Un llamado a la acción para proteger a ciudadanos sector

privado y gobierno

Las tecnologías de Información y Comunicaciones han revolucionado nuestra forma de vida y

han impulsado el desarrollo económico e industrial hasta hacernos altamente dependientes del
ciber espacio. Nuestra forma de comunicarnos, de relacionarnos, de estudiar e investigar e
incluso de comprar se ha ido transformado con la creciente penetración de la digitalización
hasta cambiar nuestros hábitos y comportamientos. Estos procesos de transformación digital
han calado también en las empresas y en los organismos públicos, hasta tal punto que
cualquier proceso productivo, cualquier servicio público dirigido al ciudadano, no se puede
concebir sin un uso intensivo de las tecnologías.
Este escenario de grandes oportunidades para la economía, la industria y la sociedad no está
exento de nuevos riesgos y amenazas. El ciberespacio es del mayor interés para delincuentes
y terroristas que pueden aprovecharse del anonimato que ofrece internet y de la falta de
homogeneidad en las legislaciones nacionales e internacionales, para actuar con impunidad.
Ante este escenario de enormes oportunidades, pero también de riesgos y amenazas, los
gobiernos deben actuar estableciendo las condiciones legales, técnicas y organizativas para
que sus ciudadanos, sus empresas y sus instituciones públicas puedan aprovechar al máximo
las posibilidades de esta realidad digital, con la confianza de estar razonablemente a salvo de
sus efectos negativos.
Este documento tiene como objetivo ayudar a identificar los elementos fundamentales en los
que apoyar la construcción de un entorno digital seguro que sirva para el desarrollo social y
económico de las naciones.
La transformación digital ha supuesto la integración de la tecnología digital en la sociedad y en
todas las áreas de funcionamiento de una organización, lo que ha facilitado cambios en
nuestra manera de trabajar y de relacionarnos, ha supuesto una mejora de los procesos
productivos industriales y ha impactado muy positivamente en el desarrollo económico. Cada
vez somos más digitales y estamos más hiperconectados, haciendo que la presencia de la
tecnológica en el ámbito personal y profesional crezca exponencialmente.

Estas circunstancias vienen facilitadas por las siguientes realidades:

La interconexión masiva, en lo que se ha venido a llamar la Internet de las cosas (IoT) que nos
hará pasar de 6.500 millones de elementos interconectados por internet a más de 21.000
millones, y que facilitará la monitorización y el control remoto de múltiples dispositivos
inteligentes.
Los sistemas ciber físicos que son el resultado de dotar a los componentes/objetos físicos de
capacidades de computación y de comunicación para convertirlos en objetos inteligentes que
pueden cooperar entre ellos.
EL PAPEL DE LOS GOBIERNOS EN LA PROTECCIÓN DEL
CIBERESPACIO
Los gobiernos deben participar activamente en foros y organizaciones internacionales y en
estructuras supranacionales con el objetivo de armonizar y coordinar una posición común para
la defensa del ciberespacio. Este esfuerzo se debe materializar en la suscripción de los
acuerdos internacionales y en la revisión y adaptación de la legislación nacional. En este
sentido, y como primer paso, la acción del gobierno debe concretarse en una estrategia
nacional de ciberseguridad que establezca los principios, objetivos y líneas de acción a partir
de los cuales se puede desarrollar un modelo de ciberseguridad para el país.

La protección y respuesta ante las amenazas cibernéticas involucra a toda la sociedad y no sólo al
gobierno, a la administración y a las instituciones públicas. Las infraestructuras críticas, de las que
dependen los servicios esenciales, se gestionan en gran medida por compañías privadas que juegan un
papel esencial en la ciberseguridad nacional. Las empresas proveedoras de productos y servicios de
ciberseguridad son también importantes ya que tienen como clientes a organizaciones públicas y
privadas que utilizan sus soluciones para proteger procesos e información clave.

Fomento de un ecosistema profesional y empresarial

Mejorar y mantener un nivel adecuado de ciberseguridad en las empresas y en las instrucciones
públicas requiere de un número importante de profesionales que cuenten con la cualificación
adecuada. A su vez, las tecnologías de información necesitan dotarse de soluciones de ciberseguridad
que las protejan ante los ciberataques. Ambos aspectos son críticos para poder desarrollar un modelo
de ciberseguridad nacional.

Generación de una cultura de ciberseguridad

Es importante que cale en todos los estamentos de la sociedad la relevancia que ha alcanzado la
ciberseguridad y que este conocimiento se traduzca en pautas de comportamiento. La generación de
una cultura nacional de ciberseguridad debe ser impulsada desde el gobierno a través de distintos
medios y canales, y debe comprender a los ciudadanos, las empresas y las administraciones públicas, y
abarcar desde los responsables de la toma de decisiones a los empleados.

Fomento de un ecosistema profesional y empresarial

Mejorar y mantener un nivel adecuado de ciberseguridad en las empresas y en las instrucciones
públicas requiere de un número importante de profesionales que cuenten con la cualificación
adecuada. A su vez, las tecnologías de información necesitan dotarse de soluciones de ciberseguridad
que las protejan ante los ciberataques. Ambos aspectos son críticos para poder desarrollar un modelo
de ciberseguridad nacional.

Por otro lado, el déficit global de profesionales y el incremento en la demanda de productos y servicios
de ciberseguridad puede ser una oportunidad de desarrollo económico y de mejora de la capacidad de
influencia internacional para las naciones que sean capaces de exportar talento y tecnologías de
ciberseguridad.
Preguntas:
• ¿Qué han logrado las tecnologías de la información?
Impulsar el desarrollo económico e industrial.
• ¿Hasta donde ha calado la información digital?
en las empresas y en los organismos públicos.
• ¿Cuál es mayor interés para delincuentes y terroristas que pueden aprovecharse del
anonimato que ofrece interne?
El ciberespacio
• ¿Cuánto elementos están interconectados actualmente?
6.500 millones de elementos interconectados por internet a más de 21.000 millones.
• ¿Cuál es el resultado de dotar a los componentes/objetos físicos de capacidades de
computación y de comunicación?
Los sistemas ciber físicos
• ¿Para que el gobierno participa en foros?
objetivo de armonizar y coordinar una posición común para la defensa del ciberespacio.
• ¿A quienes involucra la amenaza cibernética?
involucra a toda la sociedad y no sólo al gobierno, a la administración y a las instituciones
públicas.
• ¿De que dependen las infraestructuras criticas?
De los procesos escensiales.
• ¿Qué es el fomento de un ecosistema profesional?
Mejorar y mantener un nivel adecuado de ciberseguridad en las empresas y en las instrucciones
públicas requiere de un número importante de profesionales que cuenten con la cualificación
adecuada.
• ¿Qué aspectos son críticos para poder desarrollar un modelo de ciberseguridad nacional?
Ecosistemas profesionales y empresarial.
Pasos para la definición de la estrategia:

Definir el alcance y los objetivos

En este primer paso se debe definir el alcance de la estrategia determinando que
aspectos quedan recogidos: gobierno, sector privado, infraestructuras críticas, los
ciudadanos, el ámbito universitario, etc.

Identificar las amenazas

Al desarrollar esta fase los gobiernos deben identificar y clasificar los distintos tipos de
potenciales atacantes y su grado de motivación. Para ello habrá que buscar aportes de
una variedad de fuentes

Definir escenarios de riesgo

Se debe entender el riesgo como una estimación de la probabilidad de que una
ciberamenaza, interna o externa al país, pueda actuar contra ciudadanos, empresas e
instituciones públicas, afectando a procesos, servicios y tecnologías esenciales. Al
analizar el riesgo se debe considerar, por tanto, las amenazas y su capacidad de
generar daños (impactos) a los elementos e intereses a proteger (activos),
aprovechando ciertas debilidades (vulnerabilidades) en el entorno o en las tecnologías
que la soportan, que determina la probabilidad de ocurrencia.

Identificar la probabilidad de ocurrencia (Vulnerabilidad)

El objetivo en esta fase es determinar cuál es la probabilidad de que se pueda
materializar cada uno de los escenarios identificados. Hay dos factores que pueden
ayudar a estimar la posibilidad de ocurrencia:
 • Análisis de las amenazas. La amenaza se puede caracterizar estudiando aspectos
como la motivación, la sofisticación de los medios técnicos que tendría que utilizar, el
nivel de conocimiento exigido y el número de potenciales atacantes.
• Análisis de la vulnerabilidad. Estudiando si las vías para realizar el ataque son
suficientemente conocidas, si son fáciles de detectar y de corregir. En este punto es
necesario resaltar como la obsolescencia de los sistemas y tecnologías del país
pueden ser un elemento coadyuvante para que las amenazas puedan materializarse
con éxito. Es importante, en esta etapa, realizar un análisis que determine el nivel de
modernización digital.

Valorar las consecuencias (Impactos)

El objetivo es delimitar las consecuencias de que el escenario de riesgo llegará a
materializarse.

Definir la Estrategia Nacional de ciberseguridad y las Líneas de Acción

La estrategia nacional de ciberseguridad es el documento que describe los objetivos que
se deben alcanzar para gestionar los riesgos del ciberespacio de una forma integral y
desde una visión nacional. Se redacción debe incluir todos los aspectos relevantes en el
proceso de identificación y análisis de riesgos, y debe servir como palanca para el impulso
necesario a las capacidades nacionales en materia de ciberseguridad y ciberdefensa.
Preguntas:

• ¿Qué se definir en el primer paso?

se debe definir el alcance de la estrategia determinando que aspectos quedan
recogidos
• ¿En que fase deben identificar y clasificar los distintos tipos de potenciales atacantes y
su grado de motivación?
Identificar amenazas.
• ¿Para que se debe que buscar aportes de una variedad de fuentes?
Para encontrar las amenazas
• ¿Cómo se debe entender el riesgo?
como una estimación de la probabilidad de que una ciber amenaza, interna o externa al
país.
• ¿Qué se debe analizar al considerar el riesgo?
, las amenazas y su capacidad de generar daños (impactos) a los elementos e intereses
a proteger (activos).
• ¿En que fase de busca es determinar cuál es la probabilidad de que se pueda
materializar cada uno de los escenarios identificados?
probabilidad de ocurrencia.
• ¿Cómo se puede caracterizar la amenaza?
caracterizar estudiando aspectos como la motivación, la sofisticación de los medios
técnicos que tendría que utilizar, el nivel de conocimiento exigido y el número de
potenciales atacantes.
• ¿Cuándo se debe realizar un análisis que determine el nivel de modernización digital?
Al analizar vulnerabilidades
• ¿Cuál es el objetivo de valor de las consecuencias?
delimitar las consecuencias de que el escenario de riesgo llegará a materializarse.
Acciones para el ciudadano y el sector privado
Se debería impulsar las actividades de concienciación para asegurar que los ciudadanos y
empresas conocen las vulnerabilidades y posibles ciber amenazas, y saben incorporar en el
uso de las tecnologías e internet un patrón adecuado de comportamiento. La “ciber-higiene”,
es decir, la educación hacia modelos de comportamiento correctos que prevengan los efectos
adversos en el uso de las tecnologías
El gobierno debería impulsar la creación de una capacidad nacional de respuesta ante
incidentes cibernéticos (CERT) que preste servicios específicos para ciudadanos y el sector
privado. Dicha capacidad debería ser complementaria y nunca competitiva con los servicios
proporcionados por los proveedores de servicio a través de CERTs privados o de Centros de
Operaciones de Seguridad (SOC, en sus siglas en inglés). El objetivo de este CERT público es
desarrollar servicios de valor para la gestión y conducción de situaciones de crisis nacional o
para servicios que respondan a las siguientes características:

• De extrema importancia para la seguridad y la defensa nacional.

• Servicios de valor para la ciberseguridad nacional, que no estén siendo cubiertos por el
sector privado al ser de baja demanda o por no ser rentables.

Acciones para los operadores de infraestructura crítica

La protección de las infraestructuras críticas debe ser una parte fundamental de la estrategia
de ciberseguridad nacional ya que tiene como objetivo optimizar la resiliencia de las
infraestructuras de las que dependen servicios esenciales para la nación. La ciberseguridad de
las organizaciones públicas o privadas que operan esos sectores estratégicos es de particular
importancia dado que un ciberataque exitoso sobre ellas puede suponer un impacto muy grave
para la seguridad y para el funcionamiento del país. Este impacto podría incidir en la vida de
los ciudadanos, la estabilidad, fortaleza y credibilidad de la economía o la reputación
internacional
Las acciones que los gobiernos podrían impulsar son:

• Establecer un marco nacional de ciberseguridad para las administraciones

públicas que sirva de referencia para todas ellas y que permita unificar
criterios entre el gobierno de la nación, los gobiernos regionales o estatales
y los ayuntamientos y administraciones locales. El marco nacional, que
debería comprender políticas, procedimientos y normas técnicas, líneas
base, metodologías y herramientas, debe permitir mejorar la protección de
los servicios públicos, la información y los sistemas de información y
comunicaciones en que soporta. Cada país debería adoptar un marco de la
industria como su base (ISO, NIST, etc.), y luego proporcionar orientación
sobre cómo se aplicará ese marco en su país. Sería muy difícil para las
empresas y los proveedores de servicios alinearse a un marco y estándares
únicos de cada país, lo que limitará a quienes pueden utilizar estos países.
 Los marcos comunes de ciberseguridad, la gestión de riesgos, los controles
de seguridad, etc. beneficiarán al sector comercial y al gobierno.
• Desarrollar acuerdos multinacionales o acuerdos comerciales que faciliten el
intercambio y la coordinación / cooperación de los países que luchan contra
las amenazas cibernéticas.
• Desarrollar planes de formación y concienciación dirigidos a los funcionarios
públicos con el objetivo de mostrarles cuales son las amenazas específicas
que pueden afectar a la ciberseguridad de los servicios públicos, e
inculcarles patrones de comportamiento “ciber-higiénicos”.

Lucha contra el Cibercrimen

La lucha contra el ciberterrorismo y la ciberdelincuencia debe comprender una doble vertiente,
el ciberespacio como herramienta que permite el desarrollo de estas actividades delictivas y el
ciberespacio como objetivo final de la acción. Para ello se requiere la colaboración de distintos
actores y ser abordada de forma integra

Emprendimiento:
De forma periódica nos enfrentamos a nuevas formas de ataque que utilizan técnicas y
métodos diferentes a los conocidos. Este hecho, junto con la evolución continua de las
tecnologías y su aplicación en la industria y la sociedad creando nuevos casos de uso, supone
que los gobiernos se enfrenten a un entorno de amenaza de creciente sofisticación y en
continuo cambio. Las herramientas y productos de ciberseguridad del presente dejan de ser
útiles ante estos nuevos entornos que solo pueden ser gestionados con nuevos y diferentes
enfoques. La investigación, el desarrollo y la innovación son necesarios para el desarrollo de
soluciones eficaces que den respuesta a los nuevos tipos de ataques
La demanda sofisticada, entendida por aquellos sectores (gobierno, banca, energía…) que
bien por el grado de penetración digital en sus negocios, bien por la tipología de las amenazas
que les afecta, requieren de soluciones novedosas.
Las universidades y centros de innovación, que son las organizaciones que dedican recursos a
la investigación técnico-científica.
Los emprendedores y “start ups”, que cuentan con ideas y proyectos, que pueden contribuir a
dar respuesta a estas necesidades.

A través de foros y grupos de trabajo, determinar con la demanda sofisticada las necesidades
presentes y futuras de productos y servicios de ciberseguridad, trasladando esta necesidad a
una agenda nacional de investigación que marque la hoja de ruta de la investigación y el
emprendimiento.

Crear un plan de investigación para evitar solapamientos entre las actividades de investigación
emprendidas por diferentes instituciones

Establecer fondos específicos que soporten los programas de investigación en ciberseguridad.

Preguntas:

• ¿Qué se debe impulsar?

las actividades de concienciación para asegurar que los ciudadanos y empresas
conocen las vulnerabilidades y posibles ciber amenazas.
• ¿Qué es la ciber higiene?
la educación hacia modelos de comportamiento correctos que prevengan los efectos
adversos en el uso de las tecnologías.
• ¿Qué debería impulsar el gobierno?
la creación de una capacidad nacional de respuesta ante incidentes cibernéticos
(CERT).
• ¿Para que es necesario un CERT?
Para brindar servicios de valor para la ciberseguridad nacional, que no estén siendo
cubiertos por el sector privado al ser de baja demanda o por no ser rentables.
• ¿Cuál es el objetivo de la protección de infraestructura?
optimizar la resiliencia de las infraestructuras de las que dependen servicios esenciales
para la nación
• ¿Qué debe comprender el marco nacional?
debería comprender políticas, procedimientos y normas técnicas, líneas base,
metodologías y herramientas.
• ¿Qué marco de industria debería adoptar cada país?
debería adoptar un marco de la industria como su base (ISO, NIST, etc.).
• ¿Qué debe comprender la lucha contra el ciberterrorismo y la ciberdelincuencia ¿
una doble vertiente
• ¿Cómo determinar con la demanda sofisticada las necesidades presentes y futuras de
productos y servicios de ciberseguridad?
A través de foros y grupos de trabajo
• ¿Para que se debe crear un plan de investigación?
Para evitar solapamientos.
Metasploit para pentesters
El arte de la intrusión:

Se explica la fase de explotación de vulnerabilidad mediante el uso de metasploit, en

esta fase el auditor, tras analizar la información obtenida y las posibles
vulnerabilidades encontradas, lanzara uno o varios exploits con el objetivo de lograr
acceso a un sistema informático remoto o información a la que no tiene un acceso
autorizado.

Esta fase necesita que el auditor dispone del framework actualizado con exploits
recientes, los cuales pueden ser obtenidos a través de internet. Cuanto mayor numero
de exploits recientes se tenga mas posibles existen de disponer de la llave que
proporcione el éxito en el test de intrusión.

Además, se debe estar informado sobre las vulnerabilidades que aparecen

diariamente sobre los sistemas, ya que esto puede ayudar a encontrar pequeños
agujeros en los mismo, aunque se encuentre actualizados casi diariamente. Se
recomienda que los lectores tengan payload porque es su configuración se le dice que
debe esperar, cuando el auditor se encuentra con un modulo cargado, previo uso del
comando use, llega un momento en el que e debe elegir el payload con la instrucción
set payload, y en este punto cuando implícitamente se llama a exploit de manera
transparente al auditor, en otras ocasiones, puede ser que se debe utilizar
explícitamente a exploit para manejar y gestionar las posibles sesiones remotas.

Una vez cargado el módulo, si se ejecuta show options se muestran las variables para
configurar el exploit. En este ejemplo, se configura la variable RHOST para indicar cual
es la maquina objetivo. Además, se debe indicar en la variable payload cual de ellos se
quiere ejecutar. Una vez indicado el payload si se vuelve a ejecutar el comando show
options se puede observar como aparecen además de las variables de configuración
del exploit, las variables de configuración del payload.

En este punto ya se dispone de la ruta donde se aloja el modulo que se requiere en

este ejemplo seria para cargar el modulo se utiliza el comando use, y una vez cargado
se pueden configurar sus variables para lanzar el exploit sobre el objetivo, en cual en
esta prueba de concepto es una maquina y el exploit se puede utilizar sobre una gran
cantidad de objetivos cubriendo varios modelos de winsows.
Denegación de servicio y las perdidas:

En esta prueba de concepto no se realiza un proceso de intrusión, pero si se

comprueba la de los servicios de los que puede disponer una empresa, cuyas caídas
pueden provocar perdidas a estas, ya que de esta forma privada o pública.

Una vez se dispone del módulo en el framework se accede a el y se configura, de

manera sencilla, el equipo remoto al que se quiere generar el servicio. Si todo va buen
se obtendrá un mensaje que enuncia seems down. Si la máquina a auditar dispusiera
de una servicio de escritorio remoto en otro puerto que no sea el de por defecto, se
puede utilizar la variable RPORT para indicar cual es el puerto que se esta utilizando.

Preguntas:

• ¿Para que se utiliza metasploit?

Para explotación de vulnerabilidades.
• ¿Cuál es el objetivo de lanzar exploits?
lograr acceso a un sistema informático remoto.
• ¿Qué es necesario para lograr el acceso a un sistema remot?
Que el auditor disponga del framework actualizado con exploits recientes.
• ¿Dónde se pueden obtener los exploit recientes?
a través de internet.
• ¿Por qué es necesario tener varios exploits?
Cuanto mayor numero de exploits recientes se tenga mas posibles existen de
disponer de la llave que proporcione el éxito en el test de intrusión.
• ¿Por qué es necesario el payload?
porque es su configuración se le dice que debe esperar, cuando el auditor se
encuentra con un módulo cargado.
• ¿Cómo se puede utilizar exploit?
puede ser que se debe utilizar explícitamente a exploit para manejar y gestionar
las posibles sesiones remotas.
• ¿Qué comando se utiliza para cargar un modulo?
el comando use.
• ¿Para que se utiliza show option?
se muestran las variables para configurar el exploit.
• ¿Qué sucede cuando ya se dispone del modulo?
en el framework se accede a el y se configura, de manera sencilla, el equipo
remoto al que se quiere generar el servicio.
Generación de Payloads con múltiples pases de codificación.
Las proxima opción que trataremos, en la lista que mestasploit nos ofrece es la iteración,
el argumento para msfconsole es "-i". Resumidamente, esta opción le dice al framework
metasploit cuantas "pasadas" de codificación debe hacer antes de generar el payload
final. Una de las razones para utilizar esta opción es la generación de pyaloads sigilosos
e indetectables, o bien, evasión de antivirus. La evasión de antivirus será tratada con
más detalle adelante. A continuación, compararemos nuestro payload usando 1 iteración
contra 2 iteraciones de la misma shellcode.

Comparando los dos resultados obviamente vemos los efectos del uso del número de
iteraciones, la primera diferencia es el tamaño, entre más iteraciones el tamaño será
mayor. Segundo, si comparamos las dos líneas resaltadas nos damos cuenta de que
no son iguales, esto es debido a la segunda iteración, o segunda pasada de
codificación. Codificó el payload una vez y luego lo volvió a codificar. Ahora veremos el
resultado de iterar nuestro payload 5 veces.

El cambio es significante con los resultados anteriores, el tamaño esta vez aumentó
mucho más y los bytes generados son totalmente diferentes. Esto hace nuestro
payload menos propenso a ser detectado. Hemos dedicado mucho tiempo a generar
Shellcode desde el principio con valores predeterminados. En el caso de un shell bind,
el puerto de escucha predeterminado es 4444. A menudo, esto debe cambiarse.
Podemos lograr esto usando el argumento "-o" seguido del valor que deseamos
cambiar. Echemos un vistazo a las opciones que podemos cambiar para este payload.
Desde msfconsole, emitiremos el comando 'show options'.

Generación de Payload usando un NOP Sled.

Para entender de que va esto, daremos una breve definición de NOP Sled. En seguridad
informática un NOP Sled son una serie de instrucciones que no realizan operaciones o
que realizan una operación siguiente (NOP=No-operation o Next-operation) y están
destinados a "deslizar" las instrucciones de ejecución en la CPU a un destino final, el
destino final puede ser un programa o un área de memoria . Al generar Payloads, el
formato de salida predeterminado es "ruby". Aunque el lenguaje Ruby es
extremadamente poderoso y popular, no todo el mundo lo codifica. Tenemos la
capacidad de decirle al framework que proporcione nuestro Payload en diferentes
formatos de codificación, como Perl, C y Java, por ejemplo. También es posible agregar
un NOP Sled al principio al generar nuestro shellcode.

Primero veamos algunos formatos de salida diferentes y veamos cómo se usa el

argumento "-t". Al igual que todas las otras opciones, todo lo que se necesita hacer es
escribir el argumento seguido del nombre del formato como se muestra en el menú de
ayuda. Mirando el resultado para los diferentes lenguajes de programación, vemos que
cada salida se adhiere a su respectiva sintaxis de lenguaje. Un hash '#' se usa para
comentarios en Ruby, pero en C se reemplaza por la sintaxis de barras y asteriscos '/*'.
En cuanto a las tres salidas, las matrices se declaran correctamente para el formato del
lenguaje seleccionado. Haciéndolo listo para ser copiado y pegado en su script. La
adición de un NOP Sled se logra con el argumento "-s" seguido de la cantidad de NOP's.
Esto agregará el Sled al comienzo de nuestro Payload. Tenga en cuenta que cuanto más
grande sea el Sled, mayor será el shellcode. Entonces agregar 10 NOPs agregará 10
bytes al tamaño total.

Preguntas:

• ¿Qué se debe analizar al considerar el riesgo?

, las amenazas y su capacidad de generar daños (impactos) a los elementos e intereses
a proteger (activos).
• ¿Cuánto elementos están interconectados actualmente?
6.500 millones de elementos interconectados por internet a más de 21.000 millones.
• ¿Cuál es el objetivo de lanzar exploits?
lograr acceso a un sistema informático remoto.
• ¿Qué es necesario para lograr el acceso a un sistema remot?
Que el auditor disponga del framework actualizado con exploits recientes.
• ¿Dónde se pueden obtener los exploit recientes?
a través de internet.
• ¿Por qué es necesario tener varios exploits?
Cuanto mayor numero de exploits recientes se tenga mas posibles existen de
disponer de la llave que proporcione el éxito en el test de intrusión.

• ¿Cuál es el resultado de dotar a los componentes/objetos físicos de capacidades de

computación y de comunicación?
Los sistemas ciber físicos
• ¿Para que el gobierno participa en foros?
objetivo de armonizar y coordinar una posición común para la defensa del ciberespacio.
• ¿Qué se debe impulsar?
las actividades de concienciación para asegurar que los ciudadanos y empresas
conocen las vulnerabilidades y posibles ciber amenazas.
• ¿Qué es la ciber higiene?
la educación hacia modelos de comportamiento correctos que prevengan los efectos
adversos en el uso de las tecnologías.
NMap

Entendemos por análisis activo, al conjunto de técnicas que modifican el

comportamiento del estándar TCP/IP de dos formas:

Generando tramas contra un determinado dispositivo de red, esperando la respuesta

para analizarla y obtener información: puertos abiertos, cerrados, tamaño de ventana,
TTL, etc En resumen, conocer al “enemigo”

• Intervenir en una conversación TCP o UDP modificando el comportamiento del

estándar, con el mismo objetivo que antes… Obtener información.
• Evidentemente, con este tipo de técnicas, estamos expuestos a ser
descubiertos por sistemas sofisticados de IDS o Firewalls bien diseñados.

Para el estudio utilizaremos dos herramientas fundamentales en el estudio del

networking en general, y protocolos en particular.

Herramienta Open Source utilizada para el descubrimiento y auditorias de seguridad.

Wireshark Analizador de protocolos daré por supuesto que ambas herramientas están
instaladas en nuestro sistema, Linux o Windows, es indiferente. It’s up to you.

Recordad que la paciencia es una de las mejores virtudes para evaluar la seguridad de
nuestros sistemas.

La idea es muy sencilla; nmap permite generar multitud de escaners, con patrones
diferentes. Cada uno con sus ventajas y desventajas, así como una determinada
funcionalidad. Aquellos que quieran profundizar en el tema, deben conocer a fondo la
capa 4 de transporte del modelo OSI. Los que no, solo podrán repetir comandos que
ven por Internet, sin saber interpretar el resultado.

Encontraremos en la propia documentación de nmap, las diferentes posibilidades, y si

las leemos (no es pedir demasiado), explican tanto las ventajas como las desventajas,
y en que entornos utilizarlos.

Host Discovery

Port Scanning Techniques

Podemos encontrar en este excelente y avanzado tutorial, otra guía fantástica sobre el
uso de nmap: “GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-954)”

TCP connect() scan: nmap –sT

TCP SYN scan: nmap –sS

Ojo con estas técnicas. Deben ser realizadas en un entorno de laboratorio, ya que
nmap en manos de un tonto es un peligro

Un ejemplo, intentar escanear desde casa todos los puertos abiertos de google… Pues
el router se nos puede quedar frito según que técnica utilicemos. Conseguimos hacer
un fantástico DoS contra nuestro propio router, llenando el buffer de comunicaciones
del pequeño dispositivo, e impidiendo cualquier otra conexión. Si es lo que
buscábamos felicidades, solo nos queda apagar y volver a encender el router. Muy
sencillo, un PC con conexión a Internet, además de nmap y wireshark instalados

Teniendo ya el resultado , se logra ver una salida distinta de enmap, con las diferentes
direcciones web, y se pueden observar cuantos puertos tienen cerrados y que puerto
tiene abiertos, con fttp, puertos filtrados, web application services, etic, donde
muestran el top 100 de los plugins, el mas popular es jetpack, el 443 puerto que
trabajo con un servidor de apache, también dato como puerto de open ssch, puerto
3306 puerto de mysql, donde hay una conexión a base de datos lo cual no es nada
recomendado, y se tienen dato sobre el puerto 80 en el cual se tiene actividad de un
WordPress, y se enumeran de nuevos los plugins y se obtiene datos del plugin de
jetpack, en el 4443 hay una configuración de ncl, ya solo falta validar cuales plugins
están validados en el servidor.

Se utiliza un .edu.mx y se enlistan todos los sitios que tienen la palabra wp-andimon
del sitio edu.mx, son sitios de escuelas con mucha información, se realiza un prueba
de concepto, se copia el link y se pueden listar los directorios, ver los contenidos de las
hojas de estilo, se copia el link y se pega en nmap y mysql, esto demora unos
segundos, teniendo ya el resultado del scaneo, nos dice el script que se detectaron el
puerto 21, 22 y 25 con servicos, el puerto 80, nos dice la parte de los temas y nos
confirma unos plugins que tiene instalados el sitio, tiene 7 plugins, se tiene en le puerto
80 80 con plugins para poder vulnerar y se van validando lo scripts con nmap sin
necesidad de utilizar otro tipo de estructura, se puede utilizar poodle entre otras
herramientas para lograr penetrar las distintas vulnerabilidades de un sitio.
Ping Sweep:

Lo primero que debemos realizar en nuestra fase de scanning, es un ping sweep, el

cual nos permitirá identificar los host que se encuentren activos en la red a la cual
estoy conectado.el comando que utilizaremos para realizar nuestro ping sweep, sera:

# nmap -sP “segmento de red”

Port Scanning / Escaneo de Puertos

Tiene como propósito lo siguiente:

• Escaneo de Puertos: Se realiza el envió de paquetes a un host, para

identificar el estado de los puertos TCP y UDP
• Posibles estados de un puerto: Abierto-Cerrado-Filtrado.
• Identificar Servicios por Puerto: Identificar vulnerabilidades en los
servicios que se ejecutan sobre puertos abiertos.
• Sistema Operativo de Host: Información importante acerca de nuestra
“victima”, posibles vulnerabilidades.

UDP Scanning
Los anteriores comandos los utilizamos para realizar el scanning de los
puertos TCP de nuestro host objetivo, ahora veamos el comanto utilizado
para scanear los puertos UDP

técnicas de explotación de puertos

se conoce poco acerca del three way handshake, antes de continuar con lo
siguiente.
TCP Connect Scan: Se llama de esta manera, puesto que implementa una
llamada al sistema de tipo Connect, para confirmar el estado del puerto. Esta
técnica es muy ruidosa, lo cual hace que pueda ser detectada por dispositivos
como IDS o Firewall. Sin embargo, es muy efectiva, es decir sus resultados
casi siempre son acertados.

Puerto Cerrado
Veamos de manera practica lo descrito en las imágenes, lo anterior, describe
que si el puerto al cual enviamos el Paquete SYN, se encuentra cerrado el
responderá con un RST, lo cual cerrara el canal entre ambos host.
Preguntas:

• ¿Qué realiza el msf consolte?

esta opción le dice al framework metasploit cuantas "pasadas" de codificación
debe hacer antes de generar el payload final.
• ¿Qué es Generando tramas contra un determinado dispositivo de red,
esperando la respuesta para analizarla y obtener información: puertos abiertos,
cerrados, tamaño de ventana, TTL, ¿etc?
En resumen, es conocer al enemigo.
• ¿Para que se utiliza la herramienta open source?
utilizada para el descubrimiento y auditorias de seguridad.
• ¿Qué es wireshark?
Analizador de protocolos
• ¿Cuál es es una de las mejores virtudes para evaluar la seguridad de nuestros
sistemas?
La paciencia.
• ¿Qué permite nmap?
nmap permite generar multitud de escaners, con patrones diferentes.
• ¿Cómo es nmap en manos de un tonto?
un peligro.
• ¿Qué es Lo primero que debemos realizar en nuestra fase de scanning?
Un ping sweep
• ¿Para que se utiliza un ping sweet?
permitirá identificar los host que se encuentren activos en la red a la cual estoy
conectado.
• ¿Por qué se llama TCP Connect Scan?
Se llama de esta manera, puesto que implementa una llamada al
sistema de tipo Connect, para confirmar el estado del puerto. Esta
técnica es muy ruidosa.