certmundo.
es‑mx
Seguridad en Redes: Protege tu Infraestructura Digital3/9

7 min de lectura

¿Qué tipos de ataques amenazan a las redes hoy en día?

Los ataques más frecuentes contra redes hoy en día son phishing, DDoS, man-in-the-middle, ransomware y escaneo de puertos — y cada uno funciona de manera diferente.

Cuando el enemigo ya está adentro

Imagina que llegas a la oficina un lunes. Tu correo muestra un mensaje urgente del SAT. Dice que tienes una multa pendiente y debes ingresar tus credenciales para evitar un bloqueo. Haces clic sin pensarlo. En ese momento, un atacante ya tiene acceso a tu red corporativa.

Este escenario no es ficticio. Le ocurrió a cientos de empleados de empresas medianas en México durante 2022. Entender cómo operan los atacantes es la base de cualquier defensa real. En la lección anterior aprendiste qué componentes forman una red y dónde están sus puntos débiles. Ahora vas a conocer las armas que los atacantes usan para explotar esos puntos.

El Marco de los Cinco Vectores

Para estudiar los ataques de forma ordenada, usa el Marco de los Cinco Vectores. Este marco clasifica los ataques según cómo entran a tu red:

  • Vector 1 – Engaño al usuario: el atacante manipula a una persona.
  • Vector 2 – Saturación del servicio: el atacante colapsa tu infraestructura.
  • Vector 3 – Intercepción del tráfico: el atacante escucha o modifica datos en tránsito.
  • Vector 4 – Cifrado malicioso: el atacante bloquea tus archivos y pide rescate.
  • Vector 5 – Reconocimiento: el atacante mapea tu red antes de atacar.

Cada vector requiere una defensa distinta. Veamos cada uno en detalle.

Vector 1: Phishing — El engaño que nunca falla

El phishing es un ataque que usa mensajes falsos para engañar a una persona y robar sus credenciales o instalar malware.

El atacante no necesita romper firewalls ni explotar vulnerabilidades técnicas. Solo necesita que tú hagas clic. Es el ataque más barato de ejecutar y el más difícil de bloquear con tecnología sola.

Ejemplo mexicano: En 2021, circularon correos falsos que imitaban al IMSS. Decían que el trabajador tenía una devolución pendiente de $3,200. Al hacer clic, el enlace descargaba un troyano que capturaba contraseñas bancarias.

Existen tres variantes principales:

  • Phishing masivo: correos genéricos enviados a miles de personas.
  • Spear phishing: correo personalizado con el nombre del destinatario y detalles reales de su empresa.
  • Smishing: el mismo engaño, pero por SMS.

Cómo se ve en la red: El phishing generalmente no activa alertas técnicas inmediatas. El daño ocurre cuando la credencial robada se usa desde una IP externa. Por eso, los sistemas de detección de inicio de sesión anómalos son clave.

Vector 2: DDoS — Cuando te ahogan con tráfico

Un ataque DDoS (Distributed Denial of Service) envía millones de solicitudes simultáneas a un servidor hasta que colapsa y deja de responder.

No roba datos. Su objetivo es interrumpir el servicio. Para un e-commerce como Mercado Libre, una hora fuera de línea puede representar pérdidas de millones de pesos. Para una tienda departamental como Liverpool, un DDoS durante el Buen Fin puede ser devastador.

Cómo funciona: El atacante controla miles de dispositivos infectados (llamados bots o zombies). Todos envían solicitudes al mismo servidor al mismo tiempo. El servidor no puede distinguir tráfico legítimo del malicioso y colapsa.

Ejemplo real: En 2020, varias instituciones bancarias mexicanas reportaron intentos de DDoS coordinados durante actualizaciones de sus aplicaciones móviles. Los atacantes aprovecharon el momento de mayor vulnerabilidad.

Señales en tu red: Un pico repentino de tráfico entrante desde múltiples IPs geográficamente dispersas. El ancho de banda se satura. Los tiempos de respuesta suben a miles de milisegundos.

Vector 3: Man-in-the-Middle — El espía invisible

Un ataque man-in-the-middle (MitM) ocurre cuando un atacante se posiciona entre dos dispositivos que se comunican, interceptando o modificando los datos sin que ninguno lo note.

Imagina que tu computadora le envía datos al servidor de tu banco. En un ataque MitM, el atacante está en medio: recibe tus datos, los lee o modifica, y luego los reenvía al banco. Ninguno de los dos sabe que alguien más está escuchando.

Técnicas comunes:

  • ARP Spoofing: el atacante envía mensajes ARP falsos en la red local para que el tráfico pase por su dispositivo.
  • Rogue Access Point: el atacante crea un punto de acceso WiFi con un nombre confiable (como "FEMSA_Oficinas") para que empleados se conecten a él sin saber.
  • SSL Stripping: el atacante degrada una conexión HTTPS a HTTP para que los datos viajen sin cifrado.

Ejemplo mexicano: En colonias de la Ciudad de México y Guadalajara se han detectado redes WiFi falsas que imitan las de cadenas de café populares. Usuarios conectados enviaban contraseñas en texto plano sin saberlo.

En la lección anterior aprendiste que los protocolos sin cifrado como HTTP son peligrosos. El ataque MitM es exactamente la razón por qué.

Vector 4: Ransomware — El secuestro digital

El ransomware es un tipo de malware que cifra todos los archivos de una red y exige un pago (rescate) para devolver el acceso.

Es el ataque más destructivo de esta lista. No solo interrumpe operaciones: puede borrar años de información. El costo promedio de recuperación para una empresa mediana en México supera los $500,000 cuando se suman el tiempo perdido, la recuperación de datos y el daño reputacional.

Cómo entra a la red: Casi siempre a través de phishing. Un empleado descarga un archivo adjunto. El malware se instala y comienza a moverse lateralmente por la red interna. En horas, cifra servidores, bases de datos y respaldos accesibles.

Ejemplo mexicano: En 2022, una empresa distribuidora de alimentos con operaciones en Monterrey fue víctima de ransomware. Los atacantes cifraron su sistema ERP y pidieron $180,000 en criptomonedas. La empresa tardó tres semanas en recuperar operaciones parciales.

Por qué la segmentación ayuda: Si la red hubiera estado segmentada con VLANs (como vimos en la lección anterior), el ransomware no habría podido moverse de un departamento a otro. La segmentación contiene el daño.

Vector 5: Escaneo de Puertos — El paso previo a todo ataque

El escaneo de puertos es la técnica que usan los atacantes para descubrir qué servicios y sistemas tiene tu red antes de atacarla.

No es un ataque en sí mismo. Es el reconocimiento previo. Un atacante usa herramientas como Nmap para enviar paquetes a diferentes puertos de tu red y analizar las respuestas. Así sabe si tienes un servidor web en el puerto 80, un servidor SSH en el 22, o una base de datos MySQL en el 3306.

Qué buscan los atacantes:

  • Puertos abiertos innecesariamente.
  • Servicios con versiones desactualizadas y vulnerabilidades conocidas.
  • Puertos de administración remota expuestos al internet público.

Ejemplo práctico: Si tu empresa tiene el puerto 3389 (Escritorio Remoto de Windows) abierto en internet, cualquier atacante con un escáner puede encontrarlo en minutos. Luego intentará contraseñas por fuerza bruta hasta entrar.

Cómo detectarlo: Un sistema de detección de intrusos (IDS) puede identificar escaneos de puertos porque generan un patrón inusual: muchas solicitudes a diferentes puertos desde la misma IP en poco tiempo.

Errores comunes al pensar en estos ataques

Muchos equipos de TI cometen el mismo error: creen que estos ataques son independientes. En realidad, los atacantes los combinan.

Un ataque real típico sigue este flujo:

  1. Escaneo de puertos → el atacante mapea tu red.
  2. Phishing → un empleado hace clic y descarga malware.
  3. MitM interno → el malware intercepta credenciales en la red local.
  4. Ransomware → con acceso al servidor, cifra todo.
  5. DDoS → mientras negocias el rescate, te saturan para presionarte.

Este encadenamiento se llama ataque en cadena o kill chain. Reconocer cada eslabón te permite romper la cadena antes de que llegue al final.

Otro error frecuente: pensar que solo las grandes empresas son objetivo. Los datos del CERT-MX muestran que las PyMEs mexicanas son blanco preferido precisamente porque tienen menos defensas. Una empresa de $8,000,000 en facturación anual puede ser más fácil de atacar que Bimbo o FEMSA.

Conocer al atacante es tu primera línea de defensa

Cada ataque que viste en esta lección tiene una firma, un patrón y una defensa específica. El phishing se bloquea con capacitación y filtros de correo. El DDoS se mitiga con servicios de scrubbing de tráfico. El MitM se neutraliza con cifrado fuerte. El ransomware se contiene con segmentación y respaldos offline. El escaneo se detecta con un IDS bien configurado.

Entender cómo piensa el atacante es lo que transforma a un administrador de red en un verdadero defensor.

En las próximas lecciones vas a ver cómo implementar cada una de estas defensas, paso a paso, con herramientas accesibles para empresas de cualquier tamaño en México.

Puntos clave

  • Los cinco vectores de ataque más comunes son phishing, DDoS, man-in-the-middle, ransomware y escaneo de puertos — cada uno entra a la red de forma diferente y requiere una defensa distinta.
  • El phishing es el punto de entrada más frecuente: no necesita romper tecnología, solo engañar a una persona para que haga clic en un enlace o descargue un archivo.
  • El ransomware rara vez actúa solo — casi siempre llega después de un phishing exitoso y se propaga lateralmente; la segmentación de red con VLANs puede contener el daño.
  • El escaneo de puertos no es un ataque en sí mismo, sino el paso de reconocimiento que precede a casi todos los demás — detectarlo a tiempo puede interrumpir un ataque antes de que comience.
  • Los atacantes encadenan técnicas en secuencia (kill chain): escaneo → phishing → movimiento lateral → ransomware o exfiltración. Romper cualquier eslabón de esa cadena puede salvar tu red.

Comparte esta lección:

WhatsAppLinkedIn
Siguiente lección →← Lección anterior