Tipos de Vectores de Ataque en Ciberseguridad

Un vector de ataque es el camino o método que un atacante utiliza para acceder a un sistema, red o dispositivo con el fin de robar datos, interrumpir servicios o causar daño. A continuación se presenta un listado ampliado y organizado por categorías, con definiciones técnicas, ejemplos y recomendaciones de mitigación.

🔐 1. Vectores de Ataque Basados en Software

Malware

Software diseñado con intención maliciosa para infiltrarse, dañar o tomar el control de un sistema sin el consentimiento del usuario.

Subtipos comunes:
- Virus: Se adjunta a archivos legítimos y se propaga al ejecutarlos.
- Gusanos: Se replican automáticamente a través de redes.
- Troyanos: Se disfrazan de software legítimo.
- Ransomware: Cifra archivos y exige rescate (ej. WannaCry).
- Spyware: Recopila información del usuario.
- Rootkits: Ocultan procesos maliciosos y otorgan acceso persistente.

Mitigación: Antivirus actualizado, control de aplicaciones (allowlisting), parcheo de sistemas.

Exploits

Código que aprovecha una vulnerabilidad específica en software, firmware o hardware para ejecutar acciones no autorizadas.

Ejemplo: EternalBlue (usado en WannaCry) explotaba una vulnerabilidad en SMB de Windows.
Tipos: Local (requiere acceso previo) y remoto (sin interacción).

Mitigación: Gestión proactiva de parches, análisis de vulnerabilidades.

Zero-Day

Vulnerabilidad desconocida para el fabricante, sin parche disponible. Muy valiosa en ataques dirigidos (APT).

Ejemplo: Ataque a SolarWinds (2020) utilizó múltiples zero-days.

Mitigación: Defensa en profundidad, monitoreo de comportamiento anómalo.

Inyección de Código

Técnica que inserta código malicioso en aplicaciones mediante entradas no validadas.

Tipos:
- SQL Injection: Manipula bases de datos.
- Command Injection: Ejecuta comandos del sistema operativo.
- LDAP/XPath Injection: Variantes según el lenguaje.

Mitigación: Validación de entradas, consultas parametrizadas, principio de menor privilegio.

Phishing

Engaño mediante correos, mensajes o sitios falsos que imitan entidades legítimas.

Técnicas: URLs similares (paypa1.com), adjuntos con macros.
Ejemplo: Campañas masivas que imitan a bancos o Amazon.

Mitigación: Filtros de correo, autenticación multifactor (MFA), simulacros.

Spear Phishing

Phishing altamente personalizado dirigido a individuos específicos.

Características: Usa información de redes sociales o filtraciones.
Ejemplo: Ataque inicial a Target (2013) vía proveedor.

Mitigación: Capacitación avanzada, verificación independiente para transacciones.

Vishing (Voice Phishing)

Llamadas telefónicas fraudulentas para obtener información confidencial.

Mitigación: Nunca compartir credenciales por teléfono.

Smishing

Phishing mediante SMS o apps de mensajería (ej. WhatsApp).

Mitigación: No hacer clic en enlaces sospechosos.

Baiting

Ofrece un “cebo” físico o digital (USB, descarga) que contiene malware.

Mitigación: Prohibir dispositivos externos no autorizados.

Pretexting

Creación de un escenario falso para justificar la solicitud de información sensible.

Mitigación: Protocolos estrictos de verificación de identidad.

Tailgating / Piggybacking

Seguir a un empleado autorizado para acceder físicamente a áreas restringidas.

Mitigación: Controles biométricos, cultura de seguridad física.

🌐 3. Vectores de Ataque en Redes

Ataques DoS / DDoS

Saturan recursos para hacer un servicio inaccesible.

Tipos:
- Volumétricos: Inundan con tráfico (ej. amplificación DNS).
- De protocolo: SYN flood.
- De aplicación: Solicitudes HTTP lentas.

Mitigación: Servicios de mitigación (Cloudflare), rate limiting.

Man-in-the-Middle (MitM)

Interceptación y posible alteración de la comunicación entre dos partes.

Escenarios: Wi-Fi públicas, SSL stripping.

Mitigación: HTTPS con HSTS, certificados válidos, VPN.

Sniffing de Red

Captura pasiva de tráfico para analizar datos no cifrados.

Mitigación: Cifrado de extremo a extremo (TLS, IPsec).

DNS Spoofing / Envenenamiento

Manipulación de respuestas DNS para redirigir a sitios falsos.

Mitigación: DNSSEC, monitoreo de resolución DNS.

ARP Spoofing

Envío de mensajes ARP falsos en una LAN para redirigir tráfico.

Mitigación: ARP inspection, herramientas de detección.

💻 4. Vectores de Ataque en Sistemas y Dispositivos

Fuerza Bruta

Prueba sistemática de contraseñas hasta encontrar la correcta.

Variantes: Diccionario, fuerza bruta pura, híbridos.

Mitigación: Bloqueo tras intentos fallidos, MFA.

Credential Stuffing

Uso automatizado de credenciales robadas en múltiples servicios.

Mitigación: MFA, monitoreo de intentos anómalos, Have I Been Pwned.

Escalada de Privilegios

Aumento de permisos tras una intrusión inicial.

Tipos: Vertical (a admin) y horizontal (a otro usuario).

Mitigación: Principio de menor privilegio, auditoría de permisos.

Ataques Físicos

Acceso directo al hardware para extraer datos o instalar malware.

Ejemplos: USB Rubber Ducky, laptops sin cifrado.

Mitigación: Cifrado de disco completo, BIOS con contraseña.

☁️ 5. Vectores de Ataque en la Nube y Aplicaciones Web

API Inseguras

Interfaces mal configuradas que exponen datos o funciones sin autenticación adecuada.

Mitigación: OAuth2, rate limiting, pruebas de penetración.

Configuraciones Incorrectas en la Nube

Errores al configurar servicios en la nube (AWS, Azure, GCP).

Ejemplos: Buckets S3 públicos, VMs con puertos abiertos.

Mitigación: IaC con revisiones, CSPM, AWS Config.

Cross-Site Scripting (XSS)

Inyección de scripts que se ejecutan en el navegador de otros usuarios.

Tipos: Reflejado, almacenado, DOM-based.

Mitigación: Codificación de salida, Content Security Policy (CSP).

Cross-Site Request Forgery (CSRF)

Induce a un usuario autenticado a realizar acciones no deseadas.

Mitigación: Tokens anti-CSRF, cookies SameSite.

🧩 6. Vectores Emergentes y Especializados

Ataques a la Cadena de Suministro

Compromiso de un proveedor legítimo para distribuir malware.

Ejemplos: SolarWinds (2020), CCleaner (2017).

Mitigación: Firmas digitales, monitoreo post-instalación.

Ataques a IoT

Explotación de dispositivos con seguridad débil (cámaras, sensores).

Mitigación: Segmentación de red, cambio de contraseñas por defecto.

Deepfakes y Manipulación de Medios

Uso de IA para generar audio/video falsos hiperrealistas.

Riesgos: Fraude ejecutivo, desinformación.

Mitigación: Verificación multifactor, herramientas de detección.

Ataques a Sistemas OT/ICS

Dirigidos a infraestructura crítica (plantas eléctricas, hospitales).

Ejemplo: Stuxnet (2010).

Mitigación: Air-gapping, monitoreo de protocolos industriales.

Ataques a Aplicaciones Móviles

Explotación de vulnerabilidades en apps móviles.

Vectores: Almacenamiento inseguro, reverse engineering.

Mitigación: Obfuscación, cert pinning, análisis estático/dinámico.

Consejo: Este documento puede usarse como base para políticas de seguridad, capacitaciones o planes de respuesta a incidentes. Mantén actualizadas las prácticas de mitigación según el panorama de amenazas evolutivo.

🔐 1. Vectores de Ataque Basados en Software​

Malware​

Exploits​

Zero-Day​

Inyección de Código​

📧 2. Vectores de Ataque Basados en Ingeniería Social​

Phishing​

Spear Phishing​

Vishing (Voice Phishing)​

Smishing​

Baiting​

Pretexting​

Tailgating / Piggybacking​

🌐 3. Vectores de Ataque en Redes​

Ataques DoS / DDoS​

Man-in-the-Middle (MitM)​

Sniffing de Red​

DNS Spoofing / Envenenamiento​

ARP Spoofing​

💻 4. Vectores de Ataque en Sistemas y Dispositivos​

Fuerza Bruta​

Credential Stuffing​

Escalada de Privilegios​

Ataques Físicos​

☁️ 5. Vectores de Ataque en la Nube y Aplicaciones Web​

API Inseguras​

Configuraciones Incorrectas en la Nube​

Cross-Site Scripting (XSS)​

Cross-Site Request Forgery (CSRF)​

🧩 6. Vectores Emergentes y Especializados​

Ataques a la Cadena de Suministro​

Ataques a IoT​

Deepfakes y Manipulación de Medios​

Ataques a Sistemas OT/ICS​

Ataques a Aplicaciones Móviles​