Los hackers no son ciberdelincuentes, sino personas con un alto conocimiento informático. A pesar de las definiciones y creencias populares, no se debe usar esta palabra como sinónimo de cibercriminal o pirata informático. Otra cuestión es si la ética y la moral de cada uno de ellos les permite usar dichos conocimientos para hacer cosas maliciosas.
Realmente los hackers tienen altos conocimientos de seguridad informática, programación, conocimientos de sistemas operativos, etc. Con sus conocimientos pueden auditar sistemas para mejorar su seguridad mediante pentesting, facilitar la vida de los usuarios creando scripts o programas que automaticen ciertas tareas, o conseguir detectar cosas ocultas.
Los trucos que usan los hackers pueden ser aplicados tanto a nuestro PC como también a dispositivos móviles en algunos casos. Con ellos se puede escanear vulnerabilidades de hardware y software, explotarlos, detectar bugs en el software, acceder a redes, o conseguir privilegios dentro de un sistema para hacer casi cualquier cosa.
1Cómo trabajan los hackers
Los hackers, cuando trabajan para cuestiones de seguridad, tienen una forma de proceder muy específica. Tanto si están inmersos en un pentesting o prueba de penetración autorizada para auditar a una organización, empresa, o gobierno, como si lo están haciendo de forma ilegal, se necesita pasar una fases o etapas:
- Information gathering o reconocimiento: es la primera fase y de ella, aunque parezca absurda, va a depender en gran medida el éxito del ataque. Mientras más información se obtenga de la víctima o el objetivo, mucho mejor se podrá planificar el vector de ataque que vamos a usar. En el rastreo y exploración del entorno se necesita conocer información del usuario, red y sistema. Por lo general, el usuario es la parte más débil y por tanto la más vulnerable. Por lo que se pueden usar técnicas de ingeniería social para intentar descubrir contraseñas, nombres de usuario, etc. Las herramientas usadas para ello van desde un simple ping, whois, Google Dorks, FOCA, Maltego, búsquedas por Internet, etc.
- Análisis de datos, escaneo y enumeración: después hay que ordenar y sacar alguna ventaja de los datos que hemos obtenido en la primera etapa. En esta etapa también se suele hacer un escaneo de vulnerabilidades, escaneo de puertos abiertos o mapeado de la red. Eso se puede usar para saber por dónde se puede aplicar el vector de ataque en la siguiente etapa. Se usan herramientas como nmap, traceroute, OpenVAS, Nessus, w3af, etc.
- Explotación: es la aplicación del vector de ataque elegido, es decir, el tipo, forma o ruta del ataque que se va a aplicar. Dentro de esta etapa también se necesita llevar un procedimiento concreto. Primero hay que ganar acceso, es decir, entrar en el sistema de la víctima. Luego podemos hacer permanente dicho acceso. Es decir, garantizarnos que podemos volver a acceder la próxima vez si necesitamos perpetuar en el tiempo el ataque (backdoors, rootkits,…). Las herramientas más populares son: Metasploit, THC Hydra, John The Ripper, Wireshark, ettercap, dnsniff, tcpdump, tablas rainbow, diccionarios, CORE Impact, herramientas para hacer ataques DoS, malware, o simplemente el robo/alteración de información confidencial, etc.
- Limpiar el rastro: al finalizar el objetivo, se debería limpiar el rastro que se ha dejado en registros del sistema, etc. De lo contrario será fácilmente detectable que se ha producido un ataque y, si es un ataque ilegal, incluso se podría identificar al atacante si no ha tomado unas precauciones. Por ejemplo, nos podemos dirigir al registro del sistema y eliminar datos relacionados con inicios de sesión que hayamos usado, entradas referentes a nuestra actividad, intentos de login fallidos, etc.
Aunque ese es el procedimiento esencial, no siempre es así. Por ejemplo, cuando los hackers hacen ataques con malware, normalmente se desarrolla el malware, se analiza para que sea FUD (Fully UnDetectable) y luego se libera para que infecte a sistemas informáticos y se expanda. En este caso, normalmente no se necesita de tanta información previa.
Conociendo el sistema operativo y la arquitectura que se desea atacar o afectar con el malware y comprobando que los sistemas antivirus o de seguridad no detectan el malware sería suficiente para los hackers. Ese malware puede ser desde un ransomware, un troyano, virus, gusano, etc., según el efecto negativo que se busca.
Phishing
Phishing es una técnica muy empleada por los hackers en la actualidad. El motivo es que es muy sencilla de implementar, a veces basta con replicar una página web o simplemente enviar un correo a la víctima.
Lo que se hace es hacerse pasar por otra persona, o por una empresa. Por ejemplo, por Endesa, Correos, Telefónica, Microsoft, etc., y llamarte por teléfono o enviarte un email para pedirte la contraseña o credenciales de un servicio alegando que hay un fallo técnico o cualquier otra artimaña.
En otras ocasiones, se replica una página web de un banco, servicio, o de una tienda, para que el usuario caiga en la trampa e introduzca su contraseña o compre un producto. El caso de la contraseña, será reenviada al atacante. Cuando se trata de hacer una compra, se te cobrará el pedido y jamás te llegará.
Las páginas webs son muy parecidas a las originales, sin apenas cambios visibles y con una URL difícilmente detectable. Por ejemplo http://original.es y una falsa http://originɐl.es. Solo cambia un caracter y si vamos con prisas o no nos fijamos, estaremos perdidos…
Ingeniería social
La ingeniería social es la técnica que usan los hackers para obtener información de la víctima, ya sea entablando amistad con ella o usando algún tipo de engaño.
Por ejemplo, si tienes confianza con la víctima y puedes acceder al despacho o donde tiene el PC, en ocasiones se suele tener un post-it con las contraseñas apuntadas bajo el teclado, pegado en el monitor, etc.
En otras ocasiones, simplemente conocer los gustos o datos personales es suficiente, porque usan contraseñas que son fechas de nacimiento, nombre de sus mascotas, algo relacionado con sus aficiones, etc. Por eso no se recomienda usar ese tipo de password.
Vulnerabiliades
Mantener el equipo actualizado es vital para evitar ataques. Los hackers se suelen usar vulnerabilidades de software y hardware para poder penetrar en tu equipo.
Tener un equipo actualizado y un sistema seguro no garantiza nada, pero puedes evitar que se exploten vulnerabilidades bien conocidas que no hayas parcheado.
En ocasiones son vulnerabilidades que aun no se conocen o zero-day que no tienen solución por el momento. Esos casos son los más críticos.
Control de la webcam y micrófono
La webcam y el micrófono son dos puntos críticos. Deberías tapar la webcam de tu equipo, ya que los hackers pueden acceder a ella para espiarte.
Siempre se recomienda taparla con una cinta adhesiva o, si son webcams externas, desconectarlas siempre que no las estemos usando.
Incluso en ordenadores como los Apple Mac, donde una luz indica si está activa o no, no puedes estar tranquilo, puesto que se puede apagar ese LED de forma sencilla cuando has accedido a un PC.
Robo WiFi
Las redes WiFi abiertas y públicas son peligrosas, puesto que algunas tienen un objetivo de atraer a usuarios que se conectan para que un atacante pueda estar dentro de la misma red que tu dispositivo y así facilitar las cosas.
Pero nuestras redes privadas y protegidas por contraseña tampoco son ajenas a hackers, ya que pueden realizar ataques para conseguir robarte el WiFi.
Lo que se suele usar es una serie de programas que expulsan al usuario legítimo de la red Wifi a la que están conectados. Cuando el usuario vaya a introducir de nuevo la contraseña y conectarse, esnifando el tráfico de red se puede captar dicha contraseña para tener acceso a ella.
Contraseñas
Las contraseñas más seguras son aquellas que no son palabras que se encuentren en diccionarios, con más de 8 caracteres de longitud y que combinen letras minúsculas, mayúsculas, números y símbolos.
Es decir, una contraseña tipo wTyU4p4@_ sería bastante segura. El motivo es que los hackers usan ingeniería social, diccionarios automatizados que irán probando palabra a palabra, tablas rainbow, etc.
Los ataques de fuerza bruta irán probando con diferentes nombres de usuario y contraseñas para terminar averiguando la correcta. Y todo automatizado por software.
Foros, redes sociales y bolsas de trabajo
En las redes sociales solemos dejar gran cantidad de información personal. Aunque parezca algo inocente no lo es, los hackers pueden sacar mucha información. Por ejemplo, una simple fotografía se puede geolocalizar, conseguir el software empleado para hacerla, nombre de usuario, etc., todo de los metadatos.
Los foros también sueles dejar mensajes sobre problemas con tu software y gran cantidad de información, como versiones, sistema operativo, etc., algo que les facilita el trabajo de information gathering al atacante.
Las bolsas de trabajo o apps de empleo también son una buena fuente. Por ejemplo, una empresa que demande expertos en seguridad o necesite reforzar el departamento de seguridad estará denotando una debilidad que se podría aprovechar.
Malware
Por último, cuando los hackers crean un malware FUD, pueden liberarlo para infectar a multitud de sistemas. El objetivo de este malware puede ser variado.
Un virus o gusano, simplemente busca generar daño, o el malfuncionamiento de un equipo. Un troyano podría ser un backdoor o puerta trasera para los intrusos, un keylogger para detectar pulsaciones de teclado y obtener contraseñas, o un ransomware cifrar datos relevantes y pedir un rescate por ellos.
El caso de una botnet, sería algo un poco más serio, usando bots en una red para que se ejecuten de forma automática y autónoma con objetivos poco lícitos.