🛡️ Attack Vectors (Vectores de Ataque) y Attack Surfaces (Superficies de Ataque) 🔍🔒

A continuación, desglosamos los Attack Vectors (Vectores de Ataque) y las Attack Surfaces (Superficies de Ataque) de cada uno de los temas que mencionaste, incluidas sus subcategorías.

🚀 1. Human Vectors (Vectores Humanos) 👥🔑

🛡️ Attack Vector:

• Ingeniería social (Social Engineering)
• Phishing (Correo electrónico)
• Vishing (Llamadas telefónicas)
• SMiShing (Mensajes SMS)
• Tailgating (Acceso físico no autorizado)
• Pretexting (Historias falsas)
• Shoulder Surfing (Mirar por encima del hombro para robar credenciales)

🌐 Attack Surface:

• Empleados y contratistas
• Personal de soporte técnico
• Proveedores externos
• Políticas de seguridad laxas
• Falta de capacitación en seguridad
• Credenciales y accesos físicos

Subposibilidades:

1. Ingeniería Social: Manipulación psicológica para obtener información.
2. Vulnerabilidad Humana: Errores no intencionados (e.g., contraseñas débiles, compartir información en exceso).
3. Shadow IT: Uso no autorizado de dispositivos o software.

🚀 2. Suplantación de Identidad & Pretextos (Impersonation & Pretexting) 🎭📞

🛡️ Attack Vector:

• Llamadas telefónicas (Vishing)
• Correo electrónico fraudulento
• Interacciones en persona
• Sitios web falsificados
• Redes sociales

🌐 Attack Surface:

• Personal administrativo
• Departamentos de finanzas o RRHH
• Sistemas de soporte técnico
• Canales de comunicación internos (email, mensajería corporativa)
• Bases de datos con información personal

Subposibilidades:

1. Autoridad Falsa: Hacerse pasar por un alto ejecutivo.
2. Urgencia Falsa: Crear presión para obtener información rápidamente.
3. Pretexting: Crear historias falsas convincentes.

🚀 3. Phishing 🎣📧

🛡️ Attack Vector:

• Correos electrónicos fraudulentos
• Mensajes SMS (SMiShing)
• Llamadas telefónicas (Vishing)
• Redes sociales
• Sitios web falsos
• Archivos adjuntos maliciosos

🌐 Attack Surface:

• Clientes de correo electrónico
• Mensajería instantánea
• Sistemas CRM (Customer Relationship Management)
• Servicios en la nube (e.g., Google Drive, Dropbox)
• Empleados con acceso privilegiado

Subposibilidades:

1. Spear Phishing: Correos altamente personalizados.
2. Whaling: Ataques dirigidos a altos ejecutivos.
3. Clone Phishing: Copiar un correo legítimo y modificarlo.
4. Angler Phishing: A través de redes sociales.

🚀 4. Pharming 🌐🐍

🛡️ Attack Vector:

• Manipulación de servidores DNS (DNS Poisoning)
• Manipulación del archivo hosts local
• Malware que modifica configuraciones DNS
• Certificados SSL falsos

🌐 Attack Surface:

• Servidores DNS corporativos
• Dispositivos con configuraciones DNS locales
• Redes no seguras (Wi-Fi públicas)
• Navegadores web
• Proveedores de servicios DNS

Subposibilidades:

1. DNS Hijacking: Manipulación directa de servidores DNS.
2. Local Host File Hijacking: Alterar el archivo hosts en dispositivos individuales.
3. Redirección a Sitios HTTPS Falsos: Certificados SSL fraudulentos.

🚀 5. Typosquatting 📝🔑

🛡️ Attack Vector:

• Registro de dominios similares (ej., examp1e.com)
• Malvertising (Publicidad maliciosa en buscadores)
• Correos electrónicos con enlaces falsos
• Campañas de Phishing

🌐 Attack Surface:

• Navegadores web
• Buscadores (Google, Bing)
• Enlaces en correos electrónicos
• Redes corporativas
• Plugins desactualizados en navegadores

Subposibilidades:

1. Errores Tipográficos: Cambios sutiles en dominios (goggle.com).
2. Extensiones Alternativas: Usar .co en lugar de .com.
3. Uso de Subdominios Falsos: login.example-security.com.

🚀 6. Business Email Compromise (BEC) 📧💼

🛡️ Attack Vector:

• Correos electrónicos fraudulentos
• Ingeniería social
• Phishing altamente dirigido
• Robo de credenciales

🌐 Attack Surface:

• Cuentas de correo electrónico corporativo
• Sistemas de transferencia bancaria
• Bases de datos de proveedores
• Servidores de correo
• Proveedores externos

Subposibilidades:

1. CEO Fraud: Hacerse pasar por un alto ejecutivo.
2. Account Takeover (ATO): Robo de cuentas de correo legítimas.
3. Spear Phishing: Ataques personalizados para objetivos específicos.

🚀 7. Brand Impersonation & Misinformation 🏢🎭

🛡️ Attack Vector:

• Sitios web falsificados
• Campañas de desinformación en redes sociales
• Correos electrónicos fraudulentos
• Contenido SEO malicioso (posicionamiento en buscadores)

🌐 Attack Surface:

• Plataformas de redes sociales (Facebook, LinkedIn, Twitter)
• Sitios web de marca
• Plataformas de anuncios pagados (Google Ads)
• Resultados de búsqueda en navegadores

Subposibilidades:

1. Desinformación: Difusión intencionada de información falsa.
2. Misinformación: Compartir información falsa sin intención directa.
3. SEO Malicioso: Posicionar sitios falsos en buscadores.

🚀 8. Watering Hole Attack 💧🦁

🛡️ Attack Vector:

• Sitios web comprometidos
• Exploit Kits
• Malware (Keyloggers, RATs, Backdoors)
• Anuncios maliciosos (Malvertising)

🌐 Attack Surface:

• Sitios web frecuentados por empleados objetivo
• Navegadores web y plugins (Java, Flash, Adobe Reader)
• Redes corporativas
• Herramientas SaaS

Subposibilidades:

1. Drive-by Download: Malware descargado automáticamente.
2. Exploit Kits: Uso de vulnerabilidades conocidas.
3. Ataques Selectivos: Malware activado solo en ciertos usuarios.

🚀 Resumen Global en Tabla

Vector de Ataque - Superficie de Ataque
Human Vectors - Empleados, contraseñas, políticas laxas
Suplantación - Soporte técnico, RRHH, comunicaciones internas
Phishing - Correo, SMS, sitios web falsos
Pharming - DNS, dispositivos locales, navegadores
Typosquatting - Dominios, buscadores, correos
BEC - Cuentas de correo, servidores, proveedores
Brand Impersonation - Sitios web, redes sociales, SEO
Watering Hole - Sitios legítimos, plugins, navegadores

📚 Recursos Adicionales:

• MITRE ATT&CK Framework: 🔗 MITRE ATT&CK
• OWASP Top Ten Security Risks: 🔗 OWASP
• Shodan (Análisis de Superficie de Ataque): 🔗 Shodan