Para que los delitos informáticos se materialicen, los ciberdelincuentes no dependen de la fuerza física, sino de una combinación de debilidades de software (fallas técnicas) y debilidades humanas (errores de manipulación).
Las técnicas más utilizadas en la actualidad por los atacantes se dividen en tres grandes enfoques: técnicas de manipulación humana, técnicas de explotación técnica y técnicas de intercepción.
1. Técnicas de Manipulación Humana (Ingeniería Social)
Estas técnicas no atacan a la computadora, sino a la mente del usuario, explotando emociones como la urgencia, el miedo, la curiosidad o la confianza en la autoridad.
- Phishing (y sus variantes): El atacante envía un correo electrónico falso imitando a una entidad legítima (un banco, soporte técnico, una entidad estatal) para que la víctima ingrese a un enlace fraudulento y entregue sus contraseñas.
- Smishing: Lo mismo, pero a través de mensajes de texto (SMS) o WhatsApp.
- Vishing: Estafas mediante llamadas telefónicas, muchas veces simulando ser el área de fraudes de un banco.
- Baiting (Señuelo): Consiste en dejar un dispositivo de almacenamiento físico (como un pendrive USB) infectado con malware en un lugar público o concurrido (un estacionamiento, una oficina, una universidad). La curiosidad lleva a la víctima a conectarlo a su computadora, infectando el sistema de forma inmediata.
- Pretexting (Creación de escenarios): El delincuente investiga previamente a la víctima para crear una historia creíble (un pretexto). Por ejemplo, llamar a un empleado haciéndose pasar por un técnico de soporte de la misma empresa para pedirle «temporalmente» sus credenciales de acceso para solucionar un error urgente.
2. Técnicas de Explotación Técnica (Software y Código)
Aquí el atacante utiliza herramientas informáticas para romper las defensas digitales de un sistema, aprovechando errores de programación o configuraciones débiles.
- Explotación de Vulnerabilidades (Exploits): Los atacantes buscan fallas o «agujeros» en el código de los sistemas operativos o aplicaciones que no han sido actualizados (fallas conocidas). Si descubren una falla que nadie más conoce, se denomina Zero-Day (Día Cero), y es altamente peligrosa porque no existe defensa previa.
- Ataques de Fuerza Bruta y Credential Stuffing:
- La fuerza bruta utiliza programas automatizados que prueban millones de combinaciones de contraseñas por segundo hasta adivinar la correcta.
- El credential stuffing toma bases de datos de contraseñas filtradas en ataques anteriores a otros sitios web y las prueba de forma masiva en nuevas plataformas, asumiendo que los usuarios reutilizan sus claves.
- Inyección SQL (SQLi): Consiste en introducir comandos de bases de datos camuflados dentro de los campos de texto comunes de una página web (como el formulario de contacto o el buscador). Si la web no filtra esa entrada, el servidor ejecuta las instrucciones ocultas, permitiendo al atacante descargar toda la base de datos de la empresa.
3. Técnicas de Intercepción y Monitoreo
Se enfocan en capturar la información en el momento exacto en que se genera o se transmite, sin alterar el funcionamiento del sistema para no levantar sospechas.
- Sniffing (Husmeo de red): Utilización de software especializado para registrar y analizar todo el tráfico de datos que circula por una red informática. Es la técnica reina cuando un atacante se conecta a redes Wi-Fi públicas para capturar los datos no cifrados de los demás usuarios conectados.
- Keylogging: Instalación de un software o un pequeño dispositivo físico que registra cada pulsación que el usuario hace en su teclado. De esta manera, el atacante obtiene contraseñas, correos electrónicos y mensajes redactados en texto plano.
- IP Spoofing (Suplantación de IP): Modificar las cabeceras de los paquetes de datos para falsear la dirección IP de origen. De este modo, la computadora atacante engaña a una red haciéndose pasar por un equipo de confianza dentro de la misma organización para saltarse las restricciones del cortafuegos (firewall).
La combinación es la norma: Un delito informático rara vez utiliza una sola técnica. El escenario más común combina la ingeniería social con la explotación técnica: el atacante usa un correo de phishing para engañar al usuario, instala un keylogger a través de un archivo adjunto malicioso y luego realiza un ataque de credential stuffing con los datos obtenidos.