Un vector d'atac informàtic és el mitjà escollit pels ciberdelinqüents, hackers o pirates informàtics per transmetre a l'equip objectiu (qualsevol dispositiu connectat a la xarxa) un codi maliciós, que els permetrà prendre el control totalment o parcialment d'aquest equip i explotar-lo per a les seves finalitats, siguin aquests econòmics o de qualsevol altra índole.

Els vectors d'atac són, per tant, el mètode triat per explotar les debilitats o vulnerabilitats que poden estar presents en diferents components informàtics, aplicacions, programari, pàgines web, navegadors, xarxes, etc. i dur a terme atacs informàtics introduint diferents tipus de programari maliciós o malware.

Tot i que podem parlar de diferents vectors d'atac, ja que hi ha moltes tècniques i maneres per obtenir accés no autoritzat a una xarxa interna, alterar dades, encriptar la informació, deshabilitar funcions o segrestar un equip, per citar-ne alguns, els vectors d'atac es poden classificar en dos tipus:

• Vectors d'atac passius: són els que intenten guanyar l'accés al sistema o utilitzar informació d'est, però que no afecta als recursos del sistema. Exemples de vectors d'atac passius són la pesca o phishing, el la pesca dirigida o spear phishing, el sniffing o qualsevol atac basat en enginyeria social.
• Vectors d'atac actius: són els que tenen per objectiu alterar el sistema o el seu funcionament, com, per exemple, els vectors d'atac que empren programari maliciós, segrestos de domini, atacs DDoS o programaris de segrest o ransomware.

En qualsevol cas, no és estrany que un ciberatac combini tots dos tipus de vectors d'atac, en funció dels objectius que tengui intenció d'aconseguir.

Vectors d'atac més comuns en sanitat

• Enginyeria social: consisteix a convèncer la víctima de manera directa, per mitjà d'enganys i manipulacions, que faciliti una determinada informació i dades rellevants, tant personals com de l'empresa. Aquest tipus d'atacs se solen dur a terme per mitjà de xarxes socials, SMS, telefonades o correus.electrònics
• Pesca, o phishing: és un tipus d'atac d'enginyeria social, que consisteix a suplantar la identitat d'un organisme oficial, marca o empresa, amb l'objectiu que la víctima pensi que realment està parlant amb la persona o entitat que diu ser i faciliti les dades personals o informació rellevant sol·licitada.
• Programari maliciós, o malware: terme molt ampli que descriu qualsevol programa o codi maliciós, creat amb males intencions, que és nociu per als sistemes informàtics.  Els tipus més comuns són els següents:
  • Programari de publicitat, o adware: mostra anuncis en la pantalla, normalment en l'explorador.​
  • Programari espia, o spyware: espia les activitats de l'usuari.
  • Virus: programari maliciós que s'adjunta en un altre programa, i quan s'executa, es replica modificant altres programes de l'ordinador i infectant-los.​
  • Cucs:similars als virus, es repliquen amb la finalitat de propagar-se a altres ordinadors en una xarxa, provocant danys i destruint dades o arxius.​
  • Troià: és un dels més perillosos. Habitualment es presenta com a útil i una vegada s'instal·la en el sistema, els atacants s'oculten rere ell per obtenir accés no autoritzat al mateix. ​
  • Programari segrestador, o ransomware: consisteix a bloquejar l'accés de l'usuari al dispositiu o xifrar els seus arxius, per forçar-lo a pagar un rescat per retornar-los-hi.​
  • Rootkit: proporciona a l'atacant privilegis d'administrador en el sistema infectat. Està dissenyat per romandre ocult.​
  • Registre de teclat, o keylogger: grava les pulsacions de tecles de l'usuari amb l'objectiu d'obtenir noms d'usuari, contrasenyes o detalls de targetes de crèdit.​
  • Exploits: aprofiten les vulnerabilitats en un sistema per aconseguir accés al mateix.​
  • Criptomineria furtiva, o cryptojacking: permet l'atacant emprar l'ordinador infectat per minar criptomonedes com bitcoin i enviar-les al moneder de l'atacant.
• Atac de força bruta: ciberdelinqüents utilitzen el mètode de prova i error per endevinar les credencials per mitjà d'eines automatitzades que proven milers de contrasenyes per segon.

Igualment, us recomanam que consulteu els butlletins anteriors següents: 

• Butlletí núm.94: «Reporti possibles casos de phishing».
• Butlletí núm. 93: «Principals amenaces de seguretat per al sector de la salut».
• Butlletí núm.88: «Què és la pesca dirigida o spear phishing?».
• Butlletí núm. 83: «Riscos i amenaces en productes no actualitzats i fora de suport».

Finalment, us recordam que la seguretat de la informació és cosa de tothom i comença per cadascun de nosaltres.

Moltes gràcies per col·laborar.