Instituto Tecnológico Superior del Occidente del Estado de Hidalgo.

Seguridad en aplicaciones móviles

Mtro. Rodolfo Luna Pérez

Tema I.I Ataques

Alpizar Contreras Christian 15011520

Depsa Barcenas Yuli Esthefani 15011117
Flores Mendoza Zaira Ashley 15011049
Muñoz Marques Víctor Javier 15011484
Quezada Arteaga Diana Azucena 15011146
Vázquez Estrada Jonathan Edsel 15011122

7º “A”

Ing. Sistemas Computacionales

Social Engineering
Esta técnica consiste en obtener información
de los usuarios por teléfono, correo electrónico,
correo tradicional o contacto directo.

Usan la fuerza persuasiva y se

aprovechan de la inocencia del
usuario haciéndose pasar por un
compañero de trabajo, un técnico
o un administrador, etc. ("¿Qué es
ingeniería social? - Definición de WhatIs.com", 2018)
 Kevin Mitnick
Fue uno de los ingenieros sociales
más famosos de los últimos
tiempos en Estados Unidos.

Según su opinión, la ingeniería

social se basa en estos cuatro
principios:

1. Todos queremos ayudar.

2. El primer movimiento es siempre de confianza
hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben. ("¿Qué es ingeniería
social? - Definición de WhatIs.com", 2018)
Método
▪Fase de acercamiento para ganarse la
confianza del usuario
▪Fase de alerta
▪Fase de distracción ó tranquilizar al usuario
Tipos de ataques
⚫Baiting
Cuando un atacante deja un dispositivo físico
infectado con malware, como una unidad flash
USB, en un lugar que seguramente se encontrará.
El buscador luego recoge el dispositivo y lo carga
en su computadora, sin querer instalar el malware.
("¿Qué es ingeniería social? - Definición de WhatIs.com", 2018)
⚫Phishing
Cuando una parte maliciosa envía un correo
electrónico fraudulento disfrazado de un correo
electrónico legítimo, que a menudo pretende ser de
una fuente confiable. El mensaje está destinado a
engañar al destinatario para que comparta información
personal o financiera o haga clic en un enlace que
instala el malware.
⚫Spear phishing
Es como el phishing pero está diseñado para un individuo
u organización en particular.
⚫Vishing
También se conoce como phishing de voz , es el uso de
ingeniería social por teléfono para recopilar información
personal y financiera del objetivo.
⚫Pretextos
Es cuando una parte miente a otra para obtener acceso a
datos privilegiados.
⚫Scareware
Implica engañar a la víctima haciéndole creer que
su computadora está infectada con malware o ha
descargado inadvertidamente contenido ilegal. El
atacante le ofrece a la víctima una solución que
solucionará el problema falso; en realidad, la
víctima simplemente es engañada para que
descargue e instale el malware del atacante.
⚫Water-holing
Es cuando el atacante intenta poner en peligro a un
grupo específico de personas al infectar sitios web
que se sabe que visitan y en los que confían para
obtener acceso a la red.
⚫Robo de desvío
Los ingenieros sociales engañan a una empresa de
mensajería o mensajería para que vaya al lugar de
recogida o devolución incorrecto, interceptando así
la transacción.
⚫Quid pro quo
Es aquel en que el ingeniero social pretende
proporcionar algo a cambio de la información o
asistencia del objetivo. ("¿Qué es ingeniería social? - Definición de
WhatIs.com", 2018)

⚫Honey Trap
El ingeniero social pretende ser una persona
atractiva para interactuar con una persona en línea,
simular una relación en línea y recopilar
información confidencial a través de esa relación.
⚫Tailgating
Es cuando un hacker entra a un edificio seguro
siguiendo a alguien con una tarjeta de acceso
autorizada.

⚫Rogue
Es un tipo de malware que engaña a los objetivos
para que paguen por la eliminación falsa del
malware.
Previniendo la ingeniería social
⚫Realizar regularmente pruebas de penetración que
utilicen técnicas de ingeniería social.
⚫Tener un correo electrónico seguro y puertas de
enlace web que escaneen los correos electrónicos
en busca de enlaces maliciosos.
⚫ Evitar brindar información que pueda comprometer
la seguridad personal o de la compañía.
⚫Cambiando la longitud, complejidad y tiempo de vida
de las contraseñas. ("¿Qué es ingeniería social? -
Definición de WhatIs.com", 2018)
Spoofing
Es una especie de ataque en el que un atacante envía
mensajes falsificados ARP (Address Resolution Protocol)
a una LAN.
Se puede traducir como “hacerse pasar por otro”. En
términos de seguridad informática, se refiere al uso de
técnicas o suplantación de identidad. Así que, suele
estar relacionado con usos maliciosos o de
investigación.
Tipos de spoofing.
IP Spoofing: es el más conocido y consiste en sustituir
la dirección IP origen de un paquete TCP/IP por otra
dirección IP que se desee suplantar. Esto se consigue
a través de programas diseñados específicamente
para ello. Así, las respuestas del host que reciba los
paquetes alterados irán dirigidas a la IP falsificada.
ARP spoofing: se encarga de suplantar las tramas
ARP. De esta forma consiguen enviar los equipos
atacados a un host en el que los datos de nuestras
máquinas estarán en manos de un delincuente. Para
conseguir su objetivo, el hacker conseguirá duplicar las
tablas que contienen las tramas ACR. Esto permitirá
forzar a enviar paquetes a un host, controlado por el
atacante.
DNS spoofing: consiste en falsificar una IP para
que, mediante un nombre DNS, consiga una IP.
Pero, ¿Cómo se consigue? Podría ser
comprometiendo un servidor que infecte la caché de
otro o modificando las entradas del servidor.
Web Spoofing: se encarga de suplantar una página real
por una falsa, para conseguir datos de los usuarios. La
página falsa actúa a modo de proxy, y así es posible
solicitar información pedida por la víctima a cada
servidor original llegando a evitar la protección SSL.
E-mail spoofing: que consiste en suplantar una
dirección de correo electrónico. Esta técnica se usa
con asiduidad para el envío de correos hoax como
suplemento perfecto para el uso de phising y SPAM.
Ataques tipo Hombre en el Medio
(Man-in-the-middle Attacks): Los ataques MITM
pueden utilizar ARP Spoofing para interceptar y/o
modificar el tráfico entre dos víctimas.
Uno de los casos más famosos de Spoofing de los
últimos meses es el de Pokémon GO, que permitía a
los entrenadores cambiar su ubicación a través del
GPS para así recoger Pokémon sin moverse de casa.
 Típicamente los ataques de suplantación de ARP siguen algunos pasos
similares, que incluyen:
1.- El atacante abre una herramienta ARP Spoofing, y establece la
dirección IP de la herramienta para que coincida con la IP de un objetivo.
2.El atacante hace uso de la herramienta de ARP Spoofing y escanea las
direcciones MAC e IP de los hosts de la subred del objetivo.
3.El atacante elige su destino y comienza a enviar paquetes ARP través de
la LAN.Estos paquetes contienen la dirección MAC del atacante y la
dirección IP de la víctima.
4.Como otras computadoras de la red los paquetes ARP de suplantación
imitan el cache, los datos que los hosts envían a la víctima, una vez
falseados se redireccionan al atacante. A partir de aquí, el atacante
puede robar datos o lanzar un ataque más sofisticado de seguimiento.
Detección, Prevención y Protección contra el ARP Spoofing
Los siguientes métodos son medidas recomendadas para la detección, prevención y
protección contra ataques de suplantación ARP:
El filtrado de paquetes: Los filtros de paquetes inspeccionan los paquetes que se
transmiten a través de una red. Los filtros de paquetes son útiles en la prevención
ARP Spoofing, ya que son capaces de filtrar y bloquear los paquetes con información
de la dirección fuente de conflicto (paquetes desde fuera de la red que muestran las
direcciones de origen desde el interior de la red y viceversa).
Utilice software de detección de ARP Spoofing: Hay muchos programas
disponibles que ayudarán a las organizaciones a detectar ARP ataques de
suplantación. Estos programas funcionan básicamente mediante la inspección y la
certificación de los datos antes de su transmisión y el bloqueo de los datos, que
parece ser falsa.
Utilizar protocolos de red criptográficos: Transport Layer Security (TLS), Secure
Shell (SSH), HTTP seguro (HTTPS) y otros protocolos de comunicaciones seguras
refuerzan la prevención de ataques ARP Spoofing mediante el cifrado de los datos
antes de la transmisión de datos y mediante la autenticación cuando se reciben.
Tampering
¿Qué es?
⚫Modificación desautorizada a los datos, o al software
instalado, incluyendo borrado de archivos.
⚫Son particularmente serios cuando el que lo realiza
ha obtenido derechos de Administrador o Supervisor.
⚫El atacante puede disparar cualquier comando y por
ende alterar o borrar cualquier información que puede
incluso terminar en la baja total del sistema.
⚫Aún así, si no hubo intenciones de "bajar" el sistema
por parte del atacante; el Administrador posiblemente
necesite darlo de baja por horas o días hasta
chequear y tratar de recuperar aquella información
que ha sido alterada o borrada.
⚫Como siempre, esto puede ser realizado por Insiders
o Outsiders, generalmente con el propósito de fraude
o de dejar fuera de servicio a un competidor.
 Parameter Tampering
Fases
1. El atacante captura una transacción HTTP
normal de la aplicación web. Esta captura puede
ser tan sencilla como disponer de un acceso
como usuario de la aplicación web objetivo o un
poco más elaborada como la realización de un
ataque MitM.
 Parameter Tampering
Fases

2. El ciberatacante modifica los parámetros de su

interés en la aplicación web, ya sea en la URL,
campos ocultos en formularios que son enviados
como partes de peticiones POST, etc.
3. Por último, realiza el envío de la petición
modificada al servidor web, esperando lograr sus
objetivos.
Ejemplos
⚫Empleados bancarios (o externos) que crean falsas
cuentas para derivar fondos de otras cuentas, estudiantes
que modifican calificaciones de exámenes, o
contribuyentes que pagan para que se les anule una deuda
impositiva.

⚫Múltiples Web Sites han sido víctimas del cambio en sus

páginas por imágenes (o manifiestos) terroristas o
humorísticos, como el ataque de The Mentor, ya visto, a la
NASA; o la reciente modificación del Web Site del CERT
(mayo de 2001).
Tipos Ejemplificativos y cotidianos de
Ataque
⚫ Bombas Lógicas
⚫ Virus
⚫ Caballo de Troya «Troyanos»
⚫ Gusanos
Bibliografía
⚫ ¿Qué es ingeniería social? - Definición de WhatIs.com. (2018) Obtenido
de https://searchsecurity.techtarget.com/definition/social-engineering
⚫ Raúl, H. ( 2017). ¿Que es un ataque de tipo “Parameter Tampering” y
como puede evitarse?. Agosto 11, 2018, de Blog de WordPress.com.
Sitio web:
https://henryraul.wordpress.com/2017/02/26/en-que-consisten-los-ataque
s-parameter-tampering-y-como-pueden-evitarse/
⚫ Tinajero, B. & Diego, F. (2016). El tampering o data diddling, una
vulneración a la libre competencia, al mercado y al bienestar económico
en general. Facultad de Derecho y Ciencias Sociales. UDLA. Quito. 177
p.
⚫ García, C. (26 de 08 de 2010). Hacking Ético. Obtenido de Hacking Ético:
https://hacking-etico.com/2010/08/26/hablemos-de-spoofing/
⚫ Muñoz, A. (17 de 09 de 2016). Computerhoy. Obtenido de Computerhoy:
https://computerhoy.com/noticias/software/que-es-spoofing-51236
⚫ Soto, M. G. (17 de 06 de 2016). Medium. Obtenido de Medium:
https://medium.com/@marvin.soto/qu%C3%A9-es-el-envenenamiento-ar
p-o-ataque-arp-spoofing-y-c%C3%B3mo-funciona-7f1e174850f2