Los Script Kiddies pueden sonar como jóvenes sin experiencia, pero sus intentos de piratería aún pueden causarle daños graves.
Los Script Kiddies pueden sonar como si fueran adolescentes traviesos que no traman nada bueno. Si bien este suele ser el caso, los script kiddies en realidad no tienen que ser jóvenes con intenciones maliciosas. También pueden ser adultos.
Aun así, ya sea joven o viejo, los script kiddies pueden causarle un daño real si no tiene cuidado.
¿Quiénes son los Script Kiddies?
En pocas palabras, un script kiddie es un aspirante a hacker que no tiene las habilidades o el conocimiento para llevar a cabo ataques cibernéticos sofisticados. En su lugar, confían en scripts y programas preescritos desarrollados por otros para penetrar en redes y sistemas.
Piense en alguien que descarga una herramienta de piratería ya preparada y la utiliza para obtener acceso no autorizado a la computadora de otra persona. No codificaron la herramienta ellos mismos, simplemente la ejecutaron. Eso es esencialmente lo que hace un script kiddie.
Algunas características comunes de script kiddies incluyen:
- Poco o ningún conocimiento de programación: No pueden codificar sus propias herramientas de piratería desde cero.
- Motivado por la reputación más que por la ética: Hackean para presumir de sus "habilidades".
- Apunta a víctimas fáciles: Los Script Kiddies buscan cosas fáciles de conseguir, como sitios web personales, en lugar de redes particularmente seguras y profesionales.
- Utiliza técnicas de fuerza bruta: Confían en programas de piratería contundentes para descifrar contraseñas y abrumar los sistemas.
- Ataque por interrupción: Buscan atención y controversia a través de ataques disruptivos en lugar de ganancias financieras.
Si bien carecen de sofisticación, los script kiddies aún pueden infligir daño a través de técnicas traviesas comunes.
El guión de tácticas comunes que usan los niños
Los Script Kiddies pueden no ser muy hábiles, pero aun así pueden causar serios dolores de cabeza con las travesuras cibernéticas. Estas son algunas de las tácticas más comunes en las que confían.
1. Ataques de denegación de servicio (DoS)
Guiones para niños usar ataques de fuerza bruta abrumar los sitios web y los servicios en línea al inundarlos con más tráfico del que pueden manejar y luego colapsarlos. Son grandes en el uso de herramientas DDoS como Low Orbit Ion Cannon (LOIC), High Orbit Ion Cannon (HOIC) o Botnets que no codificaron ellos mismos para inundar objetivos con solicitudes basura y desconectarlos.
Por ejemplo, el grupo de piratas informáticos Lizard Squad, integrado por Julius “zeekill” Kivimaki, de 17 años, derribó Xbox Live y PlayStation Network con ataques DoS en 2014 utilizando herramientas estándar.
2. Inyección SQL
La técnica de inyección SQL implica encontrar sitios web vulnerables e insertar consultas de bases de datos SQL maliciosas en campos de entrada como formularios de inicio de sesión o barras de búsqueda. Si tiene éxito, el atacante puede acceder, modificar o eliminar los datos de back-end de un sitio.
El script kiddie solo necesita encontrar un sitio web inseguro y conectar el código de inyección SQL en un campo de formulario simple.
3. Intentos de phishing
Uso de scripts para niños estafas básicas de ingeniería social para engañar a los usuarios involuntarios para que entreguen contraseñas o información confidencial. Esto incluye enviar spam a páginas de inicio de sesión falsas para sitios comunes como Google o Facebook. O enviar correos electrónicos falsos de "cuenta suspendida" para que las víctimas ingresen sus credenciales en el sitio falso del atacante.
Si bien son fáciles de detectar para muchos, estos intentos de phishing aún enganchan a los menos expertos en tecnología.
4. Descifrado de contraseñas
Sin la habilidad de escribir sus propias herramientas para descifrar contraseñas, los script kiddies recurren a programas como Cain y Abel para lanzar ataques de diccionario de fuerza bruta. También simplemente adivinarán contraseñas débiles como "123456" o descifrarán contraseñas cifradas filtradas en volcados de bases de datos.
Se aprovechan de las tendencias humanas comunes, como usar contraseñas simples o reutilizarlas en todos los sitios.
5. Desfiguraciones del sitio web
Los secuestros rápidos para colocar imágenes extrañas o grafitis ofensivos, como "Hackeado por [nombre del hacker]", en los sitios web son una tarjeta de presentación de los script kiddies que buscan trollear y llamar la atención.
En una de las juergas de desfiguración de sitios web más grandes de la historia, un script kiddie conocido como iSKORPiTX logró piratear varios miles de sitios web en un solo ataque en mayo de 2006 (según Las noticias del hacker).
Como podemos ver, los script kiddies se basan en técnicas rudimentarias pero a veces efectivas para causar una interrupción desproporcionada. Comprender sus tácticas es clave para protegerse contra estos aspirantes a piratas informáticos imprudentes.
Cómo defenderse de los ataques de Script Kiddie
Lo primero es lo primero: sepa a lo que se enfrenta. Los Script Kiddies son básicamente piratas informáticos novatos que usan scripts y herramientas desarrolladas por otros para llevar a cabo ataques cibernéticos. A menudo persiguen objetivos fáciles porque no tienen las habilidades para entrar en sistemas sofisticados.
La buena noticia es que sus ataques generalmente no son especialmente avanzados. Sin embargo, la mala noticia es que hay toneladas de herramientas gratuitas de piratería que cualquiera puede descargar y usar para atacarlo. Aquí le mostramos cómo protegerse.
1. Utilice contraseñas seguras
Las contraseñas débiles y fáciles de adivinar son una bienvenida para los niños guionistas que buscan abrirse camino en las cuentas por la fuerza bruta. En lugar de "contraseña123", crear contraseñas únicas con hasta más de 15 caracteres aleatorios, números, letras mayúsculas y símbolos. Thinkpassphraseslik3Th!sL0ngJibberish.
Si usó una contraseña débil como "béisbol" en todos los sitios, los script kiddies podrían comprometer sus cuentas de eBay, banco y correo electrónico de una sola vez. (Nosotros desaconsejamos usar la misma contraseña en numerosos sitios por esta misma razón).
2. Habilitar la autenticación de dos factores
Los códigos SMS, la biometría y las notificaciones push únicas pueden ser la peor pesadilla de un hacker. Incluso con una contraseña a mano, los script kiddies se detendrán en seco cuando se encienda 2FA.
Ya sea un código enviado por mensaje de texto a un teléfono, un escaneo de huellas dactilares o una notificación en un dispositivo separado, el segundo factor evita los inicios de sesión no autorizados, incluso si los piratas informáticos han obtenido una contraseña robada.
Si bien no es completamente infalible contra ataques sofisticados, habilitar 2FA mejora significativamente la seguridad y hace la vida mucho más difícil para las tácticas comunes de script kiddie.
3. Software de parches y actualizaciones
Actualizar sus aplicaciones es como recibir vacunas de refuerzo: lo protege contra las vulnerabilidades encontradas recientemente. Los Script Kiddies buscan software obsoleto susceptible a sus herramientas, al igual que los virus de la gripe se aprovechan de las personas que se saltan la vacuna contra la gripe. Automatiza las actualizaciones para que no tengas que pensar en ello.
Recuerde el ransomware WannaCry, uno de los ataques de malware más notorios de la historia? La mayor parte de su daño provino de descuidar las actualizaciones de Windows.
4. Utilice una VPN y un cortafuegos
La mayoría de los scripts de ataque detectan las direcciones IP de destino como primer paso. Pero ocultar su IP detrás de una VPN o bloquear el acceso con un firewall rompe este vínculo.
Por enmascarar o restringir su dirección IP pública, los script kiddies no pueden identificar su ubicación y dispositivos exactos en la red. Los servicios de VPN le asignan una IP virtual diferente, ocultando su verdadera dirección.
Los cortafuegos crean reglas solo para permitir conexiones de fuentes confiables. Ambos mecanismos funcionan como barricadas que obstruyen el reconocimiento inicial del atacante y hacen que los scripts basados en IP sean ineficaces.
5. Haga una copia de seguridad de sus datos
El ransomware y los archivos borrados pueden provocar la pérdida permanente de datos. Programe copias de seguridad periódicas para que pueda restaurar datos corruptos o encriptados si un ataque de secuencia de comandos golpea su máquina.
Las soluciones de copia de seguridad automatizadas que se ejecutan diaria o semanalmente en segundo plano crean copias seguras de sus archivos en unidades externas o almacenamiento en la nube.
En caso de que un script malicioso cifre sus datos y exija el pago, puede rechazar el rescate, sabiendo que tiene copias de seguridad intactas a las que volver. Incluso un ataque que elimine o sobrescriba irreversiblemente sus archivos puede recuperarse extrayéndolo de sus archivos de copia de seguridad.
Manténgase un paso por delante de la curva de script kiddie con estas prácticas de seguridad. Es posible que sigan intentándolo, pero serás un objetivo demasiado difícil.
La falta de habilidad de Script Kiddies no es falta de riesgo
Si bien pueden no parecer adversarios formidables a primera vista, el uso imprudente de las herramientas de ataque por parte de los script kiddies puede provocar daños reales. No puede permitirse el lujo de subestimar a estos astutos alborotadores.
Así que mantente al tanto de la protección de tus dispositivos, y no deberías tener mucho que temer de estas molestias del mundo hacker.