Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Alumnos
Las empresas proveedoras de servicios (redes sociales, correo electrónico, video streaming,
cloud computing, etc.) necesitan de cierta información para poder ofrecer una experiencia
agradable al usuario. Esta información son nuestros datos personales, bancarios, salud,
preferencias, etc.; es decir, lo que nos identifica de manera única. Por ello, las empresas que
guardan dicha información en sus bases de datos deben de estar en la capacidad de
salvaguardar nuestra información personal y la propia. De la misma manera, nosotros como
usuarios, debemos de limitar la cantidad de información que brindamos, pues prácticamente
estamos exponiendo nuestras vidas en las redes.
Datos personales
Las personas con las que interactuamos en casa, colegio, universidad, trabajo, etc, conocen
nuestra información personal (nombre, dirección, edad); pero las personas con las cuales
interactuamos en línea conocen solamente la información que nosotros estemos dispuestos
a brindar. Por ello, debemos de ser conscientes que todo dato, por pequeño que sea, al ser
agrupado se convertirá en información personal, la cual nos identificara de manera única.
Los datos personales están presentes por ejemplo, en nuestro historial médico, en el
historial académico, laboral, crediticio, redes sociales, tiendas por departamento, y en todo
aquel servicio al que para acceder debamos de brindar nuestra identidad. Esto último, obliga
a que nuestra información viaje por la red para poder ser validada, lo que a su vez genera un
registro de actividades en el dispositivo receptor. Es en ese momento donde nuestra
información en línea se vuelve atractiva para los hackers.
Cada vez que iniciamos sesión en algún servicio, se validan nuestras credenciales, y es
justo esto lo que más quieren apropiarse los hackers, pues gracias a ello pueden acceder a
servicios haciéndose pasar por nosotros. En otros casos, pueden solicitarnos dinero para
recuperar nuestras cuentas u extorsionarnos con información personal.
Datos de la organización
Las organizaciones manejan información de suma importancia para su correcto
funcionamiento; estas son la información de sus empleados, financiera, clientes, patentes,
planes estratégicos, estudio de sus competidores, etc. Con el uso cada vez mayor de
almacenamiento en la nube, mucha de esta información es subida a estos servicios a
manera de respaldo o por ahorrar en costos de infraestructura tecnológica.
Las organizaciones son conscientes de que toda esta información almacenada debe de
cumplir con ciertos requisitos como son la confidencialidad, integridad y disponibilidad de los
datos.
Disponibilidad, para que la información sea accesible cuando es requerida, para ello se
deben de mantener actualizados los sistemas y brindar mantenimiento a los dispositivos
encargados de mantener la información almacenada. Además, de evitar los ataques de
denegación de servicio, el cual consume recursos para los demás usuarios.
Violación de la seguridad
Mantener los datos de manera segura requiere de grandes inversiones por parte de las
empresas, tanto a nivel de hardware y software, como también en capacitaciones a los
empleados. Se debe de poner principal énfasis en estos últimos, pues no serviría de nada
tratar de mantener segura la información sensible de la empresa, si los empleados no hacen
buen uso de las herramientas asignadas (PC, celulares, correos, etc), pues a través de ellos
se podría propagar algún tipo de ataque, el cual puede ingresar por correo electrónico,
pendrive, o manipulación de los datos.
Tipos de atacantes
Los atacantes pueden ser una o un grupo de personas, las cuales están interesados en
obtener la información de las empresas o personas, para poder así ganar dinero o
reconocimiento.
Entre los tipos de atacantes tenemos a los aficionados, que gracias a herramientas ya
existentes que circulan por la red, intentan por lo menos crear algún daño; los hackers, que
buscan ingresar a las computadoras vulnerando algún tipo de debilidad en los sistemas, ya
sea realizando pruebas con consentimiento del cliente (hackers de sombrero blanco),
apropiándose o extorsionando (hackers de sombrero gris) o exponiendo las vulnerabilidades
con otras personas (hackers de sombrero gris). Los hackers también pueden estar
patrocinados por otras empresas o incluso gobiernos que buscan obtener información
valiosa o destruirla.
Guerra cibernética
Las guerras o conflictos entre países se desarrollaban mediante el uso de la fuerza o
poderío militar, en la actualidad también se desarrolla en el ciberespacio a través de ataques
dirigidos con el propósito de desestabilizar una nación.
La guerra cibernética hace referencia a la penetración de sistemas de cómputo de otros
países a través de la red. Estos ataques pueden destruir el hardware mediante la
manipulación de los sistemas de protección funcional del equipo; pueden también espiar el
flujo de datos entre las instituciones del estado; pueden también revelar secretos de estado.
CAPÍTULO 2 - ATAQUES CONCEPTOS Y TÉCNICAS
En este capítulo se analizan lo que ocurrió después de un ciberataque. Explica las
vulnerabilidades de software y hardware y las distintas categorías de la vulnerabilidad de
seguridad.
Se analiza los diferentes tipos de software malicioso más conocido como malware y los
síntomas de malware. Uno de los ataques más recurrentes es denegación de servicio.
Los ciberataques modernos se consideran ataques combinados y estas a su vez usan
técnicas para infiltrarse en un sistema y atacarlo. Cuando un ataque no puede evitarse, es el
trabajo del profesional de ciberseguridad reducir el impacto de dicho ataque.
Vulnerabilidades de software
Las vulnerabilidades de seguridad son cualquier tipo de defecto en software y hardware. Los
usuarios malintencionados intentan explotarla. Un ataque es un programa escrito en algún
lenguaje de programación para aprovecharse de los datos y recursos.
Las vulnerabilidades de software generalmente se introducen por errores en el sistema
operativo. Microsoft, Apple y otras empresas lanzan parches para corregir dichas
vulnerabilidades.
El objetivo de las actualizaciones de software es mantener el sistema actualizado y evitar
dichos ataques. Hay algunas empresas que tienen equipos de prueba de penetración
dedicados a la búsqueda y corrección y vulnerabilidades.
El Proyecto Zero de Google es un excelente ejemplo de esta práctica. Google formó un
equipo dedicado a encontrar vulnerabilidades de software.
Vulnerabilidades de hardware
Se presentan a menudo mediante defectos de diseño del hardware. La memoria RAM, por
ejemplo, consiste básicamente en capacitores instalados muy cerca unos de otros. Se
descubrió que, debido a la cercanía, los cambios constantes aplicados a uno de estos
capacitores podrían influir en los capacitores vecinos. Por ello falla de diseño. Está
vulnerabilidad fue conocida como Rowhammer. El ataque permite que se recuperen los
datos de las celdas de memoria de direcciones cercanas, incluso si las celdas están
protegidas.
Desbordamiento de búfer: Los búferes son áreas de memoria asignadas a una aplicación. Al
cambiar los datos más allá de los límites de un búfer, la aplicación accede a la memoria
asignada a otros procesos, esto ocasiona un bloqueo de sistema comprometiendo los datos.
Entrada no valida: Los programas suelen trabajar con entradas de datos y estos datos pueden
tener contenido malicioso para que el programa se comporte de una manera no deseada.
Problema de control de acceso: Determina quien tiene acceso a un recurso y que puede hacer
con este, como leerlo o modificarlo.
Tipos de malware
Es cualquier código para robar datos, evitar los controles de acceso, ocasionar daños o
comprometer un sistema.
Spyware: Este malware está diseñado para rastrear y espiar al usuario. El Spyware a
menudo incluye rastreadores de actividades, recuperación de pulsación de teclas y captura
de datos. Modifica las configuraciones de seguridad. A menudo se agrupa con el software
troyano.
Adware: Está diseñado para brindar anuncios automáticos. Algunos adware están
diseñados para brindar solamente anuncios, pero también es común que el adware incluya
spyware
Bot: Es un malware diseñado para realizar acciones automáticamente, la mayoría de los
bots son inofensivos, varias computadoras pueden infectarse con bots programadas
Ransomware: Está diseñado para mantener cautivo un sistema de computación o los datos
que contienen hasta que realicen un pago, trabaja generalmente encriptado con una clave
desconocida por el usuario. El ransomware se esparce por un archivo descargado o alguna
vulnerabilidad de software.
Scareware: Está diseñada para persuadir al usuario de realizar acciones específicas en
función del temor. Falsifica ventanas emergentes que se asemejan a las ventanas del
sistema operativo.
Rootkit: Está diseñado para modificar el sistema operativo a fin de crear una puerta trasera.
Los atacantes usan la puerta trasera para acceder de forma remota a la computadora. Un
sistema afectado por rootkit debe limpiarse y reinstalarse.
Virus: Es un código ejecutable malintencionado que se ejecuta con otros archivos
ejecutables, puede activarse en una fecha específica. Los virus pueden mostrar una imagen
o pueden ser destructivos, como los que borran datos. La mayoría de los virus se esparcen
por unidades USB, discos ópticos, recursos de red compartidos o correo electrónico.
Troyano: Ejecuta operaciones maliciosas bajo la licencia de una operación no deseada. A
menudo los troyanos se encuentran en archivos de imagen, audio, juegos.
Gusanos: Son códigos maliciosos, que por lo general ralentizan las redes. Los gusanos
pueden ejecutarse por sí mismos.
Hombre en el medio (MitM): El atacante tome el control de un dispositivo sin el
conocimiento del usuario, y puede capturar información antes de trasmitirlo a su destino. Se
usan simplemente para robar información financiera.
Hombre en el móvil (MitMo): Es un tipo de ataque para tomar el control de un dispositivo
móvil. Permite que los atacantes capturen silenciosamente SMS de verificación de 2 pasos
enviando los usuarios.
Síntomas de malware
Estos son los síntomas más frecuentes del malware:
● Aumento del uso de la CPU
● Disminución de la velocidad de la computadora.
● La computadora se congela o falla con frecuencia.
● Hay una disminución en la velocidad de navegación web.
● Existen problemas inexplicables con las conexiones de red.
● Se modifican los archivos.
● Se eliminan archivos.
● Hay una presencia de archivos, programas e iconos de escritorio desconocidos.
● Se ejecutan procesos desconocidos.
● Los programas se cierran o configuran solos.
● Se envían correos electrónicos sin el conocimiento o el consentimiento del usuario.
Ingeniería social
Es un ataque se acceso que busca manipular a las personas para que realicen acciones o
divulguen información confidencial. Un ejemplo claro de esto es cuando un atacante llama a
un empleado autorizado para tratar de acceder a la red. El atacante usa técnicas de
nombres.
Los ataques de ingeniería social más comunes son los siguientes:
● Pretexto: El atacante llama a una persona y miente para obtener accesos y datos
privilegiados. Pretendiendo necesitar los datos personales para confirmar la identidad
del objetivo.
● Seguimiento: Esto es cuando un atacante persigue rápidamente a una persona
autorizada a un lugar seguro.
● Algo por algo (quid pro quo): Esto es cuando un atacante solicita información de una
parte a cambio de algo.
Decodificación de contraseñas Wi-FI
Es el proceso de detección de la contraseña utilizada para proteger la red inalámbrica y las
técnicas más utilizadas son:
Ingeniería social: El atacante manipula a una persona que conoce la contraseña para que se
la proporcione.
Ataques por fuerza bruta: El atacante prueba diversas contraseñas posibles en el intento de
adivinar la contraseña. Si la contraseña es un numero de 4 dígitos, el atacante deberá
probar cada una de las 10 000 combinaciones.
Monitoreo de la red: Mientras los paquetes viajan por la red, el atacante puede descubrir la
contraseña y si la contraseña está cifrada, el atacante puede usar una herramienta de
decodificación de contraseñas para revelarla.
Suplantación de identidad:
La suplantación de identidad es cuando una persona envía un correo electrónico fraudulento
ocultando la fuente legítima con el objetivo de engañar al usuario y la finalidad que se llegue
a instalar el malware en el equipo o comparta la información.
La suplantación de identidad focalizada y la suplantación de identidad usan correos
electrónicos para llegar a las víctimas, cuando se utiliza la suplantación de identidad
focalizada el atacante realiza una previa investigación.
Aprovechamiento de vulnerabilidades
Es otro método común de infiltración.
Paso 1. Recopilación de información sobre el sistema de destino.
Paso 2. Parte de la información pertinente aprendida en el Paso 1
Paso 3. Después de conocer el sistema operativo, la versión se busca cualquier
vulnerabilidad conocida por dicha versión del sistema operativo.
Paso 4. Tras encontrar la vulnerabilidad, se busca hacer un ataque desarrollado
El atacante puede utilizar la herramienta Whois, que es una base de datos de internet
pública que contiene información sobre nombres y dominios.
También puede utilizar la herramienta Nmap, un escáner popular de puestos para sondear
los puertos de las computadoras, para conocer los servicios que se están ejecutando.
DoS
Es un ataque de denegación de servicio da como resultado una interrupción del servicio de
red a los usuarios.
Cantidad abrumadora de tráfico: Esto ocurre cuando se envía una gran cantidad de datos a
una red o una aplicación que no pueden administrar.
Paquetes maliciosos formateados: Esto sucede cuando se envía un paquete malicioso
formateado a un host o una aplicación y el receptor no puede manejarlo. Por ejemplo, un
atacante envía paquetes que contienen errores que las aplicaciones no pueden identificar o
reenvía paquetes incorrectamente formateados.
DDoS
Un atacante crea una red de hosts infectados, denominada botnet. Los hosts infectados se
denominan zombies. Los zombies son controlados por sistemas manipuladores.
Envenenamiento SEO
Los motores de búsqueda funcionan clasificando páginas y presentando resultados
relevantes conforma a las consultas de búsqueda de los usuarios. Según la importancia el
contenido buscado puede aparecer en la parte superior o inferior.
Un usuario malintencionado puede utilizar la SEO para hacer que un sitio web malicioso
aparezca más arriba en los resultados de la búsqueda. Esta técnica se denomina
envenenamiento SEO.
El objetivo más común del envenenamiento SEO es aumentar el tráfico a sitios maliciosos
que puedan alojar malware o ejercer la ingeniería social. Para forzar un sitio malicioso para
que califique más alto en los resultados de la búsqueda, los atacantes se aprovechan de los
términos de búsqueda populares.
Un método muy utilizado por los administradores de red, en el cual pueden realizar una
comprobación del estado de la red, es el escaneo de puertos. Con ello, se busca tener
conocimiento de que puertos se encuentran abiertos, cual es el sistema operativo utilizado
por los hosts y que servicios se están utilizando.
Se debe de tener en cuenta que no existe un dispositivo que cubra todos los aspectos de
seguridad. En cambio, si se utilizan varios dispositivos que cubran distintos aspectos de
seguridad, se obtiene un sistema confiable que pueda hacer frente ante cualquier intento de
intrusión. Estos dispositivos son: Routers, Firewall, IPS, VPN, Malware / Antivirus, sistemas
de control de acceso.
Un sistema de protección debe ser capaz de detectar los ataques en tiempo real, para poder
detenerlos inmediatamente o en cuestión de minutos, con el objetivo de minimizar los daños.
En algunos casos, estos ataques son detectados demasiado tarde, cuando ya han pasado
días o meses, y la información ya ha sido comprometida. Uno de los ataques más comunes
es el de denegación de servicio, el cual es difícil de defender debido a que el ataque
proviene de miles de host al mismo tiempo, lo cual provoca la caída de servicios en la red.
Algunas de las pautas más útiles se encuentran en los depósitos organizacionales, como el
Centro de Recursos de Seguridad Informática del Instituto Nacional de Normas y Tecnología
(NIST, por sus siglas en inglés).
Botnet
NetFLow
La tecnología NetFlow se usa para recopilar información sobre los datos que atraviesan la
red. Muestra quién y qué dispositivos están en la red también como y cuando los usuarios y
dispositivos tuvieron acceso a la red.
CSIRT
La función principal del CSIRT es ayudar a proteger la empresa, el sistema y la preservación
de datos realizando investigaciones integrales de los incidentes de seguridad informática.
Para evitar incidentes de seguridad, el CSIRT de Cisco proporciona una evaluación de
amenazas proactiva, planificación de la mitigación, análisis de tendencias de incidentes y
revisión de la arquitectura de seguridad.
Hay organizaciones de CSIRT nacionales y públicas, como la División CERT del Instituto de
Ingeniería de Software de la Universidad Carnegie Mellon, que están dispuestos a ayudar a
las organizaciones.
Una de las mejores maneras de prepararse para una violación a la seguridad es prevenirla.
Se deben tener pautas sobre cómo identificar el riesgo de la ciberseguridad en los sistemas,
los activos, los datos y las funcionalidades, proteger el sistema mediante la implementación
de protecciones y capacitaciones del personal, y detectar el evento de ciberseguridad lo más
rápidamente posible.
● SIEM: es un software que recopila y analiza las alertas de seguridad, los registros y
otros datos históricos y en tiempo real de los dispositivos de seguridad de la red.