Sql Injection

Se conoce como un método de ingresar a una aplicación que contenga código “sql”, valiéndose
de una vulnerabilidad, así realizar consultas a una base de datos, se puede decir también que
se conoce a la Inyección SQL como el tipo de vulnerabilidad, método de infiltración, incrustar
código SQL intruso y a la porción de este código introducido.

El funcionamiento del “Sql Injection” se muestra al inyectar código intruso (invasor), dentro de
código Sql ya programado afectando el programa y ejecutado el código deseado, siendo
comúnmente de carácter malicioso. La intrusión ocurre durante la ejecución del programa
vulnerable, en computadores de escritorio o bien en sitios Web, en éste último caso
ejecutándose en el servidor que los aloja.

Buffer Overflow

Es un error de software producido cuando se copia una cantidad de datos sobre un área que es
insuficiente para contenerlos, sobrescribiendo otras zonas de memoria, debido a un fallo de
programación. Al producirse este problema fuera de una zona protegida se produce una
excepción del acceso a memoria (indexoutofbounds, segmentation fault, entre otros),
produciendo la terminación de la aplicación donde una persona mal intencionada puede
aprovecharse de esta debilidad y apoderarse de la aplicación.

Cross-Site Scripting XSS

Es un ataque a vulnerabilidades donde se da un ataque que permita ejecutar código “script”
(VBScript o JavaScript), en distintos orígenes, principalmente en una página web. Estas
debilidades pueden darse de manera directa o indirecta.

Directa (Persistente): este tipo de XSS comúnmente filtrado, y consiste en invadir código HTML
peligroso en sitios que así lo permiten; incluyendo así etiquetas como lo son <script> o
<iframe>.

Indirecta (Reflejada): este tipo de XSS consiste en modificar valores que la aplicación web
utiliza para pasar variables entre dos páginas, sin usar sesiones y sucede cuando hay un
mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP.
Estafa nigeriana
Es una estafa que se da por medio de correos electrónicos donde se ilusiona a la persona a
obtener una fortuna con tal de pagar una suma por adelantado como condición.

Tipos de Estafa 419:

1. Esta es la más clásica conocida como estafa nigeriana o africana, donde una autoridad
gubernamental, petrolera o bancaria le solicita a un destinatario datos personales
sobre cuentas bancarias para transferir cantidades de dinero para sacar del país
obteniendo el estafado una comisión de ese dinero.

2. Lotería: Donde se le muestra a una persona que ha ganado la lotería, tras continuos
contactos se le solicita algún tipo de depósito para algún trámite, así obtener su
premio aunque no haya participado en alguna lotería.

3. En este tipo de estafa supuestos representantes de un pariente desconocido envían un

correo electrónico a la persona a estafar donde le anuncian del fallecimiento de este
explicando que es adinerado, incluyéndolo como beneficiario de un testamento,
pidiendo un deposito monetario para algún tipo de gasto, esto utilizando técnicas
sociales para acertar datos sencillos como apellidos y nombre de la persona a estafar.

4. Existe una supuesta persona adinerada en alguna cárcel española o africana en varios
casos, donde esta con una identidad falsa, le pide a un intermediario (secuaz) y este
convence a la persona a timar de proporcionar una cantidad de dinero para pagar su
fianza asegurándole que recibirá una cantidad de dinero generosa por su intervención,
además le solicita más dinero posteriormente para otros tipos de gastos,
desapareciendo cuando el timo está hecho.

5. Celular(Ebay): Se da la venta de un celular por medio de Ebay, donde el comprador

puja con una gran suma al final de la subasta, este comprador especifica que el celular
va a una dirección y a una persona que esta de misionero(se da principalmente en
Nigeria) , se engaña al vendedor con una factura creada por Paypal con un enlace
falso, especificando que no se realizará el depósito hasta que realice el envió de ítem,
si el vendedor envía el articulo nunca recibirá el dinero.

6. La compensación. Se hace llegar a la víctima un mensaje donde se le informa que el

estado nigeriano la compensará por haber sido víctima de la "Estafa Nigeriana"
(aunque la potencial víctima no lo haya sido), con sumas entre U$850.000 a
U$1.000.000. En este tipo de estafa se le señala al destinatario del mensaje que
 contacte al funcionario encargado quien, para asuntos burocráticos de la
compensación, pedirá el depósito de una suma cercana a los U$1.000.

7. Compraventa de un vehículo por internet: al tratar de vender un vehículo se recibe un

correo electrónico de un posible comprador que sin ver el auto o preguntar mucho
decide comprar el vehículo, hasta paga más de lo pedido. Este envía un cheque con un
monto donde se tarda un tiempo en cobrarlo en un banco (además de enviar
documentos de compra y certificados de validez), pero el comprador decide no
comprar el vehículo después de haber enviado el dinero, amenaza con denunciar si no
le envían el dinero rápido y como se supone que todo está en regla el vendedor envía
el dinero al comprador (estafador) dándose cuenta unos día después al tratar de
cobrar el cheque que este no tiene fondos.

OSSTMM

(Open Source Security Testing Methodology Manual) Manual de la Metodología Abierta de

Comprobación de la Seguridad.

Este manual es utilizado en auditorías de seguridad para comprobar la seguridad de un

sistema por medio de internet, incluyendo pasos a seguir para llevar a cabo la auditoría de
acuerdo a las normas establecidas en dicho documento, Este manual está en constante
evolución dado a la intervención de expertos en el tema.

Entre algunos puntos de esta herramienta, se procesa la seguridad de la información,

procesos, tomando en cuenta principalmente la seguridad en tecnologías de Internet
(telecomunicaciones) incluyendo seguridad inalámbrica conforme a normas estándar de La
IEEE, además de redes físicas, siendo una herramienta de utilidad para procesos de auditorías
facilitando el manejo y revisión de información.

NIST SP800-42

NIST (National Institute of Standards and Technology) Special Publication 800-42 es una línea
guía de recomendaciones en pruebas (Testing) de la seguridad de la información.

Entre sus procesos se manejan los administradores de sistema y administradores, roles,

escaneo de redes, antivirus, niveles de penetración, entre otros que principalmente se dedican
a descubrir las vulnerabilidades de un sistema. Esta herramienta fue publicada en el año 2003
y ha sido remplazada por la SP 800-115, (Technical Guide to Information Security Testing and
Assessment) Guía Técnica de Seguridad de la Información y Pruebas de Evaluación,
proporcionando una guía para la planificación y realización de pruebas (como las que realiza
SP800-42), análisis de resultados y desarrollo de estrategias de limitación de riesgos
indefinidos. El documento ofrece una visión general de las pruebas de seguridad, con los
beneficios y limitaciones de las diferentes técnicas de las pruebas técnicas y recomendaciones
para su uso.
Ataque día cero (0 day)

Este ataque es uno de los más poderosos ataques en la informática, donde se ataca a una
computadora, encontrando vulnerabilidades siendo estas desconocidas para las aplicaciones
informáticas, esta herramienta siendo un “exploit”, es desconocida para el público en general
y hasta para el fabricante del producto en ataque. Existen varias formas de daño como ataques
a navegadores web por medio de códigos de este tipo dado a que los navegadores son
distribuidos de forma masiva en el público y con el uso de “malwares” se pueden obtener
datos personales incluyendo cuentas bancarias y demás.

Los ataques día-cero ocurren cuando una vulnerabilidad tiene un lapso de tiempo existente
entre el tiempo en el que se publica una amenaza y el tiempo en el que se publican los parches
que los solucionan, usando virus y troyanos.