Cada vez que compete un curso a través de Internet subiré un documento.
En esta ocación se trata de mis apuntes de introduction to Cybersecurity del curso Cisco Networking Academy capitulo 2.
1. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
1
Tabla de contenido
CURSO DE CIBERSEGURIDAD: INTRODUCCION ALA CIBERSEGURIDAD................ 2
CAPITULO 2........................................................................................................................... 2
PRACTICADE TERMINOS Y CONCEPTOS....................................................................... 2
BUSQUEDADE VULNERABILIDADES EN LASEGURIDAD............................................ 2
VULNERABILIDADES DEL SOFTWARE.......................................................................... 2
VULNERABILLIDADES DEL HARDWARE........................................................................ 3
CLASIFICACION DE LAS VULNERABILIDADES EN LA SEGURIDAD ....................... 3
TIPOS DE MALWARE ........................................................................................................... 5
SINTOMAS DEL MALWARE.............................................................................................11
METODOS DE INFILTRACION............................................................................................11
INGIENIERIA SOCIAL..............................................................................................................11
DECODIFICACION DE CONTRASEÑAS WI-FI.............................................................................13
APROVECHAMIENTO DE VULNEBALIDADES............................................................................14
DENEGACION DEL SERCICIO .....................................................................................................15
DoS......................................................................................................................................15
DDoS ...................................................................................................................................15
ENVENENAMIENTO SEO........................................................................................................17
ATAQUES COMBINADOS..........................................................................................................18
¿QUE ES UN ATAQUE COMBINADO?......................................................................................18
2. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
2
CURSO DE CIBERSEGURIDAD: INTRODUCCION A LA CIBERSEGURIDAD
CAPITULO 2
PRACTICA DE TERMINOS Y CONCEPTOS
Este capítulo abarca las maneras en que los profesionales de la ciberseguridad
analizan qué ocurrió después de un ciberataque. Explica las vulnerabilidades de software
y hardware de seguridad y las distintas categorías de las vulnerabilidades de seguridad.
Analiza los diferentes tipos de software malicioso (conocido como malware) y los
síntomas de malware. Cubre las diferentes maneras en que los atacantes pueden
infiltrarse en un sistema, así como los ataques de denegación de servicio. LA MAYORÍA
DE LOS CIBERATAQUES MODERNOS SE CONSIDERAN ATAQUES COMBINADOS.
Los ataques combinados usan varias técnicas para infiltrarse en un sistema y atacarlo.
Cuando un ataque no puede evitarse, es el trabajo del profesional de ciberseguridad
reducir el impacto de dicho ataque.
BUSQUEDA DE VULNERABILIDADES EN LA SEGURIDAD
Las VULNERABILIDADES DE SEGURIDAD SON CUALQUIER TIPO DE DEFECTO
EN SOFTWARE O HARDWARE. Después de obtener conocimientos sobre una
vulnerabilidad, los usuarios malintencionados intentan explotarla.
Un ataque es el término que se utiliza para describir un programa escrito para
aprovecharse de una vulnerabilidad conocida.
El acto de aprovecharse de una vulnerabilidad se conoce como ataque.
EL OBJETIVO DEL ATAQUE ES ACCEDER A UN SISTEMA, los datos que aloja o
recursos específicos.
VULNERABILIDADES DEL SOFTWARE
Las vulnerabilidades de software generalmente se introducen por errores en el sistema
operativo o el código de aplicación.
a pesar de todos los esfuerzos realizados por las empresas para encontrar y corregir
las vulnerabilidades, es común que surjan nuevas vulnerabilidades. Microsoft, Apple y
otros productores de sistemas operativos lanzan parches y actualizaciones casi todos los
días.
Las actualizaciones de las aplicaciones también son comunes. Las aplicaciones como
navegadores web, aplicaciones móviles y servidores web son actualizadas con frecuencia
por las empresas y las organizaciones responsables de estas.
El objetivo de las actualizaciones de software es mantenerse actualizado y evitar el
aprovechamiento de vulnerabilidades.
Algunas empresas tienen equipos de prueba de penetración dedicados a la búsqueda y
la corrección de vulnerabilidades de software antes de que puedan ser aprovechadas, hay
investigadores de seguridad independientes que también se especializan en la búsqueda
de vulnerabilidades de software.
3. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
3
El Proyecto Zero de Google es un excelente ejemplo de esta práctica. Después de
descubrir varias vulnerabilidades en los diversos programas de software utilizados por los
usuarios finales, Google formó un equipo dedicado a encontrar vulnerabilidades de
software.
VULNERABILLIDADES DEL HARDWARE
Las vulnerabilidades de hardware se presentan a menudo mediante defectos de diseño
del hardware.
Las vulnerabilidades de hardware se presentan a menudo mediante defectos de diseño
del hardware. La memoria RAM, por ejemplo, consiste básicamente en capacitores
instalados muy cerca unos de otros. Se descubrió que, debido a la cercanía, los cambios
constantes aplicados a uno de estos capacitores podían influir en los capacitores vecinos.
Por esta falla de diseño, se generó una vulnerabilidad llamada ROWHAMMER.
Mediante la reescritura repetida de memoria en las mismas direcciones, el ataque
Rowhammer permite que se recuperen los datos de las celdas de memoria de direcciones
cercanas, incluso si las celdas están protegidas.
Las vulnerabilidades de hardware son específicas de los modelos de dispositivos y
generalmente no se ven atacadas por intentos comprometedores aleatorios. Si bien las
vulnerabilidades de hardware son más comunes en ataques altamente dirigidos, la
protección contra malware tradicional y la seguridad física son suficientes para proteger al
usuario común.
CLASIFICACION DE LAS VULNERABILIDADES EN LA SEGURIDAD
La mayoría de las vulnerabilidades en la seguridad del software se incluye en una de
las siguientes categorías:
Desbordamiento del búfer: esta vulnerabilidad ocurre cuando los datos se escriben
más allá de los límites de un búfer. Los búferes son áreas de memoria asignadas a
una aplicación. Al cambiar los datos más allá de los límites de un búfer, la
aplicación accede a la memoria asignada a otros procesos. Esto puede llevar a un
bloqueo del sistema, comprometer los datos u ocasionar el escalamiento de los
privilegios.
Aclarando…
Es un error de software que se produce cuando un programa no controla adecuadamente la
cantidadde datos que se copiansobre un área de memoria reservada a tal efecto (buffer), de
forma que si dicha cantidad es superior a la capacidad pre asignada los bytes sobrantes se
almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original.
4. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
4
Un ejemplo de un programa desbordable sería el siguiente:
#include <stdio.h>
main()
{
char userinput[50];
printf("Introduce una cadena: ");
scanf("%s", &userinput); /* posible buffer overflow */
return 0;
}
El programa anterior generará un desbordamiento de buffer si el usuario introduce una
cadena mayor que 50 caracteres pues la misma se usa para llenar un buffer, sin validar
previamente su longitud. Cadenas menores a 50 caracteres no provocaran
inconvenientes. Un atacante podría introducir datos que contengan código de shell y
luego forzar a que lo ejecute en lugar de que vuelva de la función main.
Entrada no validada: los programas suelen trabajar con la entrada de datos. Estos
datos que entran al programa pueden tener contenido malicioso diseñado para
que el programa se comporte de manera no deseada. Considere un programa que
recibe una imagen para procesar. Un usuario malintencionado podría crear un
archivo de imagen con dimensiones de imagen no válidas. Las dimensiones
creadas maliciosamente podrían forzar al programa a asignar búferes de tamaños
incorrectos e imprevistos.
Condiciones de carrera: esta vulnerabilidad sucede cuando el resultado de un
evento depende de resultados ordenados o temporizados. Una condición de
carrera se convierte en una fuente de vulnerabilidad cuando los eventos
ordenados o temporizados requeridos no se producen en el orden correcto o el
tiempo adecuado.
Las condiciones de carrera en un sistema informático se producen siempre y
cuando varios procesos o tareas acceden a un recurso compartido, tales como
memoria, discos dispositivos de entrada/salida cambiando temporalmente su
estado que es reportado a otro proceso como un error. Por ejemplo, se trata de
leer un archivo de texto mientras que otro proceso escribe en él al mismo tiempo.
Supongamos que dos procesos P1 y P2 comparten la variable global a, en algún
punto de su ejecución P1 actualiza a al valor 1 y en el mismo punto de su
ejecución, P2 actualiza a al valor 2; así las dos tareas compiten en una carrera por
Aclarando…
Una condición en la cual múltiples hilos o procesos leen y escriben un dato compartido y el
resultado final depende de la condición relativa de sus ejecuciones,
5. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
5
escribir la variable a. En este ejemplo el “perdedor” de la carrera (el proceso que
actualiza el último) determina el valor de a.
Debilidades en las prácticas de seguridad: los sistemas y los datos confidenciales
pueden protegerse con técnicas tales como autenticación, autorización y
encriptación. Los desarrolladores no deben intentar crear sus propios algoritmos
de seguridad porque es probable que introduzcan vulnerabilidades. Se recomienda
encarecidamente que los desarrolladores utilicen las bibliotecas de seguridad ya
creadas, aprobadas y verificadas.
Problemas de control de acceso: el control de acceso es el proceso de controlar
quién hace qué y va desde la administración del acceso físico a los equipos hasta
determinar quién tiene acceso a un recurso, por ejemplo, un archivo, y qué pueden
hacer con este, como leerlo o modificarlo. Muchas vulnerabilidades de seguridad
se generan por el uso incorrecto de los controles de acceso.
Casi todos los controles de acceso y las prácticas de seguridad pueden superarse
si el atacante tiene acceso físico a los equipos objetivo. Por ejemplo, no importa
que haya configurado los permisos de un archivo, el sistema operativo no puede
evitar que alguien eluda el sistema operativo y lea los datos directamente del
disco. Para proteger los equipos y los datos contenidos, el acceso físico debe
restringirse y deben usarse técnicas de encriptación para proteger los datos contra
robo o daño.
En resumen:
se denomina ENTRADA NO VALIDADA cuando los datos que entran al programa como
contenido malicioso diseñado para que este se comporte de manera no deseada.
se denomina DEBILIDAD EN LAS PRACTICAS DE SEGURIDAD cuando los
desarrolladores intentan crear sus propias aplicaciones de seguridad.
se denominan CONDICIONES DE CARRERA cuando el resultado de un evento
depende de los resultados ordenados.
se denomina DESBORDAMIENTO DEL BUFER cuando una aplicación maliciosa
accede a la memoria asignada a otros procesos.
se denomina problemas de control de acceso a la regulación incorrecta de quién hace
qué y qué puede hacer con los recursos
TIPOS DE MALWARE
Malware, acrónimo para el inglés “Malicious Software” (Software malicioso), es
cualquier código que pueda utilizarse para robar datos, evitar los controles de acceso,
ocasionar daños o comprometer un sistema.
A continuación, se encuentran algunos TIPOS comunes de malware:
Spyware: este malware está diseñado para
RASTREAR Y ESPIAR AL USUARIO, El spyware
a menudo incluye rastreadores de actividades,
recopilación de pulsaciones de teclas y captura
de datos. En el intento por superar las medidas
6. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
6
de seguridad, el spyware a menudo modifica las configuraciones de seguridad. El
spyware con frecuencia se agrupa con el software legítimo o con caballos
troyanos.
los siguientes son unos consejos prácticos para evitar el spyware:
o Descargar todos los programas de fuentes fiables.
o Mantener actualizado el sistema operativo y los navegadores web que
utiliza.
o Instalar antivirus y activar el firewall y cortafuegos para que se actualicen
automáticamente.
o Utilice contraseñas de alta seguridad.
o Instalar programas antimalware que proporcione protección en tiempo real.
Adware: el software de publicidad está DISEÑADO PARA BRINDAR ANUNCIOS
AUTOMÁTICAMENTE. El adware a veces se
instala con algunas versiones de software. Algunos
adware están diseñados para brindar solamente
anuncios, pero también es común que el adware
incluya spyware. Consejos para evitar el adware:
o No hacer clic en los anuncios sospechosos.
o Instalar un antivirus (probablemente tengas que tener un plan de pago ya
que los antivirus con plan free no detecten este tipo de malware).
Bot: de la palabra robot, un bot ES UN MALWARE DISEÑADO PARA REALIZAR
ACCIONES AUTOMÁTICAMENTE, GENERALMENTE EN LÍNEA. Si bien la
mayoría de los bots son inofensivos, un uso cada
vez más frecuente de bots maliciosos es el de los
botnets. Varias computadoras pueden infectarse
con bots programados para esperar
silenciosamente los comandos provistos por el
atacante. Existen los bots conversacionales que
son programas informáticos que se hacen pasar por una persona real en un
programa de mensajería instantánea. Consejos para evitar los botnets:
o Asegurarse de tener un programa antivirus actualizado.
o Tener el sistema operativo actualizado.
o Crear contraseñas fuertes.
o Solo bajar software gratuito de sitios que conozcas y confíes.
o No abrir anexos en correos electrónicos sospechosos.
o No hacer clic en enlaces incluidos en un correo electrónico
7. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
7
Ransomware: El ransomware es un programa de software malicioso que
INFECTA TU COMPUTADORA Y MUESTRA MENSAJES QUE EXIGEN EL
PAGO DE DINERO PARA RESTABLECER EL FUNCIONAMIENTO DEL
SISTEMA. Este tipo de malware es un sistema criminal para ganar dinero que se
puede instalar a través de enlaces engañosos
incluidos en un mensaje de correo electrónico,
mensaje instantáneo o sitio web. El ransomware
tiene la capacidad de bloquear la pantalla de una
computadora o cifrar archivos importantes
predeterminados con una contraseña; El
ransomware trabaja generalmente encriptando los
datos de la computadora con una clave desconocida
para el usuario. Algunas otras versiones de ransomware pueden aprovechar
vulnerabilidades específicas del sistema para bloquearlo. El ransomware se
esparce por un archivo descargado o alguna vulnerabilidad de software.
Hemos entrado en la era del worm ransomware, donde ya no es necesario un
error humano para activar este peligroso malware. Los siguientes son unos
consejos prácticos para prevenir el ransomware:
o HACER UNA COPIA DE SEGURIDAD Es algo que se debería hacer
siempre que se pueda, ya sea de manera manual o, incluso,
automatizándolo gracias a algunas herramientas que se tienen a
disposición Gracias a ello, se puede evitar la pérdida de material y datos
sensibles en caso de robo del dispositivo electrónico o problemas técnicos.
o EDUCAR A LOS USUARIOS A RECONOCERLAS AMANAZAS llevar el
cuidado al hacer clic en enlaces sospechosos Los conceptos básicos de
saber de dónde provienen los archivos, por qué el trabajador los recibe y si
puede confiar en el remitente.
o LIMITAR EL ACCESO la organización se tiene que asegurar de que los
usuarios solo tengan acceso a la información y los recursos necesarios
para ejecutar sus trabajos. «Al tomar este paso, se reduce
significativamente la posibilidad de que un ataque de ransomware se
mueva lateralmente a través de su red.
o ACTUALIZAR LOS SISTEMAS OPERATIVOS Y EL ANTIVIRUS Otra de
las recomendaciones más fuertes es tener actualizados los sistemas
operativos y los antivirus. Desde el punto de vista de la ciberseguridad,
siempre es beneficioso mantener los antivirus Mantener el antivirus
actualizado pueden proteger a la organización contra los malware
actualizados.
o SISTEMAS MULTICAPA, Por último, otra de las recomendaciones de los
expertos es utilizar sistemas de seguridad multicapa con tecnologías
avanzadas de prevención de amenazas. «La implementación de un
sistema de varias capas para la seguridad es la mejor forma de defenderse
del ransomware y del daño que podría causar
8. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
8
Scareware:este tipo de malware está diseñado para PERSUADIR AL USUARIO
DE REALIZAR ACCIONES ESPECÍFICAS EN
FUNCIÓN DEL TEMOR. El scareware FALSIFICA
VENTANAS EMERGENTES QUE SE ASEMEJAN A
LAS VENTANAS DE DIÁLOGO DEL SISTEMA
OPERATIVO. Estas ventanas muestran mensajes
falsificados que indican que el sistema está en riesgo
o necesita la ejecución de un programa específico
para volver al funcionamiento normal. En realidad, no
se evaluó ni detectó ningún problema y, si el usuario
acepta y autoriza la ejecución del programa mencionado, el sistema se infecta con
malware. Consejos para evitar el scareware:
o Tenerel antivirusactivadosiempre; si por error haces clic en estos anuncios,
los antivirus lo detectan inmediatamente para evitar este tipo de conflictos.
o No pagar nunca por nada ni facilitar tu información oculta; muchas de estas
ventanas te piden que llenes tu información personal (como la información
de tarjeta de crédito)
o Buscar solución de terceros.
Rootkit: Código malintencionado EJECUTABLE QUE SE ADJUNTA A
PROGRAMAS LEGITIMOS. Este malware está diseñado para MODIFICAR EL
SISTEMA OPERATIVO A FIN DE CREAR UNA
PUERTA TRASERA. Los atacantes luego utilizan
la puerta trasera para acceder a la computadora
de forma remota, La mayoría de los rootkits
aprovecha las vulnerabilidades de software para
realizar el escalamiento de privilegios y modificar
los archivos del sistema. También es común que
los rootkits modifiquen las herramientas forenses
de supervisión del sistema, por lo que es muy difícil detectarlos. A menudo, una
computadora infectada por un rootkit debe limpiarse y reinstalarse. Los rootkits
pueden MODIFICAR LOS PRIVILEGIOS DE USUARIO LOS ARCHIIVOS DEL
SISTEMA, LA INFORMATICA FORENSE DEL SISTEMA, Y LAS
HERRAMIENTAS DE SUPERVISION por lo que son extremadamente difíciles de
detectar y eliminar (como ya lo he mencionado anteriormente). Consejos para
evitar el Rootkit:
o Hoy en dia hay varias apliccaciones y herramientas para detectar el rootkit,
una de estas aplicaciones es el sophos anti-Rootkit.
o Sistema operativo actualizado.
o Antivirus instalado y actualizado.
9. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
9
Virus: UN VIRUS ES UN CÓDIGO EJECUTABLE MALINTENCIONADO QUE SE
ADJUNTA A OTROS ARCHIVOS EJECUTABLES, GENERALMENTE
PROGRAMAS LEGÍTIMOS. LA MAYORÍA DE LOS VIRUS REQUIERE LA
ACTIVACIÓN DEL USUARIO FINAL Y
PUEDE ACTIVARSE EN UNA FECHA
O UN MOMENTO ESPECÍFICO. Los
virus pueden ser inofensivos y
simplemente mostrar una imagen o
pueden ser destructivos, como los que
modifican o borran datos. Los virus
también pueden programarse para
mutar a fin de evitar la detección. La
mayoría de los virus ahora se esparcen por unidades USB, discos ópticos,
recursos de red compartidos o correo electrónico.
Troyano: UN TROYANO ES MALWARE QUE EJECUTA OPERACIONES
MALICIOSAS BAJO LA APARIENCIA DE
UNA OPERACIÓN DESEADA. ESTE
CÓDIGO MALICIOSO ATACA LOS
PRIVILEGIOS DE USUARIO QUE LO
EJECUTAN. A menudo, los troyanos SE
ENCUENTRAN EN ARCHIVOS DE
IMAGEN, ARCHIVOS DE AUDIO O
JUEGOS. Un troyano se diferencia de un
virus en que se adjunta a archivos no
ejecutables. Consejos para evitar los troyanos:
o Tener el sistema operativo actualizado.
o Tener el antivirus actualizado e instalado.
o Evitar las descargas en páginas de dudosa reputación.
o Analizar todos los archivos descargados a través de
Gusanos: los gusanos son códigos maliciosos
que se replican mediante la explotación
independiente de las VULNERABILIDADES EN
LAS REDES. Los gusanos, POR LO GENERAL,
RALENTIZAN LAS REDES. Mientras que un virus
requiere la ejecución de un programa del host, los
gusanos pueden ejecutarse por sí mismos. A
excepción de la infección inicial, ya no requieren la participación del usuario. Una
vez infectado el host, el gusano puede propagarse rápidamente por la red. LOS
GUSANOS COMPARTEN PATRONES SIMILARES. TODOS TIENEN UNA
VULNERABILIDAD DE ACTIVACIÓN, UNA MANERA DE PROPAGARSE Y
CONTIENEN UNA CARGA ÚTIL.
Los gusanos son responsables de algunos de los ataques más devastadores en
Internet. Como se muestra en esta figura 1, en 2001 el gusano Código Rojo infectó
10. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
10
658 servidores. En el plazo de 19 horas, el gusano infectó más de 300 000
servidores, como se muestra en la Figura 2. Consejos para evitar los gusanos:
o Tener un buen antivirus instalado, el cual actualizaremos periódicamente.
o descargar las actualizaciones de parches de seguridad del sistema
operativo
o descargar las actualizaciones de parches de seguridad del sistema
operativo
o Jamás hacer clic en enlaces recibidos en un mensaje no solicitado, ya que
pueden estar ligados a un archivo que, sin pedir permiso, se transfiere
automáticamente a la computadora.
o No responder jamás mensajes no solicitados.
Hombre en el medio (MitM): el MitM permite que el atacante TOME EL
CONTROL DE UN DISPOSITIVO SIN EL CONOCIMIENTO DEL USUARIO. Con
ese nivel de acceso, el atacante puede interceptar
y capturar información sobre el usuario antes de
retransmitirla a su destino. Los ataques MitM se
usan ampliamente PARA ROBAR INFORMACIÓN
FINANCIERA. Existen muchas técnicas y malware
para proporcionar capacidades de MitM a los
atacantes.
Hombre en el móvil (MitMo): una variación del hombre en el medio, el MitMo es
un tipo de ataque utilizado PARA TOMAR EL CONTROL DE UN DISPOSITIVO
MÓVIL. Cuando está infectado, puede
ordenarse al dispositivo móvil QUE EX
FILTRE INFORMACIÓN CONFIDENCIAL
DEL USUARIO Y LA ENVÍE A LOS
ATACANTES. ZeuS, un ejemplo de ataque
con capacidades de MitMo, permite que los
atacantes CAPTUREN SILENCIOSAMENTE
SMS DE VERIFICACIÓN DE 2 PASOS
ENVIADOS A LOS USUARIOS.
Figura1 Figura2
11. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
11
SINTOMAS DEL MALWARE
Independientemente del tipo de malware con el que se ha infectado un sistema, estos
son síntomas frecuentes de malware:
Aumento del uso de la CPU.
Disminución de la velocidad de la computadora.
La computadora se congela o falla con frecuencia
Hay una disminución en la velocidad de navegación web.
Existen problemas inexplicables con las conexiones de red
Se modifican los archivos
Se eliminan archivos
Hay una presencia de archivos, programas e iconos de escritorio desconocidos
Se ejecutan procesos desconocidos.
Los programas se cierran o reconfiguran solos.
Se envían correos electrónicos sin el conocimiento o el consentimiento del usuario.
METODOS DE INFILTRACION
INGIENIERIA SOCIAL
La ingeniería social es un ataque de acceso
que intenta manipular a las personas para que
realicen acciones o divulguen información
confidencial.
Los ingenieros sociales con frecuencia
dependen de la disposición de las personas
para ayudar, pero también se aprovechan de
sus vulnerabilidades.
Por ejemplo, un atacante puede llamar a un
empleado autorizado con un problema urgente
que requiere acceso inmediato a la red. El
atacante puede atraer la vanidad o la codicia
del empleado o invocar la autoridad mediante
técnicas de nombres.
Aplicaciones p2p: Las aplicaciones P2P (peer to peer) son programas que permiten el
intercambio de archivos entre internautas. En otras palabras, es una red de ordenadores
en la que todos o algunos aspectos funcionan sin clientes ni servidores fijos, sino una
serie de nodos que se comportan como iguales entre sí.
12. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
12
algunos de los tipos de ataques de ingeniería social son: Ataques locales y ataques
remotos.:
Pretexto: esto es cuando UN ATACANTE LLAMA A UNA PERSONA Y MIENTE EN
EL INTENTO DE OBTENER ACCESO A DATOS PRIVILEGIADOS. Un ejemplo
implica a un atacante que pretende necesitar datos personales o financieros para confirmar
la identidad del objetivo.
Seguimiento: esto es cuando un atacante PERSIGUE RÁPIDAMENTE A UNA
PERSONA AUTORIZADA A UN LUGAR SEGURO.
Algo por algo (squid pro quo): esto es cuando un atacante SOLICITA INFORMACIÓN
PERSONAL DE UNA PARTE A CAMBIO DE ALGO, POR EJEMPLO, UN
OBSEQUIO.
Pretexting / impersonate: estas técnicas van unidas y pueden usarse tanto en ataques
locales como en ataques remotos. Un ejemplo puede ser cuando el atacante se hace pasar
por un empleado de soporte técnico de la empresa y presenta algún tipo de excusa o
pretexto (pretexting) como alertar a la víctima de un comportamiento inadecuado en su
equipo el cual requiere intervención, así podrá dar instrucciones específicas que
terminarán en la instalación de algún tipo de malware, concretando asísu objetivo (tomar
el control del equipo, obtenerdatos sensibles,etc)
Falla en controles físicos de seguridad: Quiza uno de los ataques mas usados ya que
existen muchas empresas con fallas en sus controles físicos. supongamos que en la
recepción se encuentra un guardia de seguridad o recepcionista. Esta persona solicita
nombre, apellido, número de documento y el área a la cual se quiere dirigir “la visita”,
pero este guardia o recepcionista no solicita el documento físico ni tampoco llama al
empleado que está siendo “visitado”. Este tipo de ataque es muy efectivo para realizar
Baiting (explicado más abajo), ya que si el control falla desde el inicio es muy probable
que se pueda llegar hasta las oficinas de interés para el atacante.
Dumpster Diving: ¡Es difícil de creer, pero una de las técnicas más usadas es revisar la
basura! Ya que muchas veces (y pasa seguido)se arrojan papeles con información
sensible sin haberlos destruidos previamente. Hablamos de usuarios y contraseñas que
fueron anotadas,números de cuentas,mails impresos, etc. También se suelen encontrar
distintos medios de almacenamiento sin su debida destrucción,como CDs, discos duros,
etc.
Shoulder Surfing: esta es una técnica muy utilizada por los Ingenieros Sociales (y por
los curiosos también) espiar por encima del hombro de las personas.En algunos casos se
hace para poder observarlo que está tecleando la víctima y así poder dilucidar su
password,PIN o patrones de desbloqueos en teléfonos.
Distraccion: Es utilizada para llevar la atención de la víctima a algo irrelevante mientras
el atacante puede obtener todo lo contrario (información valiosa). Gracias a esto el
atacante puede, por ejemplo, sacar una foto de la pantalla o papeles con datos
importantes, robar un Token, pendrive o algún otro dispositivo de almacenamiento.
Baiting: es una técnica muy efectiva. Generalmente se utilizan pendrives con software
malicioso, los que dejan en el escritorio de la víctima o en el camino que la misma realice
(por ejemplo, en el estacionamiento, ascensor,etc.). Para asegurarse del éxito en la
explotación, estudiara la víctima previamente, detectando asíla vulnerabilidad a ser
explotada.
ATAQUES LOCALES
13. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
13
DECODIFICACION DE CONTRASEÑAS WI-FI
La decodificación de contraseñas Wi-Fi es el proceso de detección de la contraseña
utilizada para proteger la red inalámbrica.
Estas son algunas técnicas utilizadas en la decodificación de contraseñas:
Ingeniería social: el atacante manipula a una persona que conoce la contraseña
para que se la proporcione.
Ataques por fuerza bruta: El atacante prueba diversas contraseñas posibles en
el intento de adivinar la contraseña.
Si la contraseña es numero de 4 dígitos, el atacante deberá probar cada una de
las 10.000 combinaciones. Los ataques por fuerza bruta normalmente involucran
un archivo de lista de palabras; este es un archivo de texto que contiene una lista
Phising esta técnica busca “pescar” víctimas. Para ello se utiliza el envío de correos
electrónicos conteniendo adjuntos con malware o links a páginas falsas (home banking,
tarjeta de crédito, etc.) con el objetivo de tomar control del equipo de la víctima o
buscando estableceruna relación con la mismas (jugando con sus sentimientos). Un
ejemplo muy usado es cuando el atacante se presenta como una anciana que posee una
enfermedad mortal y tiene un dinero (generalmente son sumas millonarias) que quiere
donar para beneficencia. Al estarsola y no tener familiares, eligió a la víctima por su
“buen perfil” en Internet, proponiéndole transferir el dinero a su cuenta,dejándole un
porcentaje siempre y cuando se cumpla la condición que el resto del dinero sea donado
con fines solidarios. El objetivo final de este tipo de Phishing generalmente es hacerse de
documentos o pasaportes válidos para seguir cometiendo fraudes con los mismos (piden a
la víctima que envíe distintos datos personales y una fotocopia del documento para
“verificar” su identidad). Además, hay una suma pequeña de dinero (para no levantar
sospechas)que la víctima tendrá que transferir al atacante en concepto de gastos de
escribano, sellados,etc. Esta técnica se convierte aún más peligrosa y efectiva cuando es
apuntada a un objetivo específico, como un empleado que tiene acceso a diferentes
sistemas dentro de su empresa. En este caso se la conoce como Spear Phishing, ya que
más que pescar sería cazar con un arpón
Redes sociales: esta técnica tiene dos grandes objetivos,obtenerinformación de la
víctima por una lado y generar una relación con la misma por otro. Existen muchas
personas “fanáticas” de las redes sociales, las cuales dan a conocersu vida minuto a
minuto, en este caso este tipo de persona es “Oro en Polvo” para los atacantes ya que si la
misma es el objetivo se podrá obtenermuchísima información que será de gran utilidad.
Muchas veces se piensa que esto es solo a nivel personal y no está relacionado con el
trabajo pero muy lejos de la realidad está ese pensamiento ya que quizás esta misma
persona (víctima) cumple al pie de la letra las políticas de seguridad de su empresa, pero a
nivel personal usa las redes sociales sin concientizarse de la brecha de seguridad que está
generando si un atacante lo elige como objetivo.
Telefonicos: Kevin Mitnick fue uno de los famosos Phreakers (Hackers Telefónicos), ya
que como vimos anteriormente solo con el solo uso de un teléfono logro hacer cosas
increíbles. Este tipo de ataque es muy efectivo y utilizado en conjunto con las técnicas de
“Pretexting” e “Impersonate” que vimos al principio, siendo mucho más cómodo y seguro
para el Ingeniero Social usar un teléfono a contraparte de estar en forma presencial
delante de su víctima.
ATAQUES
REMOTOS
14. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
14
de palabras tomadas del diccionario un programa luego prueba cada palabra y las
comunicaciones comunes. Debido a que los ataques por fuerza bruta llevan
tiempo las contraseñas complejas llevan mucho más tiempo para descifrar,
algunas herramientas para forzar las contraseñas incluyen Ophcrack, L0phtCrack,
THC Hydra, RainbowCrack y Medusa.
Monitoreo de red: Mediante la escucha y la captura de paquetes enviados por la
red, un atacante puede descubrir la contraseña (si la contraseña se envía sin cifrar
(en texto plano)); si la contraseña está cifrada el atacante aún puede revelarla
mediante una herramienta de decodificación de contraseñas.
APROVECHAMIENTO DE VULNEBALIDADES
Otro método común de es de aprovechamiento de vulnerabilidades es de
INFILTRACION. El cual consiste en que los atacantes ANALIZAN LAS COMPUTADORAS
PARA OBTENER INFORMACIÓN
El siguiente será un método común de aprovechamiento de vulnerabilidades:
1. En este primer paso el atacante RECOPILA INFORMACIÓN SOBRE EL SISTEMA
DE DESTINO
a. Hay muchas maneras de hacer esto una de ellas es a través de la
ingeniería social.
2. Una parte de la información recopilada en el paso 1 puede ser el sistema operativo
su versión.
3. Conociendo el sistema operativo y su versión el atacante se pega de cualquier tipo
de vulnerabilidad conocida para dicha versión de OS.
4. En este paso ya el atacante --conociendo la vulnerabilidad del OS-- el atacante
hace un ataque (de todos los ataques que se han hablado anteriormente) en caso
de que no se haya desarrollado ningún ataque, éste puede considerar desarrollar
uno.
Una de las formas para lograr la infiltración es a través de AMENAZAS PERTINENTES
AVANZADAS (APT).
las APT consisten en hacer una operación avanzada de varias fases a largo plazo
contra un objetivo específico.
Las APT suelen ser muy bien financiadas ya que requiere una habilidad muy avanzada
por parte del atacante.
Las APT tienen relación con el espionaje con base en la red, cuyo propósito es la de
implementar malware en uno o varios sistemas de destino.
15. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
15
DENEGACION DEL SERCICIO
DoS
Este tipo de ataque de red da una INTERRUPCIÓN DE SERVICIO DE RED A LOS
USUARIOS, DISPOSITIVOS, O APLICACIONES.
Este se lleva a cabo GENERANDO UN GRAN FLUJO DE INFORMACIÓN DESDE
VARIOS PUNTOS DE CONEXIÓN HASTA UN MISMO PUNTO DE DESTINO.
Existen dos tipos de ataques de DoS las cuales son CANTIDAD ABRUMADORA DE
TRAFICO; Y PAQUETES MALICIOSOS FORMATEADOS.
CANTIDAD ABRUMADORA DE TRAFICO: Este ataque pasa al momento de que
SE ENVÍA UNA GRAN CANTIDAD DE DATOS A UNA RED, A UN HOST, O A
UNA APLICACIÓN a una velocidad que es difícil de administrar, lo que ocasiona
una DISMINUCIÓN DE VELOCIDAD DE TRANSMISIÓN O UNA FALLA EN UN
DISPOSITIVO O SERVICIO.
PAQUETES MALICIOSOS FORMATEADOS: Este ataque pasa al momento de
que SE ENVIA UN PAQUETE MALICIOSO FORMATEADO A UN HOST O A UNA
APLICACIÓN en esta ocasión el receptor no puede controlarlo. Si un atacante por
ejemplo envía paquetes que contienen errores que la aplicación le es difícil de
identificar, o reenvía paquetes incorrectamente formateados el dispositivo del
receptor hace que no se ejecute normalmente sino de manera lenta.
” Riesgo importante”, así se consideran los ataques de DoS ya que interrumpen
fácilmente la comunicación y causan una gran pérdida de tiempo y dinero.
De hecho, un atacante inexperto puede llevar a cabo este ataque debido a su
simplicidad.
DDoS
D=DISK
o=Operating
S=System
Ataques de denegación del
servicio (en español)
16. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
16
A diferenciade DoS,el DDoSproviene de múltiplesfuentescoordinadas.
A modo de ejemplounDDoS podría darse de la siguientemanera:
1. Un atacante crea una redde hosts infectados,denominadabotnet (Loshostsinfectadosse
denominanzombies).
2. Los zombiessoncontroladosporsistemasmanipuladores.
3. Las computadoraszombie constantementeanalizane infectanmáshostsloque genera
más zombies.
4. Cuandoestálisto,el hackerproporcionainstruccionesa lossistemasmanipuladorespara
que losbotnetde zombiesllevenacaboun ataque DDoS.
Estosataquesson probablementelos máscomunesala hora de tumbar una página weboun
servicioonline.
Millonesde peticionesdirigidasalaveza un servidorlohacen“estallar”.
El usuariosolove que no puede accederala página la verdaderabatallase produce pordentro.
Esto que pasapor dentrode un ataque DDoS: ataque DDoS entiemporeal
Cada unode los pequeñospuntosde coloresesunapeticiónde accesoal servidor.
Las que sondel mismocolorpertenecenal mismohostque lasenvía.
A la derecha,vemosal servidorinundadode peticiones,tratandode servirlastodas(lospuntos
que rebotande vueltaal host)
Los puntosque norecoge la paletade la derechayse pierdenenlapantallasonel númerode
errores404 que venlos usuariosque nopuedenacceder.
Un DDoS es tal cual, unbombardeomasivode peticionesque acabanportumbarlos
servidores.
D
D
o
S
Denegaciónde servicio
distribuido(enespañol)
17. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
17
DDoS esmuyutilizadoporlosatacantesya que esbarato, difícil de detectaryaltamente
efectivo.
Sonbaratos por que puedenproporcionarredesdistribuidasde cientosde ordenadores
zombiesinfectadoscongusanosuotro tipode métodosautomáticos.
Los departamentosde Tecnologíasde laInformación(TI) necesitanestaralertaydar pasos
preventivoscontralosataquesDDoS.La firma analistaGartnerafirmaque la mitigaciónde los
ataquesDDoS deberíaser"una parte estándarde la planificaciónenlarecuperaciónde desastresy
la continuidadde negocioydebe serincluidoentodoslosserviciosde Internetcuandoel negocio
depende de ladisponibilidadde laconectividadaInternet".Parahacerestoefectivo,unnegocio
debe serpreventivo,estarpreparadoyserfuerte contralosataquesDDoS.
En muchoscasos,los ISP puedenserlaprimeralíneade defensafrente alosDDoS.
Una organizaciónTI bienpreparadadeberíaidentificarlaspartesde lared más propensasaser
atacadas por DDoS,
Los ataquesDDoSson difícilesde detectaryaque amenudoutilizanconexionesnormalese
imitanel tráficoautorizadonormal
Comoresultadoesaltamente efectivoyaque normalmentelosservidoresobjetivosconfíanpor
error enel tráficoy, por tanto,facilitanlosataquesejecutandolasolicitudque enúltimainstancia
losinunda.
Las organizacionesTIdeberíaninvertirenevaluare implementarproductosyservicios
apropiados.Porejemplo,algunosfirewallsde próximageneraciónponende relievelas
contramedidasde prevenciónydetecciónde intrusionescontraataquesDDoSconocidos,que
puedenseractualizadosautomáticamente connuevasfirmas.
losdepartamentosde TInecesitaránunfirewallparaanalizarenprofundidadtantoel tráficode
entradacomo el de salida.
El proveedorde serviciosde Internet,(ISP,porlasiglaeninglésde Internetserviceprovider) esla
empresaque brindaconexiónaInternetasusclientes.UnISPconectaa sus usuariosa Interneta
travésde diferentestecnologíascomoDSL,cablemódem,GSM,dial-up,etc. El módemeslafigura
que actúa como intérprete de todosellos.Llevalasseñalesprocedentesdel proveedorde servicio
de internet(ISP) ylastransformaenuna conexiónainternetparaque surouterWi-Fi lasreenvíe.
ENVENENAMIENTO SEO
Para poderentenderbienel conceptode envenenamientoseo, debemoscomprenderque es
seo.
SEO: esel posicionamientonatural enlosbuscadores.Estaeslamanerade trabajar a nivel
web.
Parte del SEO tiene lugardentrode nuestrositiowebutilizandounaoptimizaciónde laweba
travésde palabrasclave de etiquetasde meta-etiquetasetc.;lastécnicasSEOse refiere
principalmente al trabajodentrode nuestraspropiaspáginaswebofuerade ellas.
18. Apuntesde:DiegoCoronado
Tomada de:Cursode Introduction ToCybersecurity de CiscoNetworkingAcademy
18
Una de lasprincipalesventajasdel SEO esque esDURADERO EN EL TIEMPO.
Parte importante del posicionamientoSEOesLA CREACION DEL CONTENIDO,el contenido
siempre vaa estarhay.
Otra de las ventajasdel SEOesque puedesdecidira qué publicoquieresllegar; atravésdel SEO
nos vaa vercualquierpersonaque use unapalabraclave enel buscadorde preferencia.
Aunque muchasempresaslegítimasse especializanenlaoptimizaciónde sitioswebpara
mejorarsu posición,unusuariomalintencionadopuede utilizarlaSEOpara hacer que un sitioweb
maliciosoaparezcamásarriba enlosresultadosde labúsqueda.Estatécnicase denomina
envenenamientoSEO
ATAQUES COMBINADOS
¿QUE ES UN ATAQUE COMBINADO?
Estosataquesusan diversastécnicasparallegaral objetivo, atravésde estastécnicaslos
atacantespuedencombinarmalware congusanos,troyanos,spyware,spam, yesquemasde
suplantaciónde identidad.
Comúnmente estosataquesllegancomomensajeala bandejade correo nodeseado.
otrosde losataquescombinadosutilizanDDoScombinadoconcorreoselectrónicosde
suplantacióne identidad(denominadoscomophishing).
Primero,el ataque DDoSse utilizaparasuspenderunsitiowebpopularde unbancoy enviar
correoselectrónicosasusclientesdisculpándose porlainconveniencia.El correoelectrónico
ademásre direccionaalosusuariosa un sitiode emergenciafalsodonde lainformaciónreal de
iniciode sesiónpuedeserrobada.
Hoy endía no hay medidasde seguridad 100% eficientesenlasempresas,lassiguientesson
algunasde las muchastécnicasque una empresadebe adaptarala hora de identificaruna
violaciónde seguridad:
COMUNICAREL PROBLEMA, informarinternamente alosempleadosde laempresa.E
informarexternamente alosclientesatravésde comunicacióndirectayanuncios
oficiales.
SER SINCEROY ASUMIR LA RESPONSABILIDADencasode que laempresatengala culpa.
PROPORCIONARTODOSLOSDETALLES y explicarporque ocurrióel problemayque se vio
afectado
COMPRENDER QUÉ CAUSOY FACILITÓLA VIOLACION DESEGURIDAD, si hay que contratar
expertoseninformáticaforense parainvestigaryconocerlosdetalles.
APLICARLO APRENDIDODE LA INVESTIGACION DELA INFORMATICA FORENCE para
garantizarque no se produzcan violacionesde seguridadenel futuro.
AEGURARSE DE QUE TODOSLOS SISTEMAS ESTEN LIMPIOS,QUE SE HAYAN INSTALADO
PUERTAS TRASERASY QUE NO HAYA NADA MAS COMPROMETIDO
CAPACITARA LOS EMPLEADOS,LOS PARTNERSY A LOS CLIENTES ACERCA DE COMO
PREVENIRESTE TIPO DE VIOLACIONES.