TEMAS PROFESIONALES
Anatomía de un ataque
Un ciberataque, aunque puede ser extremadamente complejo, se puede
resumir en algo tan simple como el mecanismo o procedimiento por el que un
atacante trata de obtener acceso a un sistema y privilegios dentro de este para
manejarlo a su antojo.
El ataque se puede realizar de tantas formas como seamos capaces de
imaginar: aprovechando vulnerabilidades del sistema (errores en el propio
sistema que permiten el acceso al mismo), utilizando ingeniería social (enga-ño
al usuario para que proporcione, sin darse cuenta, acceso al mismo), y un
sinfín de procedimientos técnicos, o no, para tener acceso, ya sea físico o
virtual al sistema. Todos estos mecanismos se pueden combinar entre sí o con
cualquier ingenio propio de películas del mismísimo James Bond, para que,
finalmente, el resultado sea el mismo, acceder y manejar el sistema objetivo al
antojo del ciberatacante.
Ejemplo: en un teléfono móvil, el atacante trata de acceder al sistema y
obtener privilegios de administrador para tener el control de este. Con este
privilegio, podría ver los archivos guardados, activar o desactivar cámaras,
micrófonos, GPS, Bluetooth, o cualquier subsistema/sensor del aparato en
cuestión. Esto, se puede trasladar a cualquier sistema informático conectado a
una red (o no).
La información es poder
Cuando pensamos en que no somos objetivo para nadie, estamos equivoca-dos.
Cometemos el error de pensar en que los atacantes solo buscan las claves
de lanzamiento de los misiles, o el PIN de la cuenta corriente del señor Forra-dez,
y no nos damos cuenta de que cualquier tipo de información es útil, ya
sea únicamente con fines comerciales, o con otros más oscuros.
En los tiempos que corren, el análisis de grandes volúmenes de informa-ción
personal, permiten sacar conclusiones incluso «no observables» por el
ojo humano. Y aunque esto es otro campo infinito, en donde entran términos
como Big Data, «IA» y otros muchos, el resultado es que del análisis de la
información obtenida mediante un ciberataque, se pueden sacar conclusiones
muy útiles para empresas proveedoras de servicios o de ventas de productos,
y/o de otros muchos campos.
¿Y si trasladamos esto al ámbito profesional? ¿Y si fuéramos capaces de
analizar el comportamiento del personal de una unidad en la red?
Ejemplo: durante el último mes, he estado monitorizando el comporta-miento
de cierto personal destinado en la misma unidad. Este personal ha
realizado numerosas búsquedas de alojamiento en la ciudad A, además,
buscan con asiduidad, excursiones en el país X y han hecho también varias
768 Noviembre