¿Qué es un ataque activo?
Un ataque activo es un exploit de red en el que un pirata informático intenta realizar cambios en los datos del objetivo o en los datos en ruta hacia el objetivo.
Hay varios tipos diferentes de ataques activos. Sin embargo, en todos los casos, el actor de la amenaza toma algún tipo de acción sobre los datos del sistema o los dispositivos en los que residen los datos. Los atacantes pueden intentar insertar datos en el sistema o cambiar o controlar los datos que ya están en el sistema.
Tipos de ataques activos
A continuación se muestran algunos de los tipos más comunes de ataques activos.
Ataque de mascarada
En un ataque de enmascaramiento, el intruso finge ser un usuario particular de un sistema para obtener acceso o para obtener mayores privilegios de los que está autorizado. Los ataques de enmascaramiento se llevan a cabo de varias formas diferentes, incluidas las siguientes:
- el uso de identificaciones de inicio de sesión (ID) y contraseñas robadas;
- encontrar brechas de seguridad en los programas; y
- omitiendo la autenticación
Un intento puede provenir de un empleado dentro de una organización o de un actor de amenazas externo que usa una conexión a la red pública. La autenticación débil puede proporcionar un punto de entrada para un ataque de enmascaramiento y facilitar la entrada de un atacante. Si los atacantes reciben la autorización con éxito e ingresan a la red, dependiendo de su nivel de privilegio, es posible que puedan modificar o eliminar los datos de la organización. O pueden realizar cambios en la configuración de la red y la información de enrutamiento.
Por ejemplo, un atacante externo puede usar direcciones de Protocolo de Internet (IP) falsificadas para eludir el firewall de la víctima y obtener acceso desde una fuente no autorizada. Para hacer esto, el atacante puede usar un rastreador de red para capturar paquetes IP de la máquina de destino. Otro dispositivo se utiliza para enviar un mensaje al firewall con la dirección IP falsificada. Luego, el firewall permite el acceso a la máquina de la víctima.
Ataque de secuestro de sesión
Un ataque de secuestro de sesión también se denomina ataque de repetición de sesión. En él, el atacante aprovecha una vulnerabilidad en una red o sistema informático y reproduce la información de sesión de un sistema o usuario previamente autorizado. El atacante roba el ID de sesión de un usuario autorizado para obtener la información de inicio de sesión de ese usuario. El atacante puede usar esa información para hacerse pasar por el usuario autorizado.
Un ataque de secuestro de sesión ocurre comúnmente en aplicaciones web y software que utilizan cookies para la autenticación. Con el uso de la ID de sesión, el atacante puede acceder a cualquier sitio y a cualquier dato que esté disponible para el sistema o el usuario que está siendo suplantado.
Ataque de modificación de mensajes
En un ataque de modificación de mensajes, un intruso altera las direcciones del encabezado del paquete para dirigir un mensaje a un destino diferente o para modificar los datos en una máquina objetivo. Los ataques de modificación de mensajes son comúnmente ataques basados en correo electrónico. El atacante aprovecha las debilidades de seguridad en los protocolos de correo electrónico para inyectar contenido malicioso en el mensaje de correo electrónico. El atacante puede insertar contenido malicioso en el cuerpo del mensaje o en los campos del encabezado.
Ataque de DOS
En un ataque de denegación de servicio (DoS), los atacantes abruman el sistema, la red o el sitio web de la víctima con tráfico de red, lo que dificulta que los usuarios legítimos accedan a esos recursos. Dos formas en que puede ocurrir un ataque DoS incluyen:
- Inundación. El atacante inunda la computadora de destino con tráfico de Internet hasta el punto de que el tráfico abruma al sistema de destino. El sistema de destino no puede responder a ninguna solicitud o procesar ningún dato, por lo que no está disponible para los usuarios legítimos.
- Datos con formato incorrecto. En lugar de sobrecargar un sistema con solicitudes, un atacante puede enviar estratégicamente datos que el sistema de la víctima no puede manejar. Por ejemplo, un ataque DoS podría dañar la memoria del sistema, manipular campos en los paquetes de protocolo de red o explotar servidores.
En un exploit distribuido DoS (DDoS), una gran cantidad de sistemas comprometidos, también conocidos como botnet o ejército zombi, atacan a un solo objetivo con un ataque DoS. Un DDoS usa múltiples dispositivos y ubicaciones para lanzar solicitudes y abrumar el sistema de una víctima de la misma manera que lo hace un ataque DoS.
¿Qué son los ataques pasivos?
Los ataques activos contrastan con los ataques pasivos, en los que una parte no autorizada monitorea las redes y, a veces, busca puertos abiertos y vulnerabilidades. Los atacantes pasivos tienen como objetivo recopilar información sobre el objetivo; no roban ni cambian datos. Sin embargo, los ataques pasivos suelen ser parte de los pasos que toma un atacante en preparación para un ataque activo.
Algunos ejemplos de ataques pasivos incluyen:
- Conducción de guerra. Este es un método de reconocimiento de redes inalámbricas que implica conducir o caminar con una computadora portátil y una tarjeta Ethernet inalámbrica portátil habilitada para Wi-Fi para encontrar redes inalámbricas no seguras. Una vez encontrados, estos atacantes utilizan estas redes para acceder ilegalmente a las computadoras y robar información confidencial.
- Buceo en contenedor. Este ataque pasivo involucra a intrusos que buscan información en dispositivos desechados o notas que contienen contraseñas en los contenedores de basura. Por ejemplo, el atacante puede recuperar información de discos duros u otros medios de almacenamiento que no se hayan borrado correctamente.
Cómo prevenir un ataque activo
Hay varias formas de contrarrestar un ataque activo, incluidas las siguientes técnicas:
- Cortafuegos y sistemas de prevención de intrusiones (IPSes). Los firewalls y los IPS son sistemas de seguridad diseñados para bloquear el acceso no autorizado a una red. Un firewall es parte de la infraestructura de seguridad de la red. Supervisa todo el tráfico de la red en busca de actividad sospechosa y bloquea todo lo que identifica. También tiene una lista de remitentes y receptores de confianza. De manera similar, un IPS monitorea el tráfico de la red en busca de actividad maliciosa y actúa cuando se detecta un ataque.
- Aleatorio claves de sesión. Una clave de sesión es una clave temporal creada durante una sesión de comunicación que se utiliza para cifrar los datos transmitidos entre dos partes. Una vez que finaliza la sesión, la clave se descarta. Esto proporciona seguridad porque las claves solo son válidas durante un período de tiempo específico, lo que significa que nadie más puede usarlas para acceder a los datos una vez finalizada la sesión.
- Contraseñas de un solo uso (OTP). Estas contraseñas son cadenas de caracteres numéricas o alfanuméricas generadas automáticamente que autentican a los usuarios. Solo son válidos para un uso. Las OTP a menudo se utilizan en combinación con un nombre de usuario y una contraseña para proporcionar autenticación de dos factores.
- Kerberos protocolo de autenticación. Este protocolo de autenticación es un sistema para autenticar usuarios para servicios de red basados en terceros confiables. Fue desarrollado en el Instituto de Tecnología de Massachusetts a fines de la década de 1980. La autenticación Kerberos es una forma de demostrarle a un servicio de red que un usuario es quien dice ser. Proporciona un servicio de inicio de sesión único que permite a los usuarios utilizar las mismas credenciales de inicio de sesión (nombre de usuario y contraseña) para acceder a varias aplicaciones.
Aprenda a crear una estrategia de ciberseguridad para prevenir ataques activos y de otro tipo en este guía de planificación de ciberseguridad.