Phishing consiste en intentos fraudulentos de obtener información confidencial, como nombres de usuario, contraseñas y datos de tarjetas de crédito, haciéndose pasar por una entidad de confianza en una comunicación electrónica.
Los atacantes suelen utilizar la suplantación del correo electrónico para enviar mensajes que parecen proceder de fuentes fiables, como bancos o empresas de confianza. Estos correos pueden contener enlaces a sitios web maliciosos que imitan páginas de inicio de sesión legítimas.
Los atacantes envían correos electrónicos que parecen proceder de una fuente fiable, como un banco, y que contienen enlaces a sitios web maliciosos que imitan páginas de inicio de sesión legítimas:
Al hacer clic en el enlace, el usuario es dirigido a un sitio fraudulento en el que se pueden recopilar sus credenciales.
La IA permite a los atacantes crear correos electrónicos altamente personalizados en phishing que resultan más convincentes:
Un modelo de IA analiza los perfiles en redes sociales de un objetivo para elaborar un correo electrónico a phishing :
El vishing es un tipo de ataque a través de phishing que utiliza llamadas telefónicas o mensajes de voz para engañar a las personas con el fin de que revelen información confidencial o realicen acciones que comprometan la seguridad.
Un atacante utiliza la tecnología de Voz sobre Protocolo de Internet (VoIP) para falsificar el identificador de llamada, haciendo que parezca que la llamada procede de un banco legítimo. El atacante llama a la víctima y se hace pasar por un representante del banco, diciendo:
"Aquí el departamento de seguridad de [Nombre del banco]. Hemos detectado actividad sospechosa en su cuenta. Para asegurar sus fondos, por favor verifique su número de cuenta, PIN y detalles de transacciones recientes."
Creyendo que la llamada es auténtica debido al identificador de llamada reconocible y al tono de urgencia, la víctima proporciona la información solicitada. A continuación, el atacante utiliza estos datos para acceder a la cuenta bancaria de la víctima, transferir fondos o realizar compras no autorizadas.
La IA mejora el vishing mediante:
Un atacante utiliza la IA para clonar la voz de un director general y deja un mensaje de voz a un empleado:
"Hola, soy [nombre del director general]. Estoy ocupado en una reunión, pero necesito que proceses una transferencia urgente a nuestro nuevo cliente. Los detalles están en tu correo electrónico".
Spear phishing es una forma más refinada de phishing que se dirige a personas u organizaciones concretas, utilizando información personalizada para aumentar la credibilidad.
Ejemplo: Un atacante investiga a un empleado en las redes sociales y descubre que ha asistido recientemente a una conferencia sobre ciberseguridad. El atacante envía entonces un correo electrónico:
El contexto personalizado aumenta la probabilidad de que el empleado haga clic en el enlace.
Los ataques de caza de ballenas se centran en personas de alto perfil, como directores generales o directores financieros, con el objetivo de explotar su acceso a información sensible.
Ejemplo: Un atacante se hace pasar por un director general y envía un correo electrónico al departamento financiero:
La sensación de urgencia y autoridad presiona al destinatario para que cumpla sin verificación.
El pretexto consiste en crear un escenario ficticio para engañar a las víctimas con el fin de que revelen información confidencial.
Por ejemplo:
Un atacante llama a un empleado, diciendo ser del servicio de asistencia informática:
Considerando que la solicitud es legítima, el empleado puede revelar su nombre de usuario y contraseña.
El cebo utiliza la promesa de algo deseable para atraer a las víctimas a una trampa.
Por ejemplo:
Un atacante deja memorias USB con la etiqueta "Resumen salarial Q1" en el aparcamiento de una empresa. Los empleados curiosos recogen las unidades y las insertan en sus ordenadores, instalando sin saberlo malware , que concede al atacante acceso a la red corporativa.
Estas técnicas consisten en obtener acceso físico no autorizado a zonas seguras aprovechando la confianza humana.
Ejemplo: Un atacante cargado con cajas pesadas se acerca a una puerta segura. Cuando un empleado abre la puerta, el atacante le pide que la sostenga, obteniendo acceso sin la autenticación adecuada.
Los virus se adhieren a archivos limpios y se propagan a otros archivos.
Unvirus de macro incrustado en un documento de Word se activa al abrir el documento, infectando otros documentos.
Los gusanos aprovechan las vulnerabilidades para infectar los sistemas sin intervención del usuario.
SQL Slammer worm explotaba una vulnerabilidad de desbordamiento de búfer en SQL Server de Microsoft, provocando una congestión generalizada de la red.
La IA mejora las capacidades de malware :
worm utiliza el aprendizaje por refuerzo para identificar las rutas de explotación más eficaces dentro de una red, adaptando su estrategia de propagación para maximizar las tasas de infección y minimizar la detección.
Los troyanos aparecen como programas legítimos pero realizan actividades maliciosas cuando se ejecutan.
Ejemplo: Un juego descargado incluye un troyano que, al instalarse, abre una puerta trasera en el sistema utilizando el puerto 4444. El atacante puede ahora acceder remotamente al sistema y controlarlo.
El ransomware cifra los datos del usuario y exige un pago por la clave de descifrado.
Ejemplo: WannaCry aprovechó las vulnerabilidades del protocolo SMB para propagarse rápidamente. Cifraba archivos y mostraba una nota de rescate exigiendo el pago de Bitcoin.
La IA mejora el ransomware mediante:
El ransomware analiza los archivos del sistema para priorizar el cifrado de los activos críticos en primer lugar, utilizando la IA para predecir qué archivos son más valiosos para la víctima.
> Más información sobre los principales grupos de ransomware
Un programa espía supervisa la actividad del usuario para recopilar información.
Ejemplo: Una aplicación espía registra el historial del navegador, las pulsaciones del teclado y las capturas de pantalla, y envía los datos al atacante.
Un adware muestra anuncios no deseados.
Ejemplo: El adware inyecta anuncios en las páginas web o redirige las consultas de búsqueda a sitios publicitarios.
Los rootkits modifican el sistema operativo para ocultar los procesos y archivos maliciosos de las herramientas de detección.
Por ejemplo: Un rootkit en modo kernel reemplaza controladores del sistema como ndis.sys para interceptar el tráfico de red y ocultar su presencia a herramientas como el Administrador de tareas y el software antivirus.
Las redes de bots están formadas por numerosos dispositivos infectados (bots) controlados por un atacante (botmaster) para realizar acciones coordinadas.
Ejemplo: La red de bots Mirai infectó dispositivos IoT como cámaras y routers utilizando credenciales predeterminadas. Se ha utilizado para ataques DDoS, abrumando objetivos con un tráfico superior a 1 Tbps.
Los ataques DoS saturan los recursos de un sistema, haciendo que los servicios no estén disponibles.
Ejemplo: Los atacantes envían una sucesión de peticiones SYN al servidor de un objetivo, consumiendo recursos al dejar conexiones medio abiertas.(Inundación SYN)
AI refina los ataques DoS por:
Una red de bots controlada por inteligencia artificial ajusta el tamaño y los intervalos de los paquetes para imitar patrones de tráfico legítimos y eludir así la detección de los sistemas de prevención de intrusiones basados en anomalías.
Los ataques DDoS utilizan múltiples sistemas comprometidos para amplificar el ataque.
Ejemplo: Las botnets envían grandes paquetes UDP a puertos aleatorios del servidor objetivo, forzándolo a comprobar si hay aplicaciones escuchando en esos puertos y respondiendo con ICMP "Destino inalcanzable", consumiendo ancho de banda.(Inundación UDP)
En un ataque MitM, los hackers retransmiten en secreto y posiblemente alteran las comunicaciones entre dos partes.
Ejemplo: Un atacante utiliza un punto de acceso Wi-Fi fraudulento y técnicas de eliminación de SSL para degradar las conexiones HTTPS a HTTP, interceptando datos confidenciales.(Suplantación de HTTPS)
La IA potencia los ataques MitM mediante:
Un sistema de IA analiza el tráfico cifrado para detectar patrones que podrían indicar la reutilización de claves, lo que ayuda a descifrar las comunicaciones sin que el usuario lo sepa.
En los ataques DNS Spoofing (o DNS Poisoning), los agresores alteran los registros DNS para redirigir el tráfico a sitios fraudulentos.
Por ejemplo: Al inyectar entradas falsificadas en la caché de un servidor DNS, el dominio www.example.com resuelve a la dirección IP del atacante, llevando a los usuarios a un sitio web malicioso.
Los atacantes envían mensajes ARP falsificados para asociar su dirección MAC con la dirección IP de otro host.
Ejemplo: El atacante envía una respuesta ARP indicando que la dirección IP de la pasarela corresponde a su dirección MAC. El tráfico destinado a la puerta de enlace se envía al atacante, lo que permite el rastreo o la manipulación de paquetes.
Los atacantes inyectan sentencias SQL maliciosas en los campos de entrada para manipular las bases de datos backend.
La IA automatiza el descubrimiento de puntos de inyección:
Una herramienta de inteligencia artificial escanea aplicaciones web y aprende de las respuestas para elaborar ataques de inyección SQL que eluden mecanismos de seguridad como la desinfección de entradas.
> Cómo detectar los ataques de inyección SQL
Los ataques XSS consisten en inyectar scripts maliciosos que se ejecutan en el navegador del usuario.
Ejemplo: Un atacante publica un comentario que contiene en un foro. Cuando otros usuarios ven el comentario, sus navegadores ejecutan el script, enviando sus cookies de sesión al atacante.
AI mejora los ataques XSS por:
Un sistema de inteligencia artificial elabora cargas útiles XSS que se adaptan a las distintas versiones y configuraciones de seguridad de los navegadores, lo que aumenta la tasa de éxito del ataque.
CSRF engaña a usuarios autenticados para que envíen peticiones sin su conocimiento.
Por ejemplo: Un atacante crea un formulario oculto en su sitio web que envía una solicitud POST a http://bank[.]com/transfer cuando se carga la página. Si el usuario ha iniciado sesión en su cuenta bancaria, la solicitud transfiere fondos a la cuenta del atacante.
RFI permite a los atacantes incluir y ejecutar archivos remotos a través de scripts vulnerables.
Los atacantes intentan todas las combinaciones posibles para descubrir las contraseñas.
Ejemplo: Utilizando herramientas como Hydra, un atacante puede apuntar a un servidor SSH para obtener las contraseñas.
La IA mejora la eficiencia:
Un modelo como PassGAN genera conjeturas de contraseñas basadas en patrones de bases de datos filtradas, lo que reduce significativamente el tiempo necesario para descifrar contraseñas.
Los atacantes utilizan una lista de contraseñas comunes para adivinar las credenciales de los usuarios.
Múltiples listas de contraseñas que contienen las contraseñas más comunes, como contraseña, 123456, qwerty.
El atacante puede automatizar los intentos de inicio de sesión utilizando estas contraseñas contra múltiples cuentas.
Los atacantes utilizan pares de nombres de usuario y contraseñas procedentes de filtraciones de datos para acceder a cuentas de otros servicios.
Ejemplo: Las credenciales de un sitio de comercio electrónico comprometido se utilizan para intentar iniciar sesión en sitios web bancarios. El éxito depende de que los usuarios reutilicen las contraseñas en todos los servicios.
Los keyloggers capturan las pulsaciones del teclado para obtener información confidencial como contraseñas y números de tarjetas de crédito.
Un software keylogger se ejecuta silenciosamente en segundo plano, registrando todas las pulsaciones de teclas y enviando periódicamente los registros al servidor del atacante.
En los ataques de pulverización de contraseñas, los hackers prueban un pequeño número de contraseñas de uso común en muchas cuentas para evitar el bloqueo de las mismas.
Por ejemplo: El atacante intenta contraseñas como ¡Bienvenido1! o Contraseña2023 en todas las cuentas de usuario de una organización.
Los atacantes capturan los datos transmitidos a través de redes Wi-Fi no cifradas.
Ejemplo: Utilizando Aircrack-ng, un atacante captura paquetes de una red Wi-Fi abierta para interceptar inicios de sesión de correo electrónico enviados en texto claro.
Las vulnerabilidades en los protocolos Bluetooth permiten a los atacantes conectarse sin autorización.
Ejemplo: El hacker aprovecha fallos de implementación de Bluetooth para ejecutar código de forma remota en dispositivos sin parches.(Ataque BlueBorne)
Las aplicaciones maliciosas o las legítimas comprometidas pueden infectar los dispositivos móviles.
Ejemplo: Una versión troyanizada de una app popular solicita permisos excesivos, lo que le permite leer mensajes, acceder a contactos y transmitir datos al atacante.
Los dispositivos IoT carecen a menudo de medidas de seguridad sólidas, lo que los convierte en objetivos fáciles.
Ejemplo: Un atacante accede a un termostato inteligente con credenciales predeterminadas, utilizándolo como punto de pivote para escanear y atacar otros dispositivos de la red.
Los dispositivos IoT comprometidos contribuyen a crear potentes redes de bots.
Ejemplo: La botnet Reaper explotó vulnerabilidades en dispositivos IoT para construir una red capaz de lanzar ataques DDoS de gran volumen.
Los atacantes atacan servicios de cloud mal configurados o vulnerables.
Ejemplo: Un bucket de Amazon S3 mal configurado permite el acceso público de lectura/escritura, exponiendo datos sensibles.
Los errores de configuración conducen a accesos no autorizados o a una escalada de privilegios.
Ejemplo: Un atacante explota roles IAM excesivamente permisivos en AWS para escalar privilegios y obtener control sobre recursos de cloud .
Hoy en día, la IA escanea el software de terceros en busca de fallos explotables y el aprendizaje automático automatiza la inserción de código malicioso en sistemas complejos, lo que facilita al atacante comprometer elementos de la cadena de suministro para infiltrarse en objetivos.
Zero-day Los exploits se aprovechan de vulnerabilidades de software desconocidas para el vendedor.
Ejemplo: Stuxnet Worm utilizó múltiples vulnerabilidades de día cero para atacar y dañar las centrifugadoras nucleares de Irán.
Descifrar algoritmos de cifrado
Los atacantes aprovechan los puntos débiles de los protocolos o implementaciones de cifrado.
Ejemplo: El ataque Padding Oracle aprovecha los errores de relleno en las operaciones criptográficas para descifrar el texto cifrado sin la clave.
Los ataques Man-in-the-middle comprometen SSL/TLS aprovechando las debilidades del protocolo.
Ejemplo: El Ataque POODLE degrada las conexiones TLS a SSL 3.0, que es vulnerable a ciertos tipos de ataques, permitiendo al atacante descifrar las cookies de sesión.
Los atacantes alteran físicamente los dispositivos para introducir vulnerabilidades.
Ejemplo: Instalación de una tarjeta PCIe maliciosa que proporciona acceso no autorizado a la memoria y los datos del sistema.
Los dispositivos sin cifrar plantean riesgos importantes en caso de pérdida o robo.
Ejemplo: Una unidad USB perdida que contiene datos de clientes sin cifrar da lugar a una violación de datos cuando la encuentra una persona no autorizada.
La Inteligencia Artificial (IA) y Machine Learning (ML) han revolucionado muchas industrias, incluida la ciberseguridad. Mientras que la IA proporciona potentes herramientas para la defensa, los atacantes aprovechan cada vez más la IA para mejorar sus metodologías de ataque.
La integración de la IA en las técnicas de ciberataque aumenta significativamente la sofisticación y eficacia de las amenazas. Los atacantes aprovechan la IA para la automatización, la adaptabilidad y la mejora de las tasas de éxito, desafiando las medidas de seguridad tradicionales.
Al comprender tanto las técnicas de ataque tradicionales como el impacto de la IA, las organizaciones pueden desarrollar estrategias sólidas para protegerse contra las ciberamenazas en evolución.
Vectra AI aprovecha la inteligencia artificial avanzada y el aprendizaje automático para detectar ciberamenazas sofisticadas a través de las técnicas de ataque analizadas. Mediante la monitorización continua del tráfico de red, el comportamiento de los usuarios y las interacciones del sistema, la plataforma Vectra AI identifica anomalías y actividades maliciosas en tiempo real. Detecta indicios de ingeniería social, inteligencia artificial mejorada malware, ataques basados en la red, exploits de aplicaciones web, abuso de credenciales, amenazas persistentes avanzadas, amenazas internas, compromisos de la cadena de suministro y vulnerabilidades de IoT.
Gracias a los análisis basados en IA, Vectra AI puede reconocer patrones y desviaciones que las herramientas de seguridad tradicionales podrían pasar por alto, incluso cuando los atacantes emplean IA para mejorar sus métodos. Este enfoque proactivo permite a las organizaciones identificar y responder rápidamente tanto a los ciberataques convencionales como a los impulsados por IA, mejorando significativamente su postura de seguridad en un panorama de amenazas en evolución.