1.

ATAQUES Y MEDIDAS EN
SISTEMAS PERSONALES
Seguridad fsica: Del hardware.
Seguridad lgica: Del software.
Seguridad activa: Evitar daos.
Seguridad pasiva: Paliar o minimizar daos.
Ataque: Materializacin de una amenaza,
debido a una vulnerabilidad.

1.1.2. USO DE LAS VULNERABILIDADES.

Uso de las vulnerabilidades del sistema:

Programas diseados para utilizar
determinadas vulnerabilidades del sistema.
lExploits: Programa en un lenguaje de
programacin que opera en el sistema
atacado y causarle un mal funcionamiento.
l

1.1. CLASIFICACION DE LOS ATAQUES.

Activos: Extraen informacin. No producen

cambios.
lPasivos: Producen cambios en el sistema.
l

1.1. CLASIFICACION DE LOS

ATAQUES
a)Reconocimiento del sistema.
b)Aprovechamiento de vulnerabilidades
c)Interceptacin de mensajes.
d)Suplantacin de identidad I.
e)Suplantacin de identidad II.
f)Modificacin del trfico y tablas de enrutamiento.
g)Cross site scripting.
h)Inyeccin del cdigo SQL.
i)Ataques contra usuarios y contraseas.

1.1.1. RECONOCIMIENTO DEL

SISTEMA
Ataque de reconocimiento del sistema: Su
objetivo la obtencin de informacin del
sistema.
lTcnicas:
l

lEscaneo de puertos. Se

visualizan los puertos activos, los

servicios y las aplicaciones que se ejecutan.
lHerramienta whois: Permite conocer los datos a partir de la
IP o de la URL utilizada.

1.1.2. APROVECHAMIENTO DE
VULNERABILIDADES
Uso de vulnerabilidades del sistema mediante
programas diseados para atacar
vulnerabilidades.
lExploits: Programas escritos en un Lenguaje de
programacin capaz de operar en el sistema
atacado y causar un mal funcionamiento.
l

1.1.3. INTERCEPTACIN DE MENSAJES.

Ataque cuyo objetivo es el robo de informacin, con difcil
interceptacin.
lVulnerabilidades:
lPosibilidad de interceptacin de correo a travs de
Internet.
lLa privacidad se consigue con la encriptacin de la
informacin.
lLa posibilidad de acceso al almacenamiento de las
copias de los correos en servidores de correo.
lSoluciones:
lEncriptacin del contenido del correo con cifrado
asimtrico, usando PGP y S/MIME, pero no las
cabeceras.
l

1.1.4. SUPLANTACIN DE IDENTIDAD I

IP Spoofing: Suplantacin de IP. Se sustituye la Ip

origen de un paquete TCP/IP por otra IP. Ejemplo:
nmap
lDNS Spoofing: Asigna una direccin falsa a un
nombre de dominio DNS o viceversa. Ejemplo:
Ettercap simula un ataque DNS spoofing.
lSMTP Spoofing: Falseamiento del origen del
mensaje, un servidor de correo que acepte
conexiones por el Puerto 25 est expuesto a este
tipo de ataques.
l

1.1.5. SUPLANTACIN DE IDENTIDAD II

Ejemplo: Un usuario de correo descarga un correo
proveniente de un emisor no vlido o no existente.
lMediante el uso de Ingeniera social se pueden robar
nombres de usuarios y contraseas.
lEjemplo: Phising. Mediante el engao se capta informacin
confidencial del usuario como datos bancarios y tarjetas de
crdito.
lPhising: Envo de correo electronico con una URL parecida a
la bancaria real, donde se piden claves o numero de cuenta
bancaria para una determinada operacin.
l

1.1.6. MODIFICACIN DEL TRFICO Y TABLAS DE RUTAS

Ataque que consiste en variar la ruta de los paquetes en la
red, interfiriendo en los protocolos y tablas de enrutamiento.
lActan sobre paquetes ICMP Redirect que usan los routers
para indicar a otros router otras rutas alternativas sin pasar
por l.
lLos paquetes ICMP Redirect deben filtrarse con cuidado por
ser causas de ataques MitM (Man in the middle ataque en
el que se intercepta y moodifica lal informacin sin que sea
detectado).
lICMP Redirect puede deshabilitarse en los dispositivos de
red la opcin de recepcin de estos paquetes.
lHping es una herramienta para el envo de mensajes ICMP
Redirect
l

1.1.7. CROSS-SITE SCRIPTING

Ataque tambin llamado XSS (vulnerabilidad que permite
ejecutar cdigo dentro de HTML, en general maligno) que se
produce cuando se ejecutan scripts en VBS y Javascript en
paginas web.
lSe produce cuando se envan cadenas de texto entre
formularios de pginas webs dinmicas (web interactivas con
operaciones sobre BBDD o foros).
l Cuando el script es malicioso pueden realizar acciones que
interfieren el funcionamiento del equipo atacado.
l

1.1.8. INYECCIN DE CDIGO SQL.

Ataque por inyeccin de cdigo SQL en aplicaciones
diseadas o que emplean lenguaje SQL en su operatividad
con BBDD o aplicaciones que trabajan con BBDD.
lConsiste en introducir cdigo SQL dentro del cdigo legitimo
para alterar el funcionamiento de la aplicacin.
l

1.1.9. ATAQUES CONTRA USUARIOS Y CONTRASEAS

Ataque cuyo objetivo es descubrir claves o contraseas con
las que poder acceder a un sistema sin tener autorizacin.
lTcnicas:
lFuerza bruta:
lDiccionario:
lAtaque de fuerza bruta: utiliza todas las combinaciones
posibles hasta encontrar la correcta.
lTecnica del diccionario: Prueban todas las combinaciones
posibles de un archivo o diccionario.
lGeneralmente se combinan ambas tecnicas, y se suelen
utilizar mucho para descubrir claves de acceso de redes
inalambricas.
lEjemplo: Medusa.
l

1.2. ANATOMIA DE ATAQUES Y ANALISIS DE SOFT MALICIOSO

Fases que forman parte de un ataque informtico:
lReconocimiento: Recopila informacin sobre el usuario objeto del ataque,
usando por ejemplo, tecnicas de ingeniera social y busquedas avanzadas
en Internet.
lExploracin o escaneo del sistema: Se utilizan sniffers, escaneo de puertos
o herramienta que muestre la debilidad del sistema objetivo. Se localizan
IPs o nombres DNS de la victima, puertos abiertos o aplicaciones ms
usadas.
lAcceso: Se accede al sistema mediante el crackeo, robo de contraseas,
acceso a recursos compartidos del sistema sin autorizacin o se efecta un
DoS.
lMantenimiento del acceso: Se entra en el sistema y se modifican los
privilegios o se crean nuevas vulnerabilidades que permitan un acceso
posterior. Ejemplos: backdoor y troyanos.
lBorrado de huellas: Se borran los rastros que se hayan dejado en los
accesos no permitidos, se limpian en la medida de los posible, los ficheros
logs y las alarmas del sistema.

1.2.1. ANALISIS DE SOFTWARE MALICIOSO.

Las herramientas se disean teniendo en cuenta los datos extrados de los
anlisis efectuados sobre el malware -cdigo programable-.
lPara analizar al malware se hacen 2 tipos de anlisis denominados cajas de
arena o sandox (siempre en entornos aislados):
lAnlisis esttico: Se analiza el cdigo linea a linea y se determinan si son
maliciosas o no, pero sin ejecutar software
lSe analiza a bajo nivel, ya que en la mayora de los casos solo se dispone
del archivo ejecutable grandes especialistas-.
lAnlisis dinmico: Se ejecuta el malware en un entorno que simula el
entorno real y se analizan las consecuencias de su ejecucin para adoptar
distintas estrategias sobre l.
lBasado en la ejecucin y monitorizacin de procesos, conexiones
establecidas y formas en la que se comunica con otro equipo remoto
usando mquinas virtuales.
Caja de arena: Todo lo probado se aisla del exterior y el exterior no se modifica
por lo que ocurre dentro de la caja.
l

1.3. HERRAMIENTAS PREVENTIVAS. INSTALACIN Y CONFIG.

Las herramientas preventivas se utilzian para evitar que el malware se instale
en el sistema.
lTipo de herramientas preventivas:
lInstalacin de antivirus.
lConfiguracion de cortafuegos.
lEncriptacin de la informacin.
lInstalacin de herramientas de deteccin de intrusos.
lUtilizacin segura de entornos vulnerables.
l

Antivirus: Descargables desde Internet, algunos gratuitos y para todas las

plataformas.
Ejemplo de antivirus para Linux: ClamAV

1.3.1. CORTAFUEGOS Y ENCRIPTACION.

Los cortafuegos se configuran segn las necesidades de cada usuario y
limitando las aplicaciones a las mnimas necesarias para el sistema.
lLo ms seguro es tenerlo activado, pero en ocasiones existe la necesidad de
permitir que determinadas aplicaciones o procesos se aadan a las
Excepciones.
lEncriptacin: Existen herramientas gratuitas existentes en Internet.
lEn Ubuntu: Seahorse en el entorno Gnome, usado con la herramientas
GnuPG.
lEn Windows:
lPara cifrar la informacin se necesita realizar 2 pasos:
lGenerar las claves.
lCifrar la informacin con dichas claves.
l

1.3.2. DETECCIN DE INTRUSOS.

La deteccin de intrusos es tambin una medida preventiva.
lLas herramientas utilizadas para la deteccin de intrusos se denominan IDS
(Sistemas de Deteccin de Intrusos).
lEl funcionamiento de estas herramientas se basa en el anlisis del trfico de la
red y la comparacin con comportamientos estndar de los intrusos.
lExisten 2 tipos de sistemas de deteccin de intrusos:
lHost IDS o HIDS: Detectan intrusiones en los hosts.
lNetwork IDS o NIDS: Detectan intrusiones en toda la red.
lLa diferencia es que los HIDS solo actan a nivel local y los NIDS lo hacen a nivel
de red, por lo que es necesario tener un dispositivo de red configurado en
modo promiscuo -mod en el que la tarjeta de red detecta todo el trfico que
circula por el segmento de red-.
l

1.3.3. PRECAUCIONES EN ENTORNOS DE RIESGO.

En entornos de riesgo -Correo electrnico, redes sociales, programas de mensajera,
compras online- existen una serie de recomendaciones:
lEvitar el reenvo de mensajes masivos: Posible causa de que las direcciones de la
agenda caigan en manos de personas que realicen un mal uso y deriven en spam y
tcnicas de ingeniera como el phising.
lPara enviar mensajes a varios usuarios, utilizar un solo destinatario y para el
resto situarlos en copia oculta, para evitar que las direcciones de todos
aparezcan en los correos.
lNo utilizar contraseas dbiles: Riesgo de que un usuario no autorizado acceda a la
cuenta y consiga inforamcin que pueda utilziar para fines no deseados.
lUna buena contrasea con 8 caracteres y uso de letras, nmeros y
caracteres.
lPrecauciones en las compras en Internet: Comprar en lugares donde se tenga
informacin del vendedor, con datos de su direccin fsica y tfno. Leerse las
condiciones de compra y garanta.
lForma de pago: Escoger mtodos que no impliquen proporcionar datos bancarios y
si no es posible utilizar mecanismos de pago seguros.
l

1.4. HERRAMIENTAS PALIATIVAS. INSTALACIN Y CONFIG.

El objetivo es evitar daos producidos por el malware. Lo ms comn es que una
misma herramienta de seguridad este diseada para prevenir y paliar.
lLas copias de seguridad o backup es una buena medida paliativa -aunque tambin
se puede considerar preventiva-.
lEjemplos de herramientas:
lRsync.
lAcronis True Image.
lEl almacenamiento en la red o cloud computing. Este backup se realiza gracias a
servicios prestados por empresas con CPD accedibles desde Internet.
lEjemplos de herramientas:
lDripbox.
lWindows Live Mesh 2011
lSugarsync.
lWindows Live Skydrive.
l

Estas aplicaciones almacenan en una carpeta del sistema Public los archivos y
permiten la accesibilidad desde cualquier lugar con conexin a Internet.
lEntre otras funciones permite la sincronizacin de archivos a travs de la nube.
l

1.5. ACTUALIZACIN DE SISTEMAS Y APLICACIONES.

Es un mecanismo tanto paliativo como preventivo y permite prevenir daos
en los sistemas informticos.
lLas vulnerabilidades son directamente proporcionales al nmero de
aplicaciones y a los sistemas (ms sistemas y aplicaciones mas vulner.)
lObjetivos de las actualizaciones:
lCorregir bugs o fallos.
lAadir nuevas funcionalidades.
lLas actualizaciones mejoran -en teora- la velocidad de trabajo y la
seguridad.
lTambin se pueden seleccionar las actualizaciones que se desean instalar,
mejorando posibles incompatibilidades con aplicaciones instaladas o con el
hardware donde se pretende instalar la actualizacin.
l

2. SEGURIDAD EN LA CONEXIN DE REDES PBLICAS.

El uso de redes pblicas y la coomparticin de informacin ha sido el origen
de la mayor parte de los problemas de seguridad.
lUna LAN sin conexin exterior, la seguridad queda circunscrita a los
usuarios locales.
lUna LAN con conexin a Internet, implica limitar el nmero de
usuarios que pueden acceder a la LAN.
lPara trabajar con redes publicas existen mecanismos que permiten trabajar
de forma segura.
lConexiones inalambricas cifrdas: WEP, WPA y WPA2.
lConexiones SSH.
lUtilizacin VPN.
lUso de HTTPS en la navegacin.
lUso de mecanismos de identificacin digital.
lComo todo lo que viaja por la red tiene la posibilidad de ser interceptado, las
soluciones anteriores tienen agujeros de seguridad.
lLas redes inalambricas abiertas suponen:
lCualquier usuario puede utilizarla, sin saber sus objetivos.
lLa interceptacin de los datos es ms fcil.
l

2.1. IDENTIFICACIN DIGITAL.

La identificacin digital asegura la autentificacin, la confidencialidad y la integridad
de las comunicaciones en Internet.
lLa identificacin digital es una representacin legal de la identidad y se puede
conseguir con varios mtodos:
Contraseas:
Tarjetas de identificacin:
Sistemas biomtricos:
Certificados digitales:
lCada mtodo empleado utiliza rasgos diferentes:
Las contraseas utilizan una conjunto de caracteres.
Las tarjetas de identificacin utilizan chips para guardar la informacin.
Los sistemas biomtricos utilizan rasgos fsicos de cada usuario.
Los certificados digitales usan informacin de los usuarios para generar un
software que los identifique.
lEn las redes publicas, el uso de identificacin digital es fundamental para asegurar la
identidad tanto del emisor como del receptor de la transaccin.
lLa identificacin digital debe crearse y asociarse al usuario que se desea representar.
l

2.2. FIRMA ELECTRNICA Y CERTIFICADO DIGITAL.

Se utilizan para verificar que cada una de las partes intervinientes e una
comunicacin son quienes dicen ser.
lFirma digital: Secuencia de caracteres -firma personal- que identifica a una persona
fsica o jurdica.
lDiferencias:
Una firma digital utiliza criptografa de clave pblica o asimtrica. Se pueden
almacenar en soportes hardware y software.
Firma electrnica: firma digital que se ah almacenado en un soporte
hardware.
l

Para generar una firma digital se utiliza una funcin hash que actua sobre los datos a
firmar y una clave privada de cifrado
lCertificado digital: Archivo que contiene los datos del propietario, su clave publica y
la firma digital de una autoridad con competencias para expedir dicho certificado
(FNMT) que es responsable de verificar que los datos corresponden al propietario del
certificado.
lUn certificado digital realiza funciones similares -en las comunicaciones en Internetsimilares a las de un documento oficial de identificacin como el DNI o el pasaporte.
lEl certificado digital se usa para verificar la identidad del firmante y su clave publica.
l

2.3. PUBLICIDAD Y CORREO NO DESEADO.

El correo no deseado o spam se refiere a la publicidad enviada a destinatarios que no
lo desean y cuys direcciones de correo se han obtenido de Internet.
lEl spam perjudica de diferentes formas:
Utiliza servidores de correo SMTP para su proceso.
Consume recursos de CPU.
Utiliza espacio en disco de servidor y de los destinatarios.
Disminuye el ancho de banda de la red.
Aumenta la posibilidad de infeccin con virus y troyanos.
lLos spammers -responsables del spam- necesitan de direcciones de correo para el
envo de mensajes. Tecnicas usadas:
Generar direcciones de correo de un determinado dominio de forma
aleatoria.
Comprar bases de datos de usuarios.
Acceder a listas de correo de usuarios.
Empleo de tecnicas de ingenieria social.
lLos spammers utilizan varios metodos para el envo:
Envios directos desde servidores alquilados.
Retransmisiones a travs de servidores accesibles desde el exterior.
Uso de redes zombies.
l

3. ELABORACION DE UN MANUAL DE SEGURIDAD Y

PLANES DE CONTINGENCIA
Elaboracin de un manual de seguridad: establecer los estndares de seguridad que
deben ser seguidos, suministrar un conjunto de normas que determinen como se debe
actuar para evitar problemas, mientras los planes de contingencia, tienen como
objetivo recuperar a la organizacin de los desastres sufridos.
Elaborado tomando como base la filosofa de la organizacin donde se pretenda
implantar, as como el grado de conocimientos de los profesionales que la integran.
Pasos para elaborar un manual de seguridad:
Formar un equipo integrado por personas de diferentes departamentos.
Elaborar el documento.
Publicar de manera oficial el manual.

El equipo que elabora el manual debe estar formado por personas de distinto perfil.
Formado el equipo se elabora el documento.

3.1. PLAN DE CONTINGENCIAS.

Plan de contingencias est diseado para recuperar el funcionamiento normal del
sistema, una vez que se ha producido una incidencia de la que el sistema se debe
recuperar, deber contemplar al menos:
Un anlisis de riesgos del sistema.
Un estudio de las protecciones actuales.
Un plan de recuperacin antes, durante y despus del desastre.
El anlisis de riesgos debe responder a:
Estudio de las protecciones actuales, se deben enumerar cules son y verificar
que funcionan.
Plan de recuperacin efectivo: establecer el origen del fallo y dao ocasionado.
El plan de recuperacin se puede definir segn la fase del desastre:
Plan de respaldo. Anterior.
Plan de emergencia.
Plan de recuperacin.

3.1. PAUTAS Y PRCTICAS SEGURAS.

Un sistema informatico es seguro se se utiliza de manera segura.
Medidas a seguir para mantener un sistema seguro:
Mantener actualizado el sistema operativo y las aplicaciones.
Descargar software desde sitios de confianza, especialmente actualizaciones de los SO.
Analizar los sistemas de forma peridica para mantenerlos libres de software malicioso.
Usar contraseas.
Usar certificados digitales.
Comunicar las incidencias.
Realizar copias de seguridad.
Creencias:
Un software de seguridad no es 100% efectivo.
Equipos que se consideran no importantes.
Creer que los ataques solo lo sufren organizaciones importantes.

Un software diseado, soluciona un problema que se ha producido pero puede pero puede ser
inocuo para un problema futuro.

4. SEGURIDAD EN LA RED CORPORATIVA.

Red corporativa: red que comunica lugares geogrficamente distantes y que facilita el acceso
remoto de usuarios, siendo todos los elementos comunicados propiedad de una organizacin o
persona.
Para la comunicacin distante se deben emplear lneas pblicas por lo que las comunicaciones
debern utilizar mecanismos seguros como las VPN.
VPN: Red Privada Virtual creada por software sobre lineas de comunicaciones.
Las tecnologas empleadas pueden ser diversas y se deben combinar para cubrir toda el rea
municipal.

4.1. MONITORIZACIN DEL TRAFICO EN REDES.

El objetivo de la monitorizacin del trfico en las redes es detectar problemas en su
funcionamiento para poder solucionarlos en la mayor brevedad posible.
Las aplicaciones disponibles, tambin denominadas sniffers, para realizar estas funciones son
varias, muchas son gratuitas y de cdigo abierto.
Wireshark.
Etherape.
WinDump.
Fing.
AthTek NetWalk.
Network Traffic Monitor Experts.

El uso de todas las herramientas de monitorizacin muestra demasiada informacin porque

obtiene todas las tramas que circulan en el medio de transmisin, para poder extraer solamente
la informacin buscada se debe recurrir al uso de filtros, que pueden ser:
Filtros de captura.
Filtros de visualizacin.

Los filtros de captura hacen que se muestren solamente los paquetes que cumplan con las
condiciones establecidas y los de visualizacin seleccionan la informacin deseada despus de
un anlisis efectuado.
Lo ms til es capturar todo el trfico y despus utilizar filtros de visualizacin para analizar
solamente lo de inters.

4.1. Algunos filtros de wireshark

Capturar todos los paquetes con origen y destino en 192.168.1.1: host 192.168.1.1
Capturar todos los paquetes con puerto origen y destino 21: port 21
Capturar todos los paquetes con puerto origen 21: src port 21
Capturar todos los paquetes con origen en 192.168.1.1: src host 192.168.1.1
Capturar todos los paquetes con destino en 192.168.1.254: dst host 192.168.1.254
Capturar todos los paquetes con origen y destino en www.infoalisal.com: host
www.infoalisal.com

4.2. SEGURIDAD EN LOS PROTOCOLOS PARA

COMUNICACIONES INALAMBRICAS.
Las comunicaciones inalmbricas, sobre todo las que utilizan radiofrecuencia, tienen su
principal vulnerabilidad en el hecho de que cualquier nodo de la red puede recibir informacin
de otro nodo que est a su alcance.
Un punto de acceso inalmbrico mal configurado es un agujero de seguridad para la
red corporativa, puesto que cualquiera que consiga entrar en su radio de cobertura, podr
aprovecharse de todas sus vulnerabilidades, el peligro puede estar hasta en un visitante
ocasional con un telfono de ltima generacin.
Para mejorar la seguridad de las redes inalmbricas se pueden seguir las siguientes pautas:
Configurar en la medida de lo posible las ondas utilizadas en la transmisin.
Utilizar mecanismos de autenticacin red-cliente.
Cifrar la informacin transmitida.