TIPOS DE ATAQUES
ATAQUES DESTINADOS A PAGINAS Y PORTALES WEB
Las páginas
web dado su carácter público son un foco perfecto para los atacantes. Basados
en varios aspectos técnicos del sitio, determinan de qué forma pueden obtener
el control parcial o total de este y utilizarlo para sus propósitos. A
continuación nombro sin muchos detalles los principales tipos de ataques que
pueden utilizarse para tal fin:
Cross Site Scripting (XSS)
se basan en insertar código o script en el sitio web de la víctima, y hacer que el visitante al ingresar al sitio lo ejecute y cumpla el cometido para el que fue escrito, como robo de sesiones o datos vulnerables.
FUERZA BRUTA
crean procesos automatizados que mediante prueba y error logran dar con el usuario y contraseña, generando estos mismos al azar. Este ataque se puede dar en cualquier página que requiera hacer un login para ingresar, aunque hoy en día son muchas las técnicas utilizadas para evitarlo.
Inyección de código
este tipo de ataques inyecta código fuente como SQL, SSI, HTML al sitio web atacado, cambiando su funcionalidad original o revelando datos que se encuentran almacenados en las bases de datos que utilizan.
Denegación del servicio (DOS)
el atacante aprovecha algún error en la programación del sitio web, y hace que el servidor utilice los recursos como procesador y memoria, hasta llegar al punto límite del mismo, y colapsar el servidor web por no dar más recursos. En consecuencia, logra sacar el sitio web del aire.
Fuga de información
: este más que ser un ataque, es un error del administrador del sitio, el cual consiste en dejar público el registro de errores, lo que facilita al atacante ver las fallas exactas del sistema, tomar provecho de estas, y obtener el control parcial o total del sitio.
Cross Site Scripting (XSS)
se basan en insertar código o script en el sitio web de la víctima, y hacer que el visitante al ingresar al sitio lo ejecute y cumpla el cometido para el que fue escrito, como robo de sesiones o datos vulnerables.
FUERZA BRUTA
crean procesos automatizados que mediante prueba y error logran dar con el usuario y contraseña, generando estos mismos al azar. Este ataque se puede dar en cualquier página que requiera hacer un login para ingresar, aunque hoy en día son muchas las técnicas utilizadas para evitarlo.
Inyección de código
este tipo de ataques inyecta código fuente como SQL, SSI, HTML al sitio web atacado, cambiando su funcionalidad original o revelando datos que se encuentran almacenados en las bases de datos que utilizan.
Denegación del servicio (DOS)
el atacante aprovecha algún error en la programación del sitio web, y hace que el servidor utilice los recursos como procesador y memoria, hasta llegar al punto límite del mismo, y colapsar el servidor web por no dar más recursos. En consecuencia, logra sacar el sitio web del aire.
Fuga de información
: este más que ser un ataque, es un error del administrador del sitio, el cual consiste en dejar público el registro de errores, lo que facilita al atacante ver las fallas exactas del sistema, tomar provecho de estas, y obtener el control parcial o total del sitio.
ATAQUES
DESTINADOS A PERSONAS Y USUARIOS DE INTERNET
Al igual que
una persona del común que anda por la calle, entre el tráfico y la gente, cualquier
usuario conectado a Internet está expuesto a riesgos de seguridad, y de él
depende estar protegido y atento para no ser víctima de un ataque virtual.
PHISHING (PESCA DE DATOS)
el atacante a través de diversos métodos intenta obtener datos personales de su víctima, una de las más conocidas es suplantar páginas web, crean un sitio similar al sitio original con el fin de que el visitante ingrese y deje sus datos personales como claves, números de tarjeta etc. Obviamente estos datos llegan al atacante el cual los aprovecha. Por lo general dichos ataques llegan al correo, suplantando empresas y entidades financieras, haciéndolos ingresar al sitio web falso.
SPOOFING
este ataque consiste en suplantar la identidad de la máquina de una persona, a través de sustitución de datos. Por lo general se realiza cuando se crea la conexión entre dos máquinas y una tercera ingresa en medio de la comunicación, haciéndose pasar por la otra utilizando datos como la IP de la máquina.
SCAM
: cuando se regala dinero a cambio de más dinero, el atacante ofrece extrañas recompensas, herencias de origen desconocido o premios de otros países, los cuales para ser reclamados tienen que dar una suma de dinero inferior a la que se recibirá a cambio. Por eso es importante verificar la identidad de las personas que circulan esta información a través de Internet.
INGENIERÍA SOCIAL
el atacante busca suplantar personas y entidades para obtener datos personales, por lo general, estos ataques se realizan mediante llamadas telefónicas, mensajes de texto o falsos funcionarios. Su objetivo no es otro que el de obtener datos importantes para después manipularlos, analizarlos y utilizarlos en contra de la persona. Otros métodos que buscan estafar a las personas son falsos correos que prometen premios.
TROYANO
haciendo referencia al famoso "caballo de Troya" de la Odisea, este ataque informático consiste en instalar programas espías dentro del computador afectado, para realizar diversas acciones en él como manejo remoto, cambio de archivos, robo de información, captura de datos personales, entre otras.
PHISHING (PESCA DE DATOS)
el atacante a través de diversos métodos intenta obtener datos personales de su víctima, una de las más conocidas es suplantar páginas web, crean un sitio similar al sitio original con el fin de que el visitante ingrese y deje sus datos personales como claves, números de tarjeta etc. Obviamente estos datos llegan al atacante el cual los aprovecha. Por lo general dichos ataques llegan al correo, suplantando empresas y entidades financieras, haciéndolos ingresar al sitio web falso.
SPOOFING
este ataque consiste en suplantar la identidad de la máquina de una persona, a través de sustitución de datos. Por lo general se realiza cuando se crea la conexión entre dos máquinas y una tercera ingresa en medio de la comunicación, haciéndose pasar por la otra utilizando datos como la IP de la máquina.
SCAM
: cuando se regala dinero a cambio de más dinero, el atacante ofrece extrañas recompensas, herencias de origen desconocido o premios de otros países, los cuales para ser reclamados tienen que dar una suma de dinero inferior a la que se recibirá a cambio. Por eso es importante verificar la identidad de las personas que circulan esta información a través de Internet.
INGENIERÍA SOCIAL
el atacante busca suplantar personas y entidades para obtener datos personales, por lo general, estos ataques se realizan mediante llamadas telefónicas, mensajes de texto o falsos funcionarios. Su objetivo no es otro que el de obtener datos importantes para después manipularlos, analizarlos y utilizarlos en contra de la persona. Otros métodos que buscan estafar a las personas son falsos correos que prometen premios.
TROYANO
haciendo referencia al famoso "caballo de Troya" de la Odisea, este ataque informático consiste en instalar programas espías dentro del computador afectado, para realizar diversas acciones en él como manejo remoto, cambio de archivos, robo de información, captura de datos personales, entre otras.
Estos son
algunos de los muchos tipos de ataques, unos más técnicos, otros artesanales,
pero todos con los mismos objetivos: hacer caer los sistemas, generar terror
cibernético, pero sobre todo usurpar la información, buscando aquella que tenga
valor y represente una ganancia para el atacante. Si usted administra algún
sitio web, haga todas las implementaciones de seguridad posibles para hacerle
la vida difícil a los atacantes, de lo contrario si es un usuario de internet,
así como en la vida real, debe estar alerta y atento para no ser víctima de un
ataque informático.
No hay comentarios:
Publicar un comentario