Ciberseguretat: quins són els deu ciberatacs més comuns?

En el món de la ciberseguretat és molt important seguir les tendències, ja que els ciberdelinqüents utilitzen els últims avenços tecnològics, com ara la IA generativa, per aconseguir els seus objectius. Anualment, equips com el del Computer Emergency Response Team for the EU institutions, bodies and agencies (CERT-EU) [1], l’Agència de Ciberseguretat de Catalunya [2] i el de l’Institut Nacional de Ciberseguretat (INCIBE) [3] elaboren informes anuals i mensuals, i publiquen notícies per informar la ciutadania de les amenaces i els atacs en ciberseguretat. I també es parla d’aquests temes d’interès en accions divulgatives com ara taules rodones del Mobile World Congress Barcelona 2024 [4].

A continuació, descrivim els deu ciberatacs més comuns, que s’han traduït al català seguint les recomanacions del TERMCAT [5].

1. Brute force attack, o atac de força bruta. Un atacant que envia moltes contrasenyes o frases de contrasenya amb l’esperança d’arribar a endevinar-les correctament. Per evitar aquest tipus d’atacs, el National Institute of Standards and Technology (NIST) actualitza regularment les seves guies d’identitat digital per establir contrasenyes segures. 
2. Deep fake, o hipertrucatge. Són materials audiovisuals sintètics que han estat manipulats digitalment per reemplaçar, d’una manera convincent, la imatge d’una persona amb la d’una altra. El deep fake és la manipulació de l’aparença facial a través de mètodes generatius profunds. Si bé l’acte de crear contingut fals no és nou, el deep fake aprofita poderoses tècniques d’aprenentatge automàtic i intel·ligència artificial per manipular o generar contingut visual i d’àudio que pot enganyar més fàcilment. Per evitar aquesta mena d’atacs, és important la formació contínua tant en ciberseguretat com en ciència de dades, amb l’objectiu de conscienciar-se d’aquesta mena d’atacs i utilitzar tècniques avançades per reconèixer aquest contingut i problemàtica. També hi ha diverses eines al mercat per detectar i escanejar deep fake. La seva efectivitat depèn de diversos factors, i el panorama evoluciona constantment [6].
3. Denial of service (DoS) i distributed denial of service (DDoS), o atac de denegació de servei i atac de denegació de servei distribuït. L’atacant busca fer que una màquina o recurs de xarxa no estigui disponible per als seus usuaris previstos, i n’interromp els serveis temporalment o indefinidament. La denegació de servei, generalment, s’aconsegueix inundant la màquina o el recurs objectiu amb sol·licituds supèrflues, en un intent de sobrecarregar els sistemes i impedir que es compleixin algunes o totes les sol·licituds legítimes. En un atac de denegació de servei distribuït (atac DDoS), el trànsit entrant que inunda la víctima prové de moltes fonts diferents. Es requereixen estratègies més sofisticades per mitigar aquesta mena d’atacs. Simplement intentar bloquejar una sola font és insuficient, ja que n’hi ha moltes. Un atac DoS o DDoS és anàleg a una situació en què un grup de persones s’amuntega a la porta d’entrada d’una botiga: dificulten l’entrada de clients legítims, interrompen el comerç i fan que el negoci perdi diners. Per prevenir aquesta mena d’atacs, es recomana monitorar els serveis i recursos per detectar-los, i tenir una arquitectura distribuïda de servidors d’equilibri de càrrega per manejar un augment de trànsit.
4. Man-in-the-middle, o atac de l’home enmig. Consisteix a interceptar la comunicació entre dos o més interlocutors. Per fer-ho, algú anònim, anomenat X, se situa entre tots dos i intercepta els missatges d’A cap a B: s’assabenta de la informació i, al mateix temps, deixa que el missatge continuï el seu camí [7]. Encriptar les comunicacions i utilitzar una virtual private network (VPN) poden ser algunes de les estratègies per protegir-nos d’aquesta mena d’atacs.
5. Malware, o programa maliciós. És un programa dissenyat per provocar la interrupció d’una computadora, servidor, client o xarxa informàtica, filtrar informació privada, obtenir accés no autoritzat a informació o sistemes, privar l’accés a informació o fer que, sense que se sàpiga, interfereixi amb la seguretat i privacitat de la computadora de l’usuari. Es tendeix a classificar el malware en un o més subtipus. Els principals subtipus són virus informàtics, cucs, cavalls de Troia (derivat de la història grega), programari maliciós de rescat (ransomware), programari espia (spyware), programari de publicitat (adware), rogue security software, programari maliciós netejador o fals antivirus (wiper) i enregistrador de teclat (keylogger). Tenir instal·lat un programari antivirus per fer escanejos periòdics és una opció per prevenir el programari maliciós.
6. Phishing, o atac pesca; spear phishing attack, o atac de pesca dirigida; QRishing, vishing i smishing. Són tècniques que persegueixen enganyar una víctima i guanyar-se la seva confiança fent-se passar per una persona, empresa o servei de confiança (suplantació d’identitat de tercer de confiança), per tal de manipular-la i fer que dugui a terme accions que no hauria de fer (per exemple, revelar informació confidencial o fer clic en un enllaç). L’spear phishing és un atac dirigit que sol ser a una persona amb un alt càrrec en una institució. El QRishing és un tipus de phishing en què s’utilitzen codis QR. El vishing és un phishing que es fa a través d’una trucada telefònica, mentre que l’smishing es fa a través d’SMS. Dues de les accions que es recomanen per prevenir aquesta mena d’atacs és instal·lar els últims pegats de seguretat en el programari i formar els empleats en ciberseguretat.
7. Ransomware, o programari maliciós de rescat. És un tipus de malware crypto virològic que bloqueja permanentment l’accés a les dades personals de la víctima, excepte que es pagui un rescat. Com es poden mitigar aquests atacs? Fent còpies de seguretat dels recursos i formant els empleats en ciberseguretat.
8. SQL injection attack, o atac d’injecció SQL. La injecció SQL és una de les tècniques de pirateria web més comunes i pot destruir una base de dades. La injecció SQL es fa introduint codi maliciós en sentències SQL, a través de l’entrada d’una pàgina web o formulari. Validar les entrades dels formularis pot ser una bona opció per evitar aquest tipus d’atacs informàtics. 
9. Social engineering attack, o atac d’enginyeria social. Manipular psicològicament les víctimes perquè proporcionin la informació que els ciberdelinqüents necessiten per accedir de manera il·legítima als seus equips. Tenir canals de comunicació clars per a informació crítica i educar la ciutadania en ciberseguretat són aspectes clau per prevenir els atacs d’enginyeria social. 
10. Zero-day vulnerabilities, o vulnerabilitats de dia zero. És un atac contra una aplicació o sistema informàtic que té com a objectiu l’execució de codi maliciós gràcies al coneixement de vulnerabilitats que són desconegudes per als usuaris i per al fabricant del producte. Això representa que encara no s’han arreglat. És freqüent la venda en el mercat negre que aprofita aquestes vulnerabilitats. El preu s’estableix segons el seu impacte i el nombre de dispositius vulnerables. L’atac de dia zero és considerat un dels instruments més perillosos d’una guerra informàtica [8]. Una acció que es recomana per evitar aquesta mena d’atacs és el monitoratge de serveis i recursos.

Referències:

[1] Computer Emergency Response Team for the EU institutions, bodies and agencies (CERT-EU). Thread Landscape Report, 2023 Year Review (febrer 2024), https://cert.europa.eu/publications/threat-intelligence/tlr2023/pdf 

[2] Agència Catalana de la Ciberseguretat, https://ciberseguretat.gencat.cat/ca/inici

[3] Institut Nacional de Ciberseguretat, https://www.incibe.es

[4] Ciberseguridad: un ejército tecnológico para blindar a las pymes de los ciberataques. Spain MWC (febrer 2024), https://youtu.be/O2iowD9wBLU 

[5] Termcat, https://www.termcat.cat/ca 

[6] Bans on deepfakes take us only so far—here’s what we really need. MIT Technology Review, 27 febrer 2024, https://www.technologyreview.com/2024/02/27/1089010/bans-on-deepfakes-take-us-only-so-far-heres-what-we-really-need/

[7] El ataque del “Man in the middle” en la empresa, Institut Nacional de Ciberseguretat (INCIBE), https://www.incibe.es/empresas/blog/el-ataque-del-man-middle-empresa-riesgos-y-formas-evitarlo

[8] Ataque de día cero, Viquipèdia, https://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero