OWASP Automated Threats to Web Applications

A continuación, se incluye la lista de amenazas automatizadas identificada y compilada por el Proyecto Automated Threats to Web Applications de OWASP.

1. Agregación de cuentas. El objetivo de estos ataques es recopilar credenciales de cuentas de usuario de múltiples sitios o plataformas, a menudo con fines maliciosos, como robo de identidad, fraude financiero o acceso no autorizado a información confidencial. Los ataques de agregación de cuentas se realizan mediante scripts o bots automatizados que imitan las interacciones humanas con diversos servicios o aplicaciones web. 
   
2. Creación de cuentas. Estos ataques los realizan agentes maliciosos que usan scripts o bots automatizados para crear un gran número de cuentas de usuario falsas en una plataforma o sitio web. Los atacantes pueden usar estas cuentas falsas para inundar la plataforma con contenido spam, anuncios o enlaces maliciosos, con las consiguientes alteraciones y molestias para los usuarios legítimos. Las cuentas falsas también se pueden usar para manipular la opinión pública y las reseñas o calificaciones de un sitio web o aplicación, o para hacerse pasar por usuarios reales o figuras públicas a fin de difundir información falsa o dañar la reputación de alguien. Esta amenaza también puede provocar un fraude de apertura de cuenta nueva, también conocido como fraude en primera instancia, con ramificaciones en todo el mundo digital.
3. Fraude publicitario. Esta amenaza, también conocida como fraude de clics, implica la realización de actividades engañosas para falsificar el número de interacciones con anuncios en línea, como clics o impresiones. Estas acciones fraudulentas generalmente se realizan a través de bots o scripts automatizados y tienen como objetivo generar ingresos para los estafadores o manipular las métricas de rendimiento de la publicidad.
4. Omisión de CAPTCHA. Esta amenaza utiliza técnicas automatizadas para evitar o eludir los desafíos CAPTCHA y es un problema importante para la seguridad de las aplicaciones web, ya que permite a los agentes maliciosos sortear una defensa común contra los bots. CAPTCHA (que significa prueba de Turing completamente automática y pública para diferenciar ordenadores de humanos), es un control de seguridad que se utiliza para distinguir entre usuarios humanos y bots o scripts automatizados. Los atacantes pueden usar un software de reconocimiento de imágenes para resolver CAPTCHA visuales e implementar algoritmos de aprendizaje automático para resolver CAPTCHA auditivos y de rompecabezas. En algunos casos, los atacantes emplean solucionadores de CAPTCHA humanos que los resuelven manualmente en tiempo real. Si bien CAPTCHA es un control de seguridad de uso común, se puede sortear y genera fricciones en la experiencia del cliente para los usuarios legítimos, lo que puede llevar al abandono de transacciones e ingresos.
5. Descifrado de tarjetas. Este es un tipo automatizado de delito cibernético que implica adivinar o descifrar las características de seguridad de una tarjeta de pago, como el número de tarjeta, la fecha de vencimiento y el código de seguridad (CVV/CVC). El descifrado de tarjetas suele emplear ataques de fuerza bruta, en los que los bots o scripts automatizados prueban sistemáticamente numerosas combinaciones de datos de la tarjeta hasta encontrar una combinación que coincida con una tarjeta válida. Una vez que se identifican datos de una tarjeta válida, se pueden usar para diversas actividades ilegales, como realizar compras no autorizadas o fraudes financieros. El atacante puede apropiarse de algunas tarjetas regalo físicas descargadas de una tienda física para ver si el emisor de la tarjeta usó patrones de numeración secuencial.
6. Carding. Esta forma de ciberdelito automatizado implica el uso no autorizado de información de tarjetas de pago robadas para realizar transacciones o compras fraudulentas. Los delincuentes utilizan bots o scripts automatizados para probar a usar los datos de la tarjeta de crédito o débito robada en varios sitios web o aplicaciones, a fin de identificar a aquellos que aceptan la información robada. Una vez que los bots automatizados identifican objetivos vulnerables, utilizan la información de la tarjeta robada para realizar compras fraudulentas, a menudo de productos o servicios digitales de alto valor, o para transferir el valor disponible a otras cuentas.
7. Retirada de activos. Se refiere a la conversión de activos no líquidos o moneda virtual en fondos reales o bienes tangibles. Esta amenaza suele materializarse después de ataques exitosos que resultan en el robo de activos valiosos de plataformas o cuentas en línea. Cuando los atacantes toman el control de las cuentas de usuario en aplicaciones web o plataformas en línea, pueden usar estas cuentas para retirar los activos del propietario de la cuenta, como tarjetas regalo, puntos de fidelidad o moneda virtual. A menudo se usan bots para facilitar la retirada, ya que permiten a los ciberdelincuentes realizar estas actividades fraudulentas a escala y de forma eficaz.
8. Descifrado de credenciales. Esta amenaza es un tipo de ataque de fuerza bruta que se dirige a los mecanismos de inicio de sesión de las aplicaciones web, como las páginas de inicio de sesión, los portales de cuentas de usuario o las API de autenticación. El atacante usa la automatización para probar combinaciones comunes de nombres de usuario y contraseñas de forma sistemática, hasta encontrar una que funcione para conceder acceso no autorizado a cuentas de usuarios. Esto permite al atacante llevar a cabo actividades maliciosas, como el robo de identidad, el fraude financiero u otras acciones no autorizadas.
9. Credential Stuffing. También conocida como relleno de credenciales, esta es una de las formas más comunes de amenazas de aplicaciones web, que se produce cuando los ciberdelincuentes obtienen listas de pares de nombre de usuario/contraseña, a menudo comprados en la web oscura, e intentan usar el par de credenciales para obtener acceso a otras cuentas protegidas por inicio de sesión. Debido a que muchas personas reutilizan los nombres de usuario y las contraseñas, estos ataques (también denominados apropiación de cuentas) pueden ser muy eficaces, lo que permite a los delincuentes tomar el control de cuentas de usuarios para robar activos o cometer fraudes a terceros.
10. Denegación de inventario. Este ataque se produce cuando los atacantes retiran de la circulación mercancías de comercio electrónico mediante el uso de bots que agregan una gran cantidad de artículos a un carrito de la compra, sin proceder a pagar para comprarlos. Esta situación impide que otros compradores adquieran la mercancía porque el sistema registra una condición de falta de existencias, y también deniega la venta al vendedor porque la compra no se completa. Una variación de esta amenaza automatizada se produce cuando se usan bots para hacer reservas de habitaciones de hotel, mesas de restaurantes o billetes de aerolíneas sin completar el pago.
11. Denegación de servicio (DoS) y Denegación de servicio distribuido (DDoS). Estos ataques son intentos maliciosos de interrumpir el funcionamiento normal de un sistema o red de destino, ya que provocan que no esté disponible para los usuarios legítimos. En un ataque DDoS, el atacante satura el objetivo con un volumen masivo de tráfico o de solicitudes de recursos, lo que provoca sobrecargas del servidor y hace que el servicio quede inaccesible. Estos ataques se pueden llevar a cabo mediante varios métodos, como inundar el objetivo con paquetes o enviar solicitudes especialmente diseñadas. Los ataques DoS y DDoS son similares, pero con DDoS el ataque implica múltiples fuentes, generalmente coordinadas a través de redes de bots, que son una red de equipos o dispositivos comprometidos controlados por un atacante, el cual coordina estas múltiples fuentes para lanzar simultáneamente el ataque contra el objetivo. Al aprovechar los recursos combinados de la red de bots, el atacante puede generar una cantidad masiva de tráfico o solicitudes y desborda la capacidad del sistema objetivo, lo que causa una denegación de servicio. Estos ataques pueden sobrecargar las tablas de estado de los cortafuegos, los recursos de la CPU y el ancho de banda de la infraestructura. Un ataque DoS se puede ejecutar con una única solicitud bien diseñada a una aplicación web, por ejemplo, una consulta SQL compleja que provoque un uso elevado de la CPU y la degradación del rendimiento.
12. Agilización. Esta amenaza implica el uso de bots o scripts automatizados para completar rápidamente una serie de procesos de solicitud, sorteando las restricciones o comprobaciones habituales. Al automatizar los procesos, los atacantes o los usuarios maliciosos obtienen una ventaja injusta sobre los usuarios legítimos. Esta actividad suele estar asociada a estafas y puede causar pérdidas a terceros.
13. Toma de huellas dactilares. Los agentes de amenazas utilizan la toma de huellas dactilares como técnica de recopilación de información para recolectar y analizar características o atributos únicos del navegador web o el dispositivo de un usuario y crear una «huella dactilar» distintiva. Esto les permite identificar a usuarios individuales y rastrearlos en distintos sitios web y plataformas en línea, o generar un perfil y, posteriormente, atacar una aplicación.
14. Toma de huellas. Esta no es una amenaza automatizada en sí misma, sino más bien una fase preliminar de un proceso de piratería informática o de reconocimiento. La toma de huellas implica el uso de bots o scripts para recopilar información sobre la composición, configuración y mecanismos de seguridad de una aplicación web de destino, lo que permite a los atacantes planificar mejor los ataques posteriores, como el lanzamiento de explotaciones dirigidas para obtener acceso no autorizado o el aprovechamiento de vulnerabilidades específicas.
15. Scalping o acaparamiento de inventario. Es una forma de automatización de compras en la que los atacantes utilizan bots para comprar grandes cantidades de productos o servicios de inventario limitado en línea en el momento en que se ponen a la venta (por ejemplo, entradas para conciertos y zapatillas de edición limitada). Al completar el proceso de compra de forma instantánea, los delincuentes se hacen con el control masivo de valiosas existencias, que suelen revenderse en mercados secundarios con un importante margen de beneficio, lo que provoca una escasez artificial, la denegación de existencias y la frustración de los consumidores.
16. Scraping o raspado. El scraping es el proceso automatizado de extracción de datos de sitios web o aplicaciones web, que no es malicioso en sí mismo. Sin embargo, se convierte en una amenaza automatizada cuando se usa con fines no autorizados o maliciosos, por ejemplo, cuando los bots se utilizan para recopilar contenido de un sitio web objetivo a fin de analizarlo, reutilizarlo o manipular precios, especialmente en mercados competitivos. El scraping también puede afectar al rendimiento de un sitio e impedir que los usuarios legítimos accedan a él.
17. Sesgo. Se produce cuando agentes malintencionados hacen clic, solicitan o envían contenido de forma repetitiva en una aplicación web, lo que afecta intencionalmente a las métricas basadas en la aplicación, como los recuentos, los «likes», las impresiones, los resultados de las encuestas, la frecuencia o las tasas. La técnica de sesgo se puede llevar a cabo mediante bots automatizados que imitan el comportamiento humano para generar interacciones artificiales con la aplicación web. Su objetivo es manipular y distorsionar los datos generados por las métricas basadas en aplicaciones, lo que conduce a resultados inexactos o engañosos.
18. Sniping. Este es un tipo de actividad maliciosa que implica el uso de bots o scripts automatizados para obtener una ventaja competitiva en subastas, ventas o sistemas de reserva en línea. El término «sniping» se usa comúnmente en el contexto de eventos cronometrados o de artículos de disponibilidad limitada donde la velocidad y la precisión temporal juegan un papel crucial y se deja tiempo insuficiente para que otro usuario pueda pujar o hacer una oferta. Esta técnica permite a los atacantes obtener una ventaja competitiva sobre los usuarios humanos que participan manualmente en el evento, ya que los bots pueden ejecutar las acciones más rápido y con más precisión.
19. Envío de spam. Se refiere a contenido malicioso o información dudosa distribuida por bots que aparece en contenido público o privado, bases de datos o mensajes de usuarios en aplicaciones web. El contenido malicioso puede incluir malware, ventanas emergentes de IFRAME, fotografías, vídeos, anuncios y código de seguimiento o vigilancia. Los atacantes también usan el envío de spam para añadir comentarios falsos en foros y otras aplicaciones de mensajería para falsificar información o distribuir malware.
20. Descifrado de tokens. Este ataque automatizado se produce cuando los delincuentes realizan una enumeración masiva de números de cupones, códigos de cupones y tokens de descuento. El beneficio obtenido puede ser un descuento, dinero en efectivo, un crédito o acceso a una oferta especial.
21. Exploración de vulnerabilidades. Esta amenaza se refiere al uso de herramientas o scripts automatizados para identificar y explotar vulnerabilidades de las aplicaciones web. A diferencia de la exploración de vulnerabilidades legítima, que tiene como objetivo identificar las debilidades para mejorar la seguridad, la exploración de vulnerabilidades como amenaza automatizada se lleva a cabo con la intención maliciosa de comprometer la seguridad de la aplicación. Los delincuentes usan herramientas de exploración o scripts automatizados para explorar de forma sistemática las aplicaciones expuestas en Internet, por lo general inmediatamente después de revelarse una vulnerabilidad. Una vez que se identifican las vulnerabilidades, los delincuentes intentan explotarlas para obtener acceso no autorizado a la aplicación, a datos confidenciales o a la infraestructura de servidor subyacente.