en el caso de las redes domésticas no es el caso ya que en su inmensa mayoría se usa el switch que viene integrado con el router que nos da el operador de telefonía con el que hemos contratado la fibra y éste no suele ser precisamente un dispositivo de gama alta, por lo que estamos vendidos ante un ataque sofisticado.

Vamos a ver un ejemplo de cómo funcionaría un ataque típico a un router doméstico. En primer lugar se lanzaría un escaneo de puertos para ver cuántos y cuáles están abiertos, para a continuación ir viendo uno por uno qué software lo controla, cuál es la versión de éste software y buscar en alguna base de datos de vulnerabilidades cómo debemos explotar la que más nos convenga. Lo más probable es que el router no esté actualizado a la última versión del firmware, por lo que tendrá múltiples vulnerabilidades conocidas y seguro que alguna permite modificar la contraseña del administrador. Eso en caso de que el usuario no la haya cambiado, que es lo más probable, y esté utilizando la estándar que viene por defecto de fábrica con el router. En este caso no es necesario analizar vulnerabilidades, sino que basta con conocer la marca y el modelo del router y buscar en alguna base de datos de router que haya por la Red e introducir el usuario y contraseña correctos. Ahora, el delincuente, ya es el dueño y señor de la red y de los equipos que se conecten a ella. Lo siguiente que hará el delincuente es analizar las horas de conexiones de cada equipo y así saber cuál es el mejor momento para perpetrar el verdadero ataque, que consistirá en conectarse a la red con un dispositivo camuflado que suplante la dirección del router y haga creer al resto de dispositivos que él es el verdadero router. Así todo el tráfico que se mueva por la red, pasará por el dispositivo del delincuente y éste se encargará de ir recopilando la información relevante, como contraseñas, pines, números de tarjetas, números de cuentas y todo tipo de información personal almacenada en cada unos de los dispositivos de la víctima. De aquí en adelante, ya te puedes imaginar que a la víctima no le espera un futuro muy halagüeño.

Dentro de nuestro hipotético ataque, además del ARP Spoofing se pueden lanzar ataques diversos y de características similares que canalicen a la víctima hacia las trampas que le irá poniendo el delincuente para obtener sus objetivos. Un ejemplo es el ataque denominado envenenamiento de caché DNS, que funciona de forma similar al ARP Spoofing, solo que en vez de hacer creer al dispositivo de la víctima que el router es otro, esta vez le haremos creer que su servidor DNS no es el que tiene configurado su router o su dispositivo, sino uno que el delincuente haya puesto a tal efecto. Con esto, el navegador de la víctima encontrará direcciones falsificadas en vez de las reales, con resultados nada deseables en los que se le inyectará código malicioso, inducirá a ataques phishing o se colocará un falso interlocutor entre la víctima y el centro de atención al que se conecte (Man in the midle).

Como puedes ver, comprobar, un ataque a una víctima no es único, sino que suele una combinación de varios (y aparte de estos que te he explicado aún tenemos más tipos de ataques, aunque algunos de ellos más técnicos) hasta llegar al desenlace esperado por el delincuente. Y ten en cuenta que la víctima no necesariamente tiene que ser un organismo oficial (como el SEPE, de quienes podríamos hablar largo y tendido), una empresa o alguien con dinero. Insisto en que en la mayoría de las ocasiones suelen ser ataques a direcciones IP aleatorias y la tuya o la mía pueden estar entre ellas, así que: Mucha precaución ahí fuera.

Author: fbueno.net

Sarcástico, irónico y cáustico. Agnóstico, irreverente, apolítico, apátrida y ciertamente asocial. Defensor del abstencionismo reflexivo y amante del Rock.