Los 10 tipos de ciberataques más comunes y cómo defenderte de cada uno

El phishing es el ataque más prevalente del mundo. Consiste en engañar a la víctima para que revele información sensible (contraseñas, datos bancarios, credenciales corporativas) mediante mensajes que suplantan la identidad de entidades legítimas: su banco, su empresa, servicios de paquetería, plataformas como Netflix o Microsoft.

El spear phishing es una variante dirigida: el atacante investiga a la víctima en redes sociales y LinkedIn para personalizar el mensaje y hacerlo más creíble. El whaling es spear phishing dirigido a directivos. El smishing usa SMS y el vishing usa llamadas de teléfono.

• Verificar el remitente real del correo (no solo el nombre visible)
• Pasar el cursor sobre los enlaces antes de hacer clic para ver la URL real
• Activar MFA/2FA en todas las cuentas críticas (incluso con credenciales robadas, el atacante no puede entrar)
• Usar filtros anti-phishing en el correo corporativo
• Formación periódica con simulaciones de phishing

El ransomware cifra todos los archivos de un sistema o red y exige un rescate (normalmente en criptomonedas) para proporcionar la clave de descifrado. Los grupos de ransomware modernos practican la doble extorsión: además de cifrar, exfiltran datos antes y amenazan con publicarlos si no se paga.

El vector de entrada más común es el phishing (adjunto malicioso o enlace), seguido de la explotación de vulnerabilidades en servicios RDP (Remote Desktop Protocol) expuestos y credenciales robadas. Una vez dentro, el atacante puede pasar semanas moviéndose lateralmente antes de activar el cifrado.

• Backups regulares con la regla 3-2-1, incluyendo una copia offline desconectada de la red
• No exponer RDP directamente a internet; usar VPN con MFA
• EDR (Endpoint Detection and Response) con detección de comportamiento
• Segmentación de red para limitar el movimiento lateral
• Parcheo inmediato de vulnerabilidades críticas

Malware (malicious software) es el término paraguas para todo software diseñado con intenciones maliciosas. Incluye:

• Virus: se adjuntan a archivos legítimos y se propagan al ejecutarlos
• Troyanos: se disfrazan de software legítimo para engañar al usuario y obtener acceso
• Spyware: monitoriza la actividad del usuario en secreto, capturando contraseñas y datos
• Rootkits: se ocultan en el sistema operativo para mantener acceso persistente sin ser detectados
• Keyloggers: registran cada tecla pulsada, incluyendo contraseñas y números de tarjeta
• Botnet/RAT: dan control remoto del equipo infectado al atacante

• Antivirus de nueva generación con análisis de comportamiento (no solo firmas)
• No descargar software de fuentes no verificadas
• Mantener el sistema operativo y aplicaciones actualizados
• Principio de mínimo privilegio: no ejecutar con cuenta de administrador en el día a día

Un ataque de Denegación de Servicio Distribuida (DDoS) inunda un servidor, servicio o red con tráfico falso procedente de miles de equipos comprometidos (botnet), hasta dejarlo inaccesible para sus usuarios legítimos.

Los ataques DDoS modernos pueden generar cientos de Gbps de tráfico malicioso. Se usan para extorsionar empresas, sabotear competidores, como distracción mientras se realiza otro ataque, o con motivación política o ideológica (hacktivismo).

• Servicios de mitigación de DDoS (Cloudflare, Akamai, AWS Shield)
• Limitación de tasa (rate limiting) en APIs y servidores web
• Balanceo de carga y escalado automático en la nube
• CDN para distribuir el tráfico geográficamente

La inyección SQL es el ataque #1 en aplicaciones web según OWASP. Ocurre cuando un atacante introduce código SQL malicioso en campos de entrada de una aplicación (formularios, URLs) y el servidor lo ejecuta directamente en la base de datos.

Con SQLi, un atacante puede: extraer toda la base de datos (incluyendo contraseñas y datos de clientes), modificar o borrar datos, bypasear la autenticación de login simplemente escribiendo ' OR '1'='1 como contraseña, y en algunos casos ejecutar comandos en el servidor.

• Usar consultas parametrizadas o prepared statements (nunca concatenar input del usuario en SQL)
• ORM (Object-Relational Mapping) como Django ORM o SQLAlchemy protegen por defecto
• WAF (Web Application Firewall) para detectar y bloquear payloads SQLi
• Principio de mínimo privilegio en las credenciales de base de datos

El XSS inyecta código JavaScript malicioso en páginas web que luego se ejecuta en el navegador de otras víctimas. El XSS almacenado (Stored XSS) es el más peligroso: el script malicioso se guarda en la base de datos y se ejecuta cada vez que alguien visita la página afectada.

Las consecuencias incluyen: robo de cookies de sesión para secuestrar cuentas, redirigir a usuarios a páginas de phishing, registrar pulsaciones del teclado en formularios, y descargar malware en los dispositivos de las víctimas.

• Sanitizar y escapar correctamente todo output hacia el navegador
• Content Security Policy (CSP) en cabeceras HTTP
• Atributo HttpOnly en las cookies para impedir acceso desde JavaScript
• Frameworks modernos (Vue, React, Angular) escapan automáticamente el HTML por defecto

En un ataque Man-in-the-Middle, el atacante se interpone en la comunicación entre dos partes (por ejemplo, entre tú y tu banco) sin que ninguno lo sepa, pudiendo escuchar, leer y modificar el tráfico en tiempo real.

Ocurre frecuentemente en redes WiFi públicas sin cifrar (aeropuertos, cafeterías) mediante técnicas como ARP spoofing o la creación de puntos de acceso WiFi falsos con nombres que imitan redes legítimas ("Starbucks_Free_WiFi").

• Usar HTTPS siempre; nunca introducir datos sensibles en páginas HTTP
• VPN en redes WiFi públicas
• HSTS (HTTP Strict Transport Security) para que los navegadores siempre usen HTTPS
• Verificar certificados SSL/TLS antes de confiar en una conexión

Los ataques de fuerza bruta prueban sistemáticamente combinaciones de contraseñas hasta encontrar la correcta. El credential stuffing usa listas de credenciales robadas en otras brechas (hay miles de millones disponibles en la dark web) para probarlas en otros servicios, aprovechando que muchas personas reutilizan contraseñas.

Estas dos amenazas se potencian mutuamente: cada brecha de datos alimenta las listas de credential stuffing usadas en los siguientes ataques.

• Contraseñas únicas para cada servicio (gestor de contraseñas)
• Autenticación multifactor (MFA) — hace inútil el credential stuffing
• Limitación de intentos de login y CAPTCHA
• Verificar en haveibeenpwned.com si tu email aparece en brechas conocidas

En lugar de atacar directamente a una organización bien defendida, el atacante compromete a un proveedor de software o servicio de confianza que tiene acceso a los sistemas del objetivo. La víctima instala la actualización comprometida sin saberlo.

Son especialmente peligrosos porque explotan la confianza implícita en el software legítimo. Una sola cadena de suministro comprometida puede afectar a miles de organizaciones simultáneamente.

• Verificar la integridad de software con firmas digitales y hashes
• Principio de mínimo acceso para proveedores externos
• Monitorización de comportamiento anómalo post-actualización
• SBOM (Software Bill of Materials) para conocer las dependencias de tu software

La ingeniería social explota la psicología humana en lugar de vulnerabilidades técnicas. Incluye el phishing (ya visto), pero también el pretexting (crear un escenario falso convincente), el baiting (dejar USBs infectados en el parking de la empresa), el quid pro quo (ofrecer ayuda técnica para obtener acceso) y el tailgating (colarse físicamente en instalaciones siguiendo a alguien autorizado).

El factor humano es el eslabón más débil de la cadena de seguridad: el 74% de todas las brechas de datos involucran error humano, phishing o credenciales robadas (IBM Security 2023).

• Formación y concienciación continua para todos los empleados
• Política de "verificar siempre antes de actuar" ante solicitudes urgentes o inusuales
• Nunca insertar dispositivos USB de origen desconocido
• Protocolos claros de verificación de identidad para solicitudes de acceso