Los virus y el malware (software malicioso) en general
Ningún dispositivo que tenga un sistema operativo está exento de este riesgo, una infección que puede robar información, dañar el dispositivo o controlarlo. La forma más común de propagación es la piratería, piensa por un segundo, ¿crees que la gente que piratea juegos los entrega gratuitamente sin sacar nada a cambio? Cómo norma general en internet, nada es gratis; y cuándo aparentemente lo es, es porque tú eres el producto. Los más comunes son el ransomware, que encripta tus archivos y pide un rescate (normalmente un pago en criptomonedas); el adware, que te llena el sistema de anuncios intrusivos, haciendo que los “malos” ganen dinero por cada vez que ves un anuncio; el spyware que espía cada cosa que haces, de manera que si escribes los datos de la tarjeta de crédito o una contraseña el atacante podrá observarlo.
El phishing
A menudo nos llegan correos electrónicos del banco, una tienda o la DGT avisándonos de que tenemos una deuda o una multa. Pero, ¿cómo va a ser eso posible si no tengo ni carné de conducir? A eso es a lo que nos referimos con phishing, una estrategia de estafa que consiste en enviar correos electrónicos o SMS engañosos, con la intención de que demos nuestras contraseñas o datos bancarios. Por suerte, por algún motivo los que crean estas estafas no saben escribir del todo bien y se suelen ver faltas de ortografía. Aún así, la recomendación es llamar a la empresa que supuestamente ha emitido el mensaje y preguntar por la veracidad de este.
Ataques de fuerza bruta
Si tu contraseña es “1234” estás apañado, porque solo se tienen que probar mil doscientas treinta y cuatro combinaciones desde “0000” hasta dar con el resultado correcto. Cualquier persona con un mínimo de tiempo libre o conocimientos de programación podría conseguir “hackearte”. Es por eso que normalmente al registrarnos estamos obligados a poner mayúsculas, caracteres especiales y más de 6 caracteres. Como recomendación personal, los caracteres especiales del español (“¿”, “¡”) son más seguros, ya que la heurística, un tipo de fuerza bruta que prueba las combinaciones más probables primero, deja para el final esos dos.
Exposición voluntaria de los datos personales
Cada vez que publicas una foto de ti en internet expones tu cara, tu ubicación y mucha otra información privada. Esto es bastante lógico y no hay que pensar mucho para darse cuenta. Lo que mucha gente no sabe es que Google puede ver las fotos que tienes con copia de seguridad en Google Photos; que el chat privado de Instagram es entre tú, la otra persona y Mark Zuckerberg (y todos los trabajadores de la plataforma); o que de vez en cuándo se filtran los correos electrónicos de las personas registradas en páginas con las que seguramente no quieras que se te relacione. La mejor parte es que en este caso tienes el control absoluto, tú decides cómo usar cada plataforma, y hay una muy buena guía de cómo protegerte al 99% de esta vulnerabilidad. Incluso si crees que no tienes nada que esconder, nunca sabes cuándo pueden buscar información sobre ti en un trabajo nuevo o (un ejemplo más extremo) el estado puede ponerse en tu contra y tirar de hilos de los que no quieres.
Ataques DDoS
Un malware infecta varios ordenadores (decenas, cientos o incluso miles) y crea así una red con la que después puede atacar a un servicio. Por ejemplo, forzando la descarga de una imagen de una página web cientos de veces por minuto. De esta manera, en un minuto cien ordenadores infectados podrían descargar cien veces una foto de 10MB, una carga de (100 · 100 · 10MB) 100GB en un minuto. Esto es insoportable para una pequeña página web o aplicación, lo cual acabaría en un cierre forzado. Se puede pedir un rescate para detener el ataque, pero también se hacen con la intención de generar pérdidas económicas o causar el cierre del sitio. Desde el punto de vista del ordenador infectado usado para atacar, la forma de protegerse es la misma que para la mayoría de malwares, evitar descargar cosas de dudosa procedencia. Para las webs expuestas a los ataques, hay servicios de protección como el que ofrecen Cloudflare o Vercel.
Man in the middle (MITM)
Como el nombre indica, hombre en medio. Imagina que estás en el McDonald’s y ves que hay una red WiFi abierta a la que conectarte. Estás contento de tener internet gratis. ¡Qué guay! Pero hay un problema, esa red no es realmente de McDonald’s y tan solo estás conectado al portátil de un atacante. Ahora ese atacante está de por medio entre cualquier cosa a la que te conectes a través de internet y tu dispositivo, de manera que si buscas fotos de gatitos en google, el MITM podrá ver la búsqueda que has hecho y los resultados que has obtenido. Puedes deducir lo que pasará cuándo realices un pago y tus datos bancarios se dirijan a internet. Adicionalmente, podrá interactuar con la información y cambiar lo que quiera, cambiando la búsqueda de gatitos por algo que seguramente no quieras buscar. Por suerte, la mayoría de servicios cifran la información de extremo a extremo, de manera que el MITM solo puede ver algo así como “ghjskas5das48da648”. Un ejemplo de esto es la ‘s’ en “https”, que significa básicamente que nadie puede meterse de por medio en la comunicación. Por lo tanto, para protegerte, asegúrate de que la red pública a la que te conectas sea benigna (por ejemplo, preguntando al establecimiento) y por si acaso, limita tus actividades a páginas web que empiecen por “https://”.
Sniffing de red
Significa literalmente “husmear en la red”. El atacante se conecta a la misma red a la que estás tú conectado y observa toda la información que circula por ella. De manera similar al anteriormente mencionado MITM, un atacante haciendo sniffing verá cómo has buscado fotos de gatitos o has realizado un pago, con la diferencia de que será más discreto, ya que está actuando de observador externo, no de peaje. La forma de evitar estos ataques es similar a la anterior, usa páginas web seguras (empezadas por “https://”) siempre que estés usando redes públicas y, mejor aún, evita las redes públicas en general.
Inyecciones SQL
Los datos de una aplicación o página web se almacenan en algún lugar. A ese lugar lo llamamos base de datos, un almacén virtual estructurado y complejo al cual los usuarios tenemos acceso restringido (normalmente observar nuestra propia información y poco más). La forma de contactar con las bases de datos es a través de “oraciones” en un lenguaje especial llamado SQL. Pues bien, los atacantes pueden forzar “oraciones” fraudulentas pidiendo a la base de datos toda la información de todos los usuarios (incluyendo DNI, contraseñas, compras recientes, dirección física y todo lo que puedan llegar a tener guardado sobre ti). Si bien he sido bastante positivo con el resto de ataques explicando distintas soluciones, en este caso estamos bastante desamparados. Empresas como Sony (tanto Sony Pictures como el sitio web de PlayStation) o HBGary, empresa de ciberseguridad, han sido víctimas de inyecciones SQL. Es más, incluso el ejército de los Estados Unidos y la Generalitat de Catalunya han sido víctima, por lo que estamos en las manos de los desarrolladores, esperando a que hagan su trabajo correctamente. Las únicas recomendaciones son no repetir una contraseña en varios lugares (o al menos en los lugares más importantes como bancos), tratar de dar la mínima cantidad posible de datos privados y rezar para que los que sí que des estén a buen recaudo.
Botnet para la minería de criptomonedas
Una botnet es un grupo de ordenadores infectados con la intención de usar su potencia de procesamiento con algún objetivo. El anteriormente mencionado ataque DDoS se hace a través de una botnet. Entonces, ¿por qué hay una categoría dedicada a las criptomonedas? Si bien el DDoS se lleva haciendo años, con la nueva tecnología del dinero criptográfico se ha creado una nueva infección. Para entenderlo, hay que hacer un pequeño repaso de cómo funcionan las criptomonedas. Cada vez que se hace una transacción alguien debe validarla y registrarla en algún lugar. A ese lugar se le llama bloque y los mineros son quienes se encargan de conseguirlo. Para ello, ponen ordenadores a trabajar día y noche probando combinaciones (como los ataques de fuerza bruta) hasta que suena la campana. Es entonces cuándo reciben una cantidad de la criptomoneda que estén minando, viéndose así recompensado su trabajo. Si eres perspicaz ya habrás sacado conclusiones: cuántos más ordenadores tengas trabajando más veces sonará la campana a tu favor. Ahí aparece el usuario atacado, regalando su potencia de procesamiento al minero malicioso. Como formar parte de una botnet se consigue siendo infectado por un virus, si has leído el primer punto sabrás cómo evitarlo.
Ingeniería social
Una forma bonita de decir “manipulación”. Una llamada telefónica supuestamente proveniente de Movistar, alguien diciéndote que si le dejas tu ordenador unos días te lo arreglará y hará que vaya más rápido, o un mensaje de Whatsapp de Elon Musk pidiéndote tus datos para regalarte un Tesla. Ejemplos claros de cómo personas pueden engañarte para robarte información digital. La única manera de evitarlo es analizando la situación y dándote cuenta de que Elon Musk no te escribiría por Whatsapp, obviamente lo haría por X (esto es una broma, y si te lo has creído desconfía de cualquiera que te escriba por internet).
Cibercrímen profesional
Aunque no afecten directamente a los usuarios como tú o como yo, creo que es un tema interesante para el que haya llegado a este punto. Los criminales profesionales son capaces de pensar fuera del molde e idear ataques para los que nadie está preparado. ¿Sabes las lucecitas de tu router, tu pendrive, que parpadean sin ningún sentido? ¿Y si te dijera que sí que tienen algún sentido y que se puede descifrar? Más aún, ¿y si alguien consigue descifrar las lucecitas que parpadean en un ordenador de una central nuclear? Se han realizado tres experimentos sobre esto y si bien no tenemos pruebas de usos reales, podemos estar de acuerdo en que la CIA o el KGB tienen mentes brillantes capaces de darle una aplicación útil a esta idea. De igual manera, hay muchos otros experimentos que consiguen filtrar información a través del sonido de los ventiladores, uso de IA para automatizar ciberataques y mucho más.