En el presente artículo se identifican en primer lugar los factores que aprovechan los ciberataques para progresar, aumentar su número/impacto/complejidad, así como las entidades y dimensiones implicadas. En segundo lugar, se muestran los motivos del incremento desmesurado de los ciberataques. Así mismo, se exploran las acciones/comportamientos integrados en los ciberataques. Por último, se especifican algunas arquitecturas/patrones de fases utilizados en los ciberataques.

INTRODUCCIÓN.
Los ciberataques (causados por terceras partes y actores perversos (ciber-atacantes/malware-autónomo) que acceden a sistemas, redes, información de forma no autorizada) se aprovechan de todo tipo de vulnerabilidades/fisuras/deficiencias/multi-vectores de ciberataque en todos los agentes implicados, en cualquier entorno (en tierra, mar, aire, espacio y ciberespacio), en cualquier entidad (aplicaciones (Web, APPs, APIs, podcast, PLC/ICS/CPS, videoconferencia, documentos Office, software de desarrollo, IDE (Entorno de Desarrollo Integrado), etc. con códigos deficientes, comprometidos, con configuraciones defectuosas, sin auditar su código de forma estática y dinámica por no haberse desarrollado utilizando el modelo DevSecOps (que posibilita que la ciberseguridad se integre desde el principio hasta el final en todo el ciclo de desarrollo software, firmware, etc.), con desarrollos improvisados, nefastos basados en fragmentos de código cogidos de cualquier sitio (open-source, privados, etc. infectados), en cualquier tipo de dispositivo (smartphones/móviles, tablets, PCs, impresoras, AMR (Robots Móviles Autónomos), routers, objetos IoT, vehículos, satélites, HSE (Hardware Security Engine), componentes, equipos, sistemas embebidos, instrumentación, etc. sin actualizaciones o actualizaciones deficientes OTA/FOTA (Firmware-Over-The-Air), sin protección de elevado nivel), en toda clase de personas/clientes (se nos engaña y desinforma con MDM (Misinformation-Disinformation-Malinformation) basada en ingeniería social, synthetic media, deep-learning, IA, ficheros adjuntos de correos electrónicos, links/botones/iconos, códigos QR, visitar sitios Web comprometidos/infectados, ver videos y fotos contaminadas, utilizar Redes Sociales (como Tik-Tok, Instagram, Facebook, etc.), incitando a leer correos electrónicos y mensajes de mensajería instantánea (como Whatsapp, Telegram, etc. con cifrados deficientes y comprometidos), etc.), en todo tipo de sistemas operativos (no actualizados, deficientes, mal actualizados o antiguos que ya no se les actualiza su proveedor/fabricante, etc.), en toda clase de navegadores Web (obsoletos, con actualizaciones comprometidas o no actualizados), en todo tipo de organizaciones (proveedores, suministradores, vendedores, distribuidores, comerciantes mayoristas/minoristas, entidades financieras, entidades sanitarias, etc. con protección deficiente), procesos, procedimientos, protocolos, mecanismos de gobernanza, etc. con protección improvisada. Los factores de la amplificación sin precedentes en el número de ciberataques (tanto 0-day como conocidos puros y modificados, mimetizados, ocultos, etc.) son el creciente número de vulnerabilidades/multi-vectores de ciberataque (deficiencias, fallos, errores, bugs, flaws, etc. dando lugar a un incremento de las superficies de ciberataque) en todos los ámbitos: códigos software/firmware, interfaces/APIs, APPs, BDs, configuraciones deficientes, hardware, personas (con sus conductas y actuaciones nefastas), protocolos, CPS, etc.). Dentro de los ciberataques existen infinitas de acciones-comportamientos, como espionaje/exfiltración, robo/manipulación de información, accesos no autorizados (por ejemplo, intento de acceso ilegal a las cámaras Web y micrófonos, acceso ilegal a crear archivos, acceso ilícito a datos de proceso y de subproceso, intento ilegal de conexión de datos USB utilizando un pendrive o una toma de alimentación eléctrica contaminada pirata, etc.), intentos de intrusión (desde una dirección IP o una MAC o una URL de ciberataque, etc.), captura de información, wiping-borrados-físicos/cifrados de información, etc. La operativa y comportamiento de los ciberataques se basa en orquestación de estrategias, tácticas, técnicas, procedimientos, funciones de bajo o muy bajo nivel, etc. adaptativos. Los ciberataques utilizan patrones de comportamiento estructurados en fases con elección y distribución aleatoria, así como el empleo de orquestación de bases de funcionamiento basadas en múltiples playbooks, mimetización, etc. El “hardening” es el conjunto de métodos y técnicas que permiten reducir las superficies de ciber-ataque. El “SIM Swapping” permite obtener duplicados fraudulentos de tarjetas SIM asociadas a líneas de teléfono sin el consentimiento de sus titulares para suplantar la identidad de los mismos y acceder a sus informaciones confidenciales, pueden estar implicadas operadoras de telecomunicaciones cuyas políticas de ciberseguridad-privacidad sean muy deficientes.

MOTIVOS DEL INCREMENTO DESMESURADO ACTUAL DE CIBERATAQUES.
Las principales motivos, causas, razones, desafíos del incremento exponencial en el número de ciberataques son: la aceleración de la digitalización/transformación digital masiva (indiscriminada, improvisada, caótica, frenética, con protección deficiente o sin ciberseguridad), la compartición (desmesurada, a ciegas), la confianza (que parece “indiferencia”, cada vez más creciente, sin investigar, comprobar y verificar), la hiper-conectividad ubicua (crece y crece la conectividad con protección deficiente), la tecnificación e introducción de nuevas tecnologías (cada vez en más entornos, en general no testadas, con protección deficiente. Tecnologías como la inteligencia artificial, Blockchain, contratos inteligentes, NFT, nubes, infraestructuras IoT, metaversos, etc. La dependencia en aumento de la tecnología en nuestra Sociedad crea un incremento cada vez mayor de ciber-amenazas/ciber-ataques cada vez mayores, más peligrosos y más sofisticados), la automatización frenética (en todos los ámbitos no testada y con deficiencias no resueltas), el control generalizado en todo (el uso cada vez mayor de Internet videoconferencias, APPs/APIs para todo: vigilar viviendas y descargadas incluso de Google Play y App Store, mensajes de mensajería instantánea con cifrado deficiente, correo electrónico, navegación Web, SMS/MMS, etc.), el negocio/comercio electrónico (cada vez menos protegido donde, por ejemplo, nos encontramos con el “formjacking” que actúa maliciosamente en compras on-line y sistemas de pago), el crecimiento de ecosistemas IoT (sin protección o protección deficiente. Muchos dispositivos IoT ejecutan sistemas operativos antiguos que no pueden ser parcheados, utilizan contraseñas débiles o por defecto y no son monitorizados para detectar vulnerabilidades. Según un informe Gartner el número de dispositivos IoT (y todos sus derivadas IoMT (Internet of Medical Things), IIoT (Industrial Internet of Things), IoAIT (Internet of Artificial Intelligence Things), IoCT (Internet of Children Things), etc.) conectados en todos los dominios técnicos alcanzará un trillón para el 2025), el incremento exagerado de las nubes (cloud-fog-edge computing privadas, públicas, mixtas con protección deficiente, deslocalizadas, ocultas, en vehículos submarinos/voladores, satélites, etc.), el creciente uso de ecosistemas de cadenas de suministro (sin protección o ciberseguridad deficiente), las redes de satélites/estaciones base (con vulnerabilidades 0-day), el metaverso de todo tipo y el de tipo industrial en particular (con protección deficiente donde nos encontramos con tecnologías no testadas como los gemelos digitales, la realidad virtual, aumentada y disminuida, los robots móviles, fijos, domésticos, para labores sanitarias, para cuidar enfermos e infancia, con IA, ML, DL, NLP, redes neuronales profundas/convolucionales, synthetic media, etc.), etc. La clave de todo lo anterior no es hacerlo para que funcione (el comentario de algunos desarrolladores mediocres/sin experiencia es “hacerlo rápido y si falla su ciberseguridad ya se parcheará si se dan cuenta”. Eso además de ser una temeridad nunca queda bien del todo. Otra frase famosa deplorable es “ya vale, aunque se haga de cualquier forma y con cualquier software con tal de que funcione y sea rápido”). La clave para hacer bien las cosas es hacerlas con ciberseguridad/protección de alto nivel, por diseño, con defensa/protección en profundidad, con elevado grado de madurez y ciber-resiliencia, especificando múltiples certificaciones internacionales-nacionales (realizadas por organismos acreditados para certificar/independientes. Los productos, servicios, empresas, etc. deben estar multi-certificados en ciberseguridad con varios estándares-normativas internacionales/españoles como: ISO/IEC 27001:2022 (SGSI), ISO 23247 (Digital-Twins), ISO 27701 (Gestión de la privacidad), NIST/SP 800-46, ISO/IEC 27002:2022, ISO/SAE 21434 (Vehículos), UNECE/R155 (Vehículos), IEC 62443-4-2/UNE 17025 (UNE=Asociación Española de Normalización), ESN:2022 (AENOR ha obtenido la acreditación de la ENAC (Entidad Nacional de Acreditación) para poder certificar la conformidad con la certificación del ENS:2022 (ENS = Esquema Nacional de Seguridad) de España. ENAC ha otorgado la acreditación ISO 20000:2018 a APPLUS+CERTIFICATION. AENOR ha dado la certificación ENS a la empresa ACCENTURE. AENOR ha otorgado la certificación ISO 27001 a la empresa COUNTERCRAFT. AENOR ha entregado dos certificaciones a GMR Canarias una conforme al ENS y la segunda por implantar la norma UNE-ISO/IEC 27001. El CCN (Centro Criptológico Nacional) ha certificado ciertos productos de Microsoft), procesos de seguridad funcional como ISO 26262. Los Laboratorios ICSA certifican soluciones de ciberseguridad de proveedores de tecnología. La Universidad Carnegie-Mellon proporciona la acreditación oficial CERT (Computer Emergency Resonse Team), etc.). Además, muy importante, se debe especificar mediante un etiquetado y sellos realizados por organismos acreditados/independientes la medida del nivel de ciberseguridad (de productos, servicios, empresas, etc.) y que sea de alto nivel (por ejemplo, utilizando el CC (Common Criteria) con nivel EAL-7. El nivel SIL-4 máximo nivel de seguridad en el sector ferroviario, con normativas como EN50126/50128/50129, etc.). El nivel SIL-2 de integridad de la seguridad sobre EN ICS 62061 no es el máximo. ENAC y el CCN han acreditado al laboratorio JTSEC como Laboratorio Common Criteria. La compañía FACEPHI ha obtenido la certificación PINAKES para mejorar con verificación de identidad digital la protección bancaria, pasa a formar parte de la cadena de suministro del Centro de Cooperación Interbancaria y depende del Banco España. El equipo auditor de la compañía Internet Security Auditors ha certificado a MAFRE con la certificación PCI-DSS (Payment Card Industry Security Standards).

IDENTIFICACIÓN DE ACCIONES Y COMPORTAMIENTOS MALICIOSOS INTEGRADOS EN LOS DE CIBERATAQUES.
¿Qué existe dentro de los ciberataques y cuál es su dinámica operativa? Los ciber-ataques operan utilizando una orquestación de diversas estrategias, tácticas, técnicas, acciones, comportamientos, procedimientos, funciones, etc. como: el reconocimiento-exploración, que trata de buscar, identificar y seleccionar objetivos de ciber-ataque, observando las debilidades del objetivo, utilizando reconocimientos activos y pasivos (aquí se integran herramientas y técnicas de búsquedas en Web, Redes Sociales, Foros, Dark Web, uso de capturadores de cookies, empleo de rastreadores/trackers de navegación Web, sniffers, cookies, etc.); la weaponization, que trata de las actividades preparatorias con objeto de establecer una infraestructura necesaria para el ciber-ataque; la entrega, que integra todas las técnicas resultantes de la transmisión de un objeto weaponizado (o de ciber-armamento ofensivo) al entorno objetivo; la ingeniería social, integra todas las técnicas dirigidas a manipular a las personas para que realicen acciones peligrosas e inseguras (como abrir un fichero adjunto infectado que se incluye en un correo electrónico recibido, enchufar a un PC un pendrive USB de procedencia desconocida sin saber que se encuentra infectado, etc. Se integran herramientas de psicología/psiquiatría/desinformación para engañar, convencer, generar deficiencias cognitivas, impedir el razonamiento, etc.); la Ingeniería inversa/reversing. Esta táctica permite al ciber-atacante/malware buscar dentro de ficheros para encontrar datos confidenciales como contraseñas, claves, secretos, debilidades, etc. Esta táctica descodifica programas para encontrar la versión fuente original. Posibilita obtener programas fuente a partir de ejecutables, procesados, ensamblados, etc. Se trata de obtener información vital secreta a partir de programas software, APPs/APIs, contraseñas hard-coded, etc. donde se encuentran claves y poder conocer las vulnerabilidades, fallos, etc. encerrados para generar exploits contra herramientas software y hacer que el malware/ciber-ataque progrese. La ingeniería inversa realiza el proceso del “reversing” de ejecutables, es decir, compilación de programas fuente en diferentes lenguajes de programación o de un ensamblador o una codificación obteniendo los programas originales, fuentes y descodificados para encontrar secretos útiles, vulnerabilidades, etc. la explotación, integra todas las técnicas ideadas para explotar las vulnerabilidades en sistemas que pueden, entre otras cosas, generar ejecución de código; la persistencia, integra todas las técnicas que posibilitan cualquier acceso, acción o cambio para que un sistema proporcione a un ciber-atacante/malware presencia persistente en el sistema; la evasión de defensas, integra todas las técnicas que pueda utilizar un ciber-atacante para evadir la detección o evitar otros tipos de defensas con ocultación esteganográfica/mimetización; la Instalación, que trata de añadir ficheros y código ejecutable como RAT (Remote Access Trojan) necesario para que el ciber-atacante/malware mantenga el control sobre el dispositivo, máquina, sistema, etc. víctima. Se instala el malware en el objetivo (dispositivo, sistema, etc.) víctima. Para que la carga útil infecte puede necesitarse que la ejecute la víctima; el C&C (Command & Control), integra todas las técnicas que permiten a los ciber-atacantes comunicarse con sistemas por él controlados dentro de una red objetivo o sus dominios (por ejemplo, servidores del ciber-atacante preparados para realizar rápidamente el craqueo de contraseñas); el pivotar, le permite al ciber-atacante tunelizar el tráfico a través del sistema controlado hacia otros sistemas que no están directamente accesibles; el descubrimiento, integra todas las técnicas que posibilitan al ciber-atacante/malware obtener conocimiento sobre un sistema y su entorno de red; el escalado de privilegios, integra todas las técnicas/procedimientos que posibilitan a un ciber-atacante/malware obtener permisos mayores sobre un sistema o red; la ejecución, integra todas las técnicas que permiten a un ciber-atacante/malware la ejecución de código controlado por el ciber-atacante/malware sobre un sistema local o remoto; el acceso a credenciales, integra todas las técnicas que posibilitan a un ciber-atacante/malware el acceso o el control sobre sistemas, servicios o credenciales de dominio; el movimiento lateral, integra todas las técnicas/procedimientos que permiten horizontalmente a un ciber-atacante/malware el acceso y control de otros sistemas remotos; la recogida, integra todas las técnicas utilizadas por un ciber-atacante/malware para identificar y recoger datos de una red objetivo antes de la exfiltración; la exfiltración, integra todas las técnicas que posibilitan o ayudan a un ciber-atacante/malware a extraer/capturar, degradar, destruir, interrumpir, manipular datos/información de una red/dispositivo objetivo; el impacto, integra todas las técnicas que posibilitan a un ciber-atacante/malware manipular, interrumpir o destruir los datos o sistema objetivo; los objetivos, integra todos los objetivos socio-técnicos, socio-económicos, geo-políticos de un ciber-ataque que son realizados para cumplir un objetivo estratégico de mayor nivel, etc.

ARQUITECTURAS UTILIZADAS POR LOS CIBERATAQUES.
Examinemos algunas arquitecturas utilizadas por los ciber-ataques especificadas por sus patrones de fases/etapas:
(A) Patrón de ciberataque basado en la arquitectura A1, denominado “kerberoasting”, un ciber-atacante pide a través de un usuario X en una máquina comprometida un ticket de servicio Kerberos para un servicio, captura dicho ticket TGS de la memoria de la máquina de la víctima luego la craquea la credencial de servicio y por último tiene la contraseña para la cuenta de servicio y accede al servidor, por ejemplo, MSSQL para hacer fechorías. La arquitectura A1 está integrada por las siguientes fases/pasos: (1) La máquina víctima donde esta el usuario X hace una búsqueda LDAP en el controlador de dominio (DC) para encontrar usuarios de dominio con registros SPN (Service Principle Name). (2) El controlador de dominio (DC) le responde con una lista de usuarios (donde figura el usuario X). (3) El usuario X responde al DC con una petición del ticket TGS (Ticket-Granting-Service) para el registro SPN. (4) El controlador de dominio (DC) le responde con el ticket TGS para el registro cifrado con el hash del “service user”. (5) El ciber-atacante que vigila la máquina de la víctima envía a un servidor suyo los tickets TGS recogidos vía C&C (Command and Control) para craquear su contraseña utilizando herramientas como JTR (John The Ripper), Hashcat, etc. (6) El servidor del ciber-atacante responde con la contraseña en texto en claro craqueada del usuario de servicio. (7) La máquina de la víctima envía al servidor MSSQL que ejecuta un servicio para el usuario X. (B) Patrón de ciberataque basado en la arquitectura A2, denominado LotL (Living off the Land), cuyo flujo de proceso consta de las siguientes fases: (1) Un link malicioso transportado en un correo electrónico phishing/spam descarga un fichero .zip infectado que enlaza a un fichero LNK, que utiliza wmic.exe para descargar varios ficheros XLS. (2) El fichero final XLS contiene JavaScript que usa BitsAdmin.exe para descargar un fichero codificado-cifrado. (3) Esta carga útil codificada-cifrada se descodifica-descifra con ayuda de certutil.exe, seguidamente regsvr32 carga la dll descifrada-decodificada. (4) El fichero dll utiliza carga reflexiva para cargar otro dll que entonces inyecta otro fichero dll que es el malware final. (C) Patrón de ciberataque basado en la arquitectura A3, consta de las siguientes fases: (1) Pre-exploit integra todas las tácticas antes de la activación del exploit. Estas son (i) Reconocimiento. Identificar un objetivo. Desarrollar inteligencia para informar las actividades del ciberataque. Definir un plan para realizar los objetivos deseados. (ii) Weaponización. Desarrollar o adquirir una ciber-weapon (por ejemplo, malware a medida, exploits 0-day). Colocarlo en una forma que pueda ser entregado y ejecutado en el dispositivo/sistema/red objetivo-víctima. (iii) Entrega. Se entrega la ciber-weapon al sistema objetivo (por ejemplo, utilizando un ciberataque a la cadena de suministro, spearphishig, APIs, etc.). (2) Activación del exploit integra la siguiente táctica: Explotar. Se explotan vulnerabilidades. Se instala y activa el malware en el sistema objetivo inicial. (3) Post-exploit integra todas las tácticas después de la activación del exploit. Estas son: (i) Control. Se gestionan los objetivos iniciales. Se realiza un reconocimiento interno. Se comprometen objetivos adicionales. (ii) Ejecución. Se ejecuta el plan y se realizan los objetivos deseados (por ejemplo, falsificar datos, denegar servicios, exfiltrar datos críticos, etc.). (iii) Mantenimiento. Se mantiene una presencia a largo plazo en los dispositivos/sistemas/redes objetivo (por ejemplo, borrar sin posibilidad de recuperación indicaciones de presencia o actividades previas). (D) Patrón de ciberataque basado en la arquitectura A4, se especifica con las siguientes fases-etapas: (1) Punto de entrada. La víctima accede a un sitio Web secuestrado (no necesita hacer clic para arrancar un drive-by-download malicioso en menos de un segundo). El malware existente se descarga silenciosamente y la víctima no se da cuenta de que es infectada. Mas del 80% de sitios maliciosos son sitios legítimos infectados. (2) Distribución. El malware inicial redirecciona a un servidor de exploits utilizando técnicas fast-flux basadas en identificar con qué componentes trabaja la víctima (sistemas operativos Windows, Linux, iOS, etc. AVs, navegadores Chrome, Safari, etc., Java, etc.) existen millares de agentes de distribución de malware. (3) Explotación. Paquetes de exploits intentan aprovecharse de las vulnerabilidades del sistema operativo, navegador Web, Java, media player, PDF reader, otros plugins, etc. (4) Infección. El malware descarga una carga útil maliciosa que realiza robo/modificación/ secuestro de información, bloqueo de acceso a recursos/activos (DoS) (el ransomware cifra los datos para pedir un rescate o bien los limpia (tecnología “wiping”) para evitar su recuperación impidiendo su reversión), extorsión (el malware doxware extrae datos para amenazar y exigir rescate para evitar publicar sus secretos), etc. (5) Ejecución. El malware se pone en contacto con servidores C&C de apoyo para exfiltrar información confidencial, credenciales, información de tarjetas de crédito, etc. o engaña a la víctima directamente en transacciones de pagos, etc. (E) Patrón de ciberataque basado en la arquitectura A5, se especifica con las siguientes fases-etapas: (1) Reconocimiento: se recoge información del sistema de forma activa (utilizando herramientas para obtener información del sistema interaccionando como: puertos abiertos, mapa de red, etc.) o pasiva (no existe interacción directa con el sistema). La metodología de recogida de informaciones la siguiente: (i) Describir información inicial. (ii) Localizar el rango de red. (iii) Verificar las máquinas activas. (iv) Descubrir puertos abiertos, así como puntos de acceso. (v) Detectar sistemas operativos. (vi) Descubrir servicios sobre puertos. (vii) Mapear la red. El “footprinting” es la recogida de información sobre el perfil de seguridad realizada de forma metódica. Un “footprint”, describe la estructura y topología de un sistema y recoge información del tipo: nombres de dominio, bloques de red, servicios y aplicaciones de red, arquitectura, IDS/IPS, direcciones IP, mecanismos de control de acceso, números de teléfono, direcciones de contacto, mecanismos de autenticación y enumeración de sistemas. Esta fase preparatoria recoge información utilizando diversos métodos (“dumpster-diving” búsqueda en la papelera de información sensible desechada (como recibos, datos de contratos, tecnologías en uso, etc.); uso de buscadores de dispositivos como https://www.shodan.io ; “Google hacking” (conjunto de técnicas para hachear páginas web o servidores utilizando los operadores de búsqueda de Google), podemos encontrar servidores con un fichero denominado “password.txt” (intitle:”index of” “index of /” password.txt), dispositivos hardware online, bases de datos volcadas con usuario/contraseñas, usuarios/claves de administradores de la Web, ficheros/mensajes con nombres de usuario, versiones de servidores o productos vulnerables, etc. (2) Escaneo: Permite probar activamente las vulnerabilidades que pueden explotarse. es una prolongación del reconocimiento activo destinado a detectar vulnerabilidades específicas. Aquí se pueden utilizar: (i) Escaners de puertos para reconocer los servicios activos. La primera defensa es filtrar los puertos, no obstante, el ciber-atacante puede conocer las reglas de filtrado. (ii) Escaners de vulnerabilidades. El ciber-atacante sólo debe encontrar una. El defensor debe tapar decenas, incluso disponiendo de IDS/IPS el ciber-atacante puede utilizar técnicas de evasión en las diferentes fases. Se utilizan herramientas como Nmap para el escaneo de puertos TCP/UDP; El “fingerprinting” es un aspecto importante del escaneo, consiste en detectar el sistema operativo de la máquina ciber-atacada y las aplicaciones/APPs que se ejecutan ya que esto permite determinar los puntos de ciberataque a través de vulnerabilidades conocidas para el sistema operativo y las aplicaciones. La información sobre vulnerabilidades, se expresa en: (a) Common Vulnerabilities and Exposures list (CVE, https://cve.mitre.org/about/ búsqueda de vulnerabilidades por nombre CVE o navegar por la lista US-CERT. (b) Nacional Vulnerability Database (NVD, https://web.nvd.nist.gov/view/vuln/search. Búsqueda en los recursos del gobierno USA sobre vulnerabilidades. Herramienta para el análisis de vulnerabilidades: Openvas; Herramienta para la auditoría de ciberseguridad: Lynis. (3) Obtener acceso: Permite explotar una o varias vulnerabilidades para acceder al sistema. Existe un extenso abanico de posibilidades: (i) Vector de ciber-ataque: inyección de código – tipo de ciber-ataque: buffer-overflow, virus, malware. (ii) Vector de ciber-ataque: basado en web – tipo de ciber-ataque: SQL-injection (ocurre sobre una base de datos conectada a un sitio Web de modo que el ciber-atacante manipula una query-SQL estándar. Inyecta malware en la caja de búsqueda del sitio Web vulnerable permitiendo que el servidor revele información valiosa, también puede ver, editar y borrar tablas de las BDs), XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgecy), modificar información. (iii) Vector de ciber-ataque: Basado en red – tipo de ciber-ataque: DoS (Denial of Service), DDoS (Distributed Denial of Service), interceptación de claves y datos sensibles utilizando MITM (Man-In-The-Middle), robo-falsificación de credenciales. (iv) Vector de ataque: Ingeniería social – tipo de ciber-ataque: phishing, suplantación, recogida de inteligencia. (v) Ciber-ataque a las contraseñas con herramientas como JTR (John The Riper) o Johnny. (vi) Las herramientas de “network spoofing” posibilitan cambiar las direcciones IP o MAC en PDUs (Protocol Data Units), por ejemplo: dnschef, arpspoo, ettercap. (vii) Los sniffers de red permiten monitorizar los datos de red, por ejemplo, Wireshark, Tcpdump, Dsniff. (4) Mantener el acceso: Permite al ciber-atacante/malware mantenerse en el sistema para lograr el objetivo del ciber-ataque a largo plazo. El ciber-atacante puede utilizar los recursos de la máquina, puede usar el sistema para lanzar otro ciber-ataque o mantener un perfil de detección bajo para explorar el sistema. El ciber-atacante puede instalar: (i) Backdoor o puerta trasera para facilitar el acceso (cymothoa puerta trasera que inyecta su Shellcode en un proceso existente). (ii) Troyano para obtener/transferir información. (iii) Rootkit para obtener acceso al sistema operativo. (iv) Keyloggers, botnet, framegrabber. Como ciber-defensa/protección, la víctima como defensa puede instalar: IDS/IPS, NG-FW, IAM, DLP, AV, Honeypot, Honeynets, Sandboxing-multinivel, etc. (5) Borrar/cubrir huellas: Posibilita al ciber-atacante borrar las evidencias del ciber-ataque. Se pueden utilizar troyanos o rootkit para borrar y esconder la actividad del ciber-atacante de forma que pueda mantener el acceso y evadir su detección. Otras técnicas son: (i) La esteganografía permite esconder datos en imágenes, audio, video, etc. (ii) Tunneling, aprovecha la posibilidad de transportar un protocolo sobre otro. El espacio libre de los paquetes de datos TCP o de las cabeceras IP/TCP pueden utilizarse para esconder información, lanzando un ciber-ataque contra otro sistema. Como salvaguardas/contramedidas se puede utilizar: IDS/IPS basado en host y/o red, anti-malware/NG-AV, etc. (iii) Mimetización. Confundirse con su fondo/entorno.

CONSIDERACIONES FINALES.
Desde el 2012 se han registrado miles de ciber-ataques reales contra todo tipo de vehículos (coches, autobuses, camiones, furgonetas, flotas de vehículos) con el objetivo de robarles, controlarlos de forma remota (acelerándolos, frenándolos, bloqueando su dirección en curvas, disparando airbag, abriendo puertas, arrancando y haciendo circular modo zombi, etc.), robar información personal del conductor y ocupantes, contactos, mensajes de sus móviles, ubicaciones, fotos, rutas que se realizan, ciber-ataques a la privacidad y a la vida de las personas, a la integridad de los sistemas del vehículo, etc. El término MDM se compone de tres elementos: Misinformation (información falsa que en principio no está planeada para causar daño), Disinformation (información falsa que está planeada para manipular, causar daño o influenciar personas, organizaciones y países en direcciones caóticas e incorrectas) y Malinformation (información que tiene su origen en la verdad o medias verdades, pero se exagera de modo que engaña y causa daños potenciales). Según Kaspersky los ciberataques consiguen su primer acceso utilizando: vulnerabilidades explotadas, cuentas comprometidas, correos electrónicos infectados, pero la explotación de APPs libres accesibles tanto desde la red interna como desde Internet se ha convertido en el vector de ciberataque inicial más utilizado para penetrar en el perímetro de una organización. Según datos del Grupo Cavell el valor del mercado de las comunicaciones en la nube superará los 2.170 millones de euros sólo en el Reino Unido (es una oportunidad para los ciber-ataques). Según el Informe de Leet-Security de 2022 el 95% de las empresas esta muy preocupado por la protección de la cadena de suministro; se destacan como principales motivos: fuga de información (53,7%), protección de datos de los clientes (72,3%), indisponibilidad de servicios (66,5%), protección de datos corporativos (38,8%), seguridad de los proveedores y terceras partes (18,6%), responsabilidad corporativa (20,2%) y pérdida de propiedad intelectual (10,6%). Según Kaspersky los ciber-atacantes/malware suelen pasar más de un mes dentro de la red de la empresa antes de ciber-atacar (en el caso del ransomware 2.0 para exfiltrar y cifrar datos). En los ciber-ataques denominados cryptojacking el ciber-atacante accede ilegalmente al computador de la víctima y lo convierte en esclavo para que le realice operaciones de cripto-minería de criptomonedas. En los ciber-ataques denominados watering hole, el ciber-atacante infecta sitios Web frecuentados por grupos de víctimas, de esta forma infecta a los sistemas de las víctimas y accede ilegalmente a la información personal de dichas víctimas y tomar el acceso remoto a sus computadores infectados. Un ciberataque tipo “0-day” (o “día-cero”) es aquel que explota vulnerabilidades no conocidas (denominadas 0-day) para acceder a la víctima (p.e. un satélite) y causarle daños, espionaje, mal funcionamiento, etc. Los ciberataques con “trigger-effect” crean un efecto domino que una vez empiezan infectan, deterioran, comprometen y lo derrumban todo. Según predicciones del IDC “en 2026, el 85%de las empresas combinarán la experiencia humana con tecnologías como la IA, el ML (Machine Learning), la NLP (Procesamiento de Lenguaje Natural), el reconocimiento de patrones y los gráficos de conocimiento para producir percepciones, predicciones y recomendaciones cada vez más precisas y sensibles al contexto de cara a aumentar la previsión en toda la organización, haciendo que los trabajadores sean un 25% más productivos y eficientes”, ¿incorporarán las medidas de ciberseguridad de alto nivel de madurez, ciber-resiliencia, certificación y medida de ciberseguridad necesarias verificadas por entidades seriamente acreditadas?.

REFERENCIAS.
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2022.
- Areitio, J. “Exploración multidimensional y multipolar del malware ofensivo”. Revista Conectrónica. Nº 253. Noviembre 2022.
- Areitio, J. “Cancelación anticipada por parte del DAIM/MIAD de singularidades y técnicas generadoras de ciberataques insidiosos”. Revista Conectrónica. Nº 255. Enero, 2023.
- Batina, L., Bäck, T., Buhan, I. and Picek, S. “Security and Artificial Intelligence: A Crossdisciplinary Approach”. Springer. 2022.
- Mack, S.D. “The DevSecOps Playbook: Deliver Continuous Security at Speed”. Wiley. 2023.
- Wittkop , J. “The Cybersecurity Playbook for Modern Enterprises: An end-to-end guide to preventing data breaches and cyber attacks”. Packt Publishing. 2022.
- Potter, M. “We Are All Targets: How Renegade Hackers Invented Cyber War and Unleashed an Age of Global Chaos”. Hachette Books. 2023.
- Ustun, T.S. “Power System Protection in Future Smart Grids: Achieving Reliable Operation with Renewable Energy, Electric Vehicles and Distributed Generation”. Academic Press. 2023.
- Khojasteh, Y., Xu, H., Zolfaghari, S. “Supply Chain Risk Mitigation: Strategies, Methods and Applications”. Springer. 2022.