Manual para el Control de

métodos intrusivos en un Data

Center
Para Usuarios administradores de una data center

SEGURIDAD INFORMÀTICA

27 de noviembre de 2017
Autor: Arnold Danilo Morales Gomez
 Tabla de contenido
RESUMEN: .................................................................................................................... 2
1. CAUSA DE LAS AMENAZAS EN UN DETERMINADO CENTRO DE PROCESAMIENTO DE LOS
DATOS ......................................................................................................................... 2
2. ESTRUCTURA DE UN DATA CENTER.......................................................................... 2
3. TIPOS DE MALWARE ........................................................................................... 3
3.1. MALWARE I NFECCIOSO .................................................................................. 3
3.2 MALWARE OCULTO ....................................................................................... 3
3.3 MALWARE PARA OBTENER BENEFICIOS ............................................................ 3
3.4 MALWARE WEB.............................................................................................. 3
4. ATAQUES WEB ................................................................................................... 3
5. PROTECCIÓN CONTRA LOS MÉTODOS INTRUSIVOS ............................................... 3
5.1. SNIFFER .......................................................................................................... 4
5.1.1. INSTALACIÓN DEL SNIFFER ........................................................................... 4
5.2. DETECCIÓN DE VULNERABILIDADES ................................................................. 7
5.2.1. ANALIZADOR DE VULNERABILIDADES ............................................................ 7
5.2.1.1. INSTALACIÓN DE NESSUS ....................................................................... 7
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

1
MANUAL PARA EL CONTROL DE MÉTODOS INTRUSIVOS EN UN DATA CENTER

Para Usuarios administradores de una data center

Resumen:
En nuestra actualidad, todos contamos con antivirus instalados en nuestras
maquias o dispositivos que utilizamos diariamente y son ellos que relativamente
nos protegen de vulnerabilidades y amenazas que podemos tener a un nivel
de sistema, generalmente de clásicos ataque como troyanos, gusanos,
ataques de métodos intrusivos, etc.

Los Protectores de nuestra maquinas o antivirus se centran examinar el código

cualquiera que se encuentra en el disco para luego ser comprado con una
amplia base de datos donde las amenazas están documentadas, concluye
con reparar al código infectado.

Es por ello que la seguridad informática tiene la gran labor de proteger los
archivos en los ámbitos de infraestructura computacional, los usuarios y la
información [1].

1. Causa de las amenazas en un determinado centro de

procesamiento de los datos

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

Las mas comunes son las siguientes:

• Usuarios
o Las acciones pueden llegar a dañar potencialmente la seguridad
• Programas Maliciosos
o Se instalan, ya sea por falta de atención o maldad, en el
ordenador objetivo, abriendo una puerta a intrusos o bien
modifican datos del sistema, en algunos casos robando la
información de este.
• Errores de programación
o Suelen ser aprovechados por loa atacantes para fines ilegales
• Intrusos
o Hay muchos tipos, como pueden ser: Crackers, defacers, hackers.
o Fallos: Principalmente electrónico o lógicos de los sistemas
informáticos

2. Estructura de un Data Center.

Por lo general la es de suma importancia que una data Center tenga Firewall
puesto que la red interna debe ser de protección máxima, pero tampoco se

2
 ven que son de los más seguros puesto que los atacantes utilizan paquetes
camuflados lo cual pasa por los firewalls de forma ilícita.

El principal ataque y los métodos intrusivos utilizados dentro de una Data

Center vienen a se los diferentes tipos de Malware:

3. Tipos de Malware

3.1. Malware Infeccioso

Se identifican por su tipo de propagación. Las más conocidos son
el virus y el Gusano.

3.2 Malware Oculto

Este tipo de malware se distingue por su facilidad y persistencia a
la hora de evitar ser detectados, pasar desapercibidos e
introducirse sin ser avistados en el sistema. Como: BackDoor,
Rootkits y Troyanos entre otros.

3.3 Malware para Obtener Beneficios

Tras los avances de los tipos de malware en la actualidad llegan
a generar beneficios, ya sea por robo de información o por
interceptación de información bancaria.

3.4 Malware Web

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

Se caracteriza por aprovechar el potencial de internet a su favor.

Explota vulnerabilidades de los servidores web, repercutiendo
negativamente en el servidor.

4. Ataques Web
Es un ataque que utiliza una web modificada o copiado, generalmente
el atacante por sustancias que posee es capaz de obtener los archivos
de la web y este suele cambiar algunos campos con la finalidad de
sacar información beneficiosa.

5. Protección contra los métodos intrusivos

En este punto se pretende mostrar las diferentes herramientas que se
utilizaría en una situación en la que un centro de datos se encuentra
amenazado por diversos tipos de métodos y técnicas de los atacantes en
la web interna como externa. Estos son los más utilizados:

3
 5.1. Sniffer
Es una aplicación singular para las redes informáticas que se instala en
el sistema operativo de algún ordenador, esta aplicación como tal
permite capturar los paquetes que interactúan en esa red. Existen dos
maneras de instalar un sniffer en un ordenador, la primera es propia del
administrador el cual procede a instalar un software que le permite
controlar el tráfico en su red mediante los paquetes solicitados y
respondidos.

5.1.1. Instalación del Sniffer

Una de las aplicaciones mas usadas es Wireshark puesto
que con ello es posible analizar los protocolos como ICMP,
HTTP, TCP, DNS.

• Pasos para la instalación y la ejecución:

• Acceder a la pagina oficial para la descarga del
Software http://www.wireshark.org/download.html
• En Linux

sudo apt-get install wireshark

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

Figura 1 . Ventana de Wireshar en ejecucion de linux

4
 Figura 1.1 Ventana de casilla de filtros que se puede hacer con los
datos

1 Se debe hacer clic para

seleccionar el filtro de
paquetes
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

o Seguidamente se selecciona las interfaces para analizar los protocolos

Figura 1.2 Ventana para seleccionar los interfaces

1
Seleccionar la interfaz
para la captura de
paquetes

5
 o Comenzar a capturar los paquetes

Figura 1.3 Config urar las opciones de Captura

1
Clic para ver las
opciones de captura

2
Iniciar la captura de
paquetes

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

o Finalmente se observan los paquetes capturados:

Figura 1.4 Ventana de la captura que registro el software Wire shark

6
 Aquí veremos los paquetes capturados. En
este caso, estoy mostrando paquetes TCP
desde y hacia mi ordenador (mi IP es la
192.168.142.33).

En esta parte veremos el desglose

y la información detallada de los
paquetes capturados

Vemos el contenido
de los paquetes.

5.2. Detección de Vulnerabilidades

Las vulnerabilidades Generalmente se suscitan cuando el
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

atacante descubre las brechas o agujeros por donde ingresar al

sistema un gran ejemplo de estos son los puertos abiertos.

5.2.1. Analizador de vulnerabilidades

Es posible ejecutar cualquier analizador de vulnerabilidades
como por ejemplo:

▪ NESSUS
▪ ISS Security Scanner
▪ NAI CyberCop Scanner

Son capaces de revelar Información útil a la hora de reforzar

la seguridad de los servidores Web. Para ello se mostrará la
instalación de NESSUS en un entorno Linux (Kali LInux)

5.2.1.1. Instalación de NESSUS

• Descargar el paquete correspondiente desde el sitio
web oficial de Nessus.
Para este caso será “Debian 6 and 7 / Kali Linux 1 i386(32-
bit)”. Luego proceder con su instalación.

7
Figura 1. Terminal de Linux Para la instalación de NESSUS

Comando para
la instalación de
NESSUS

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

Figura 1. 2 Iniciar el servicio de NESSU

Comando para
iniciar el servicio
de NESSUS

Figura 1.3 Ventana de bienvenida de NESSUS

8
 Figura 1.4Venta de registro de NESSUS
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

Acceder a la
aplicación por el
usuario por defecto

Figura 1.5 Ventana principal para el escaneo de Vulnerabilidades

9
Esta es una de las formas de poder hacer un análisis de Vulnerabilidades lo
cual reforzará la superficie de ataques para la organización en que la requiera
además de asegurar el cumplimiento.

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

5.3. Ataques por Netbios

Es necesario saber cómo funciona este tipo de ataques antes de
poder dar la protección, como lo dice Microsoft, un error en
NetBIOS podría revelar mucha información de la que no se quiere,
es por ello que define los síntomas de esta:

10
 principalmente se caracteriza por que la API utiliza los programas
de una red local, el problema que suscita es que el atacante
puede ver la información en la memoria atreves de la red y ser
captados dichos paquetes para que sea visualizados en gran
parte en código HTML, sucede respondió a la consulta de servicio
de nombre NetBT, lo cual los atacantes aprovechan esta
vulnerabilidad para lograrlo debe poder enviar una solicitud
NetBT manipulada al puerto 137 al equipo de la víctima y luego
verifica la respuesta para ver algún dato brindado por la memoria
del equipo. Por lo general dicho puerto está abierto, pero con
equipos que cuentan con conexión a internet suele estar
protegido por un servidor de seguridad.

5.3.1. Vulnerabilidades para un ataque NetBios :

•Desde que los servicios SMB y NetBios/NetBT se encuentran
habilitados por defecto, intrusos maliciosos pueden ser capaces
de consultar estos servicios para obtener información sobre el
servidor o brechas de seguridad, si éstas existen.

•El servicio NetBios/NetBT también puede ser vulnerado para

ejecutar ataques de amplificación:
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

5.3.2. verificar si el servidor o dispositivo es vulnerable

•Utilizar el comando para obtener la información sobre su sistema
vía el servicio SMB: #
nmap --script smb-os-discovery.nse -p445 <IP-del-servidor>

Ejemplo de salida:

PORT STATE SERVICE

445/tcp open microsoft-ds

Host script results:

| smb-os-discovery:

| OS: Windows Server xxxx

| OS CPE: cpe:/o:microsoft:windows_server_xxxx::-

| Computer name: xx-xxxxxxxxxxxx

| NetBIOS computer name: xx-xxxxxxxxxxxx

| Workgroup: WorkGroup

|_ System time: xxxx-xx-xx

11
•Utilizar este comando para obtener información sobre el sistema
a través del servicio NetBios/NetBT:

Para Windows (cmd):

# nbtstat -A <IP-del-servidor>

Para Linux (terminal):

# nmblookup -S -R -A <IP-del-servidor>

Ejemplo de salida:

[...]

Looking up status of <IP-del-servidor>

XX-XXXXXXXXXXXX <00> - B <ACTIVE>

WORKGROUP <00> - <GROUP> B <ACTIVE>

XX-XXXXXXXXXXXX <20> - B <ACTIVE>

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

MAC Address = XX-XX-XX-XX-XX-XX

Si en la ejecución sale como salida (time-out) o “Tiempo

agotado” sueles decirse que los servicios podrían ya estar
desactivados.

La solución:

Por lo general estos servicios fueron diseñado para que

permanezcan dentro de ambientes seguros lo cual significa que
no es recomendable exponer dicho servicio a internet mucho
menos dejar que personas no confiables puedan acceder al
servicio.

Se recomienda estas soluciones:

→Desactivar los servicios Microsoft NetBios/NetBT y Microsoft SMB

si no está en uso. Esta es la solución más simple y la más eficaz.

12
 - Utilizar el cortafuegos (firewall) para filtrar las conexiones
entrantes a los servicios SMB y NetBios/NetBT y solamente autorizar
la IP de los d dispositivos de confianza.

Figura 1 . Desactivar los servicios de NetBIOS

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

Adicionalmente se debería instalar las actualizaciones de seguridad del

Sistema Operativo tan pronto como sea posible y asegurarse que SMBv1 no se
encuentra en uso.

5.4. Ataques por Inundación

13
 Algo más precisa y exacta, pero sigue siendo bastante brutal, es
la solicitud de inundaciones servicio. Se trata de un gran volumen de
determinados tipos de peticiones, como TCP, peticiones de apretón de
manos de tres vías, VPN configurados peticiones, o incluso peticiones
HTTP.

Que en realidad puede ser un ataque bastante fácil, si se piensa en la

educación de una página web, (y yo te mostraré esto en un momento),
y acaba de romper F5 un montón de veces. Esa es una solicitud de
servicio de rendimiento de inundación muy, muy limitado y muy baja. Es
decir, como si el sistema soporte 1 millón de actualizaciones F5 al mismo
tiempo.

5.4.1. Inundación por ancho de banda

El usuario malintencionado envía muchos paquetes al servidor,
impidiendo que los paquetes legítimos puedan llegar a él, no hay
suficiente ancho de banda para más paquetes.

Para poder colapsar un servidor por inundación de ancho de

banda, el ataque ha de ser distribuida (DDoS).

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

5.4.2. Protección en capas contra el ataque DDoS
moderno
Según ARBOR CLOUD, recomienda protegerse de ese tipo de
ataques mediante la siguiente estructura.

Figura 1. Propuesta de solución a los ataques de de (DDoS) según

Arbot Cloud

La mayor parte de las soluciones son en la nube para este tipos de ataques en
realidad hay muchas empresas que prestan servicios para la protección de los
ataques de inundaciones.

14
 5.5. Dns Spoofing
Este ataque hace referencia al falseamiento de una dirección IP
ante una consulta de resolución de nombre (esto es, resolver con una
dirección falsa un cierto nombre DNS), o viceversa (resolver con un
nombre falso una cierta dirección IP). Esto se puede conseguir de
diferentes formas, desde modificando las entradas del servidor
encargado de resolver una cierta petición para falsear las relaciones
dirección-nombre, hasta comprometiendo un servidor que infecte la
caché de otro (lo que se conoce como DNS Poisoning); incluso sin
acceso a un servidor DNS real, un atacante puede enviar datos
falseados como respuesta a una petición de su víctima sin más que
averiguar los números de secuencia correctos.

5.5.1. Formas en la que es utilizada DNS Spoofing

Se realiza mediante varios métodos, aquí describimos algunos:

● Envenenamiento de caché DNS

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

● Comprometiendo un servidor DNS

● Implementando un ataque Man In The Middle

5.5.2. Soluciones y prevenciones ante ataques DNS

Spoofing

Como lo muestra Cloudflare que es una red de entrega de

contenidos (CDN, content delivery network) global gratuito, de
protección DNS, DDoS y proveedor de seguridad web que puede
acelerar y proteger cualquier sitio en línea, en pocas palabras es un filtro
para páginas web.

15
Figura 1.1 Explicación de soluciones ante ataques de DNS
La protección avanzada contra DDoS que ofrece Cloudflare, se puede

Las opciones mejoradas de protección de DNS para grandes envergaduras es

posible que la herramienta web pueda mitigar ataques DDoS de todas las
formas y tamaños, incluyendo aquellos que se dirigen a los protocolos UDP,
ICMP, así como SYN/ACK, amplificación DNS y ataques de Capa 7. Ofrece

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

protección contra ataques DDoS sin límite de nivel empresarial y a un precio
considerable. Luego de aver sido creada la cuenta en Cloudflare, la
configuración del sitio web es rápida y sencilla, y los pasos a seguir se pueden
apreciar en el siguiente.

16
 5.6. RootKit
Se caracteriza por ser un programa o un conjunto de ellas que permiten
que los virus, o cualquier malware se pueda alojar en el sistema, así como
los hackers puedan trabajar a escondidas sin que el sistema operativo
pueda detectarlos o las actividades ilícitas que este realiza.

La forma en que atacan y son instalados los rootkits de las siguientes

formas:

■ Realiza tareas que le son programadas sin que sea detectada.

■ Si en el sistema hay una puerta trasera que se estén

empleando para realizar tareas de espionaje, el rootkit se

encarga de ocultar los puertos abiertos.

■ Cuando hay una herramienta para el envío de Spam, el rootkit

ocultará la actividad del sistema de correo.

■ Cuando un usuario (root) intenta ver los procesos que se

ejecutan en un sistema, el rootkit muestra información falsa, es

decir que mostrará todos los procesos excepto él mismo y de

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

los que está ocultando.

■ Puede inyectar código en un proceso legítimo para que luego la

memoria de ese proceso se utiliza en trabajos sucios.

■ Si un antivirus trata de detectar al rootkit, es posible que el

malware desactive la protección y elimine componentes críticos

del antivirus.

■ Los rootkit más astutos suelen crear archivos especiales para

que sean detectados por antivirus, cuando este accede al

archivo, desactiva el antivirus para su ejecución más adelante.

Otro problema de supervisión de rootkits se produce cuando se oculta

de algún proceso malicioso creado, impidiendo la obtención del PID. En
ese caso, BehEMOT es capaz de monitorear el proceso inicial hasta el punto
de la ocultación de las actividades, lo que puede generar un
comportamiento incompleto. Por otra parte, la captura externa del tráfico

17
 de red (en complementación a las actividades capturadas por el
controlador) puede agregar información al informe que permita la
identificación de ciertas acciones maliciosas.

Figura 1: Rootkit realizando trabajos de encubrimiento

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

Se muestra los tipos de rootkit las que un antivirus puede localizarlo.

18
 Otra de las aplicaciones mas recomendad o antivirus eficaz es Kasperski Lab
la herramienta de TDSSKiller lo cual los rootkits es su especialidad.
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

Para suplantar la prevención asimismo la protección necesaria Primero que

nada, antes de poder detectar cualquier actividad sospechosa que puede
estar realizando el rootkit es necesario que el antivirus inspeccione los archivos
críticos del sistema en un nivel más bajo, lo cual interseca al malware que trate
de modificar la organización del disco duro.

Es Crucial que el antivirus tenga protección propia, para que el rootkit no le

sea posible desactivar el producto. Asimismo, un antivirus debe remover por
completo los componentes del rootkit inclusive aquellos que hayan sido
inyectados en archivos críticos del sistema operativo.

19
Las nuevas tecnologías no basan su funcionamiento en condicionantes
previamente aprendidos sobre patrones cerrados de identificación de
amenazas. Su funcionalidad se basa en la investigación inteligente y
automática de la situación de un proceso en un ordenador.

Es posible utilizar alguna de las siguientes herramientas especializadas que

analizan el sistema en busca de rootkits, los más comunes son: Backlight,
Rootkit Revealer, chkrootkit, rkhunter:

• chkrootkit herramienta para Linux y macOS

• GMER, detector de rootkits para Windows.

Figura3. Herram ienta para Windows, localizando anormalidad .

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

Considerando que los rootkits se autoprotegen, escondiéndose y evitando

ser localizado por otros procesos (antivirus) pueda detectarlos, es posible que
se localice por estar en funcionamiento y activado en memoria. La mejor
manera de evitar que el proceso entre en acción es evitar el arranque del
sistema operativo en el disco donde está el rootkit, se puede utilizar un disco

20
 CD, para que así sea reconocido el rootkit y se elimine. Apesar de ello pueda
que se dé el caso que el rootkit no sea conocido haciendo que todo antivirus
no tenga efecto alguno se recomienda que se tomen medidas mucho más
profundas como una investigación forense a los discos duros.

5.7. Suplantación de Dirección IP

Uno de los ataques usuales es suplantar la ip de la victima consiste en
los intentos de suplantar direcciones IP, un intruso puede utilizar técnicas
como ip Spoofing.

Esta es la explicación de una arquitectura en que representa la

suplantación de IP
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

21
La protección Para la suplantación de IP´s se da de la siguiente manera:

• Filtrando el Router: Implementar filtros de entrada y salida en el Router

es una buena defensa ante el spoofing de IP
• ACL: Bloquear direcciones IP privadas y tampoco aceptar
direcciones del rango interno como dirección de origen.
• No se debe permitir la salida de ningún paquete que tenga como
dirección IP de origen una que no pertenezca a su subred.
• Cifrado y Autenticación.

5.8. Falsificación ARP

Esto es técnica usada por atacantes en redes cuyo fin es obtener
el tráfico de red circundante, aunque no esté destinado al sistema
del propio intruso. Con este método, el atacante puede conseguir
derivar la información hacia su propia tarjeta de red y así
conseguir información sensible, bloquearla o incluso modificarla y
mostrar datos erróneos a las víctimas o se podría decir que es ARP
Spoofing.

Cabe aclarar que el ARP Spoofing puede ser usado también con
fines legítimos. Por ejemplo, algunas herramientas de registro de

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

red, pueden redireccionar equipos no registrados a una página
de registro antes de permitirles el acceso completo a la red.

Las defensas que se pueden tomar a la hora de hacer una

prevención contra un ataque ARP Spoofing, son los siguientes:

•Utilizar tablas ARP estáticas, es decir añadir entradas estáticas

ARP, de forma que no existe caché dinámica, cada entrada de
la tabla mapea una dirección MAC con su correspondiente
dirección IP. Sin embargo, esta no es una solución práctica, sobre
todo en redes grandes, debido al enorme esfuerzo necesario para
mantener las tablas ARP actualizadas: cada vez que se cambie
la dirección IP de un equipo, es necesario actualizar todas las
tablas de todos los equipos de la red.

•Otra forma de proteger estos ataques es detectándolo es.

Arpwatch es un programa Unix que escucha respuestas ARP en la
red, y envía una notificación vía correo electrónico al
administrador de la red, cuando una entrada ARP cambia.

22
 • Verificar si existe direcciones MAC clonadas también es una
de las formas que existe ARP Spoofing, es por ello que hay que
tener en cuenta que también hay usos legítimos de las
direcciones de MAC clamadas.

• Es posible utilizar RARP (ARP inverso) que es el protocolo

usado para consultar, a partir de una dirección MAC, su dirección
IP correspondiente. Si ante una consulta, RARP devuelve más de
una dirección IP, significa que esa dirección MAC ha sido
clonada.

Se recomienda el uso de la siguiente aplicación:

1. ArpON: esta solución se basa en host que hace que el

protocolo estandarizado ARP sea seguro para evitar el ataque de
Man In The Middle (MITM) a través de la ARP

Los software y bibliotecas requeridos para el ArpON se encuentran

en la
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

documentacion del mismo con link.

Para la construcción e instalación, antes que nada descargar el

ArpON;

ahora:

Para instalar el ArpON en la ruta predeterminada "/":

$ cd /path/to/arpon

$ mkdir build

$ cd build

$ cmake ..

$ make

$ sudo make install

Para instalar el ArpON en otra ruta de acceso:

23
$ cd /path/to/arpon

$ mkdir build

$ cd build

$ cmake -DCMAKE_INSTALL_PREFIX="/path/to/install" ..

$ make

$ sudo make install

Normalmente las rutas de la instalación son: "/", "/ usr" o "/ usr /
local".

Si sus dependencias están instaladas en las otras rutas:

$ cd /path/to/arpon

$ mkdir build

$ cd build

$ cmake -

DCMAKE_INCLUDE_PATH="/path/to/include1;/path/to/include2"
\

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

-DCMAKE_LIBRARY_PATH="/path/to/library1;/path/to/library2" ..

$ make

$ sudo make install

Si desea personalizar los parámetros del compilador CFLAGS:

$ cd /path/to/arpon

$ mkdir build

$ cd build/

$ cmake -DCMAKE_C_FLAGS="your-cflags-here" ..

$ make

$ sudo make install

24
 Conexión del servidor a la victima

Se envía los paquetes

5. 9 Keyloggers

Es un software o hardware programado para registrar la

actividad de un ordenador o de toda una red.

La traducción de su nombre sería “registrador de teclas”,

haciendo referencia a su función que es capturar el valor de las
teclas utilizadas por un usuario.

Características
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

Su principal característica es que es invisible para el usuario.

En el caso de los keyloggers de tipo hardware, su modelo y

diseño es similar a una memoria flash o un conector
intermediario para los dispositivos(teclados) más antiguos.

Con estos dispositivos, la información es almacenada para luego

ser usada por quien hizo la instalación.

En muchos casos suelen estar camuflados com adaptadores

para equipos que tienen una entrada distinta.

En el caso del tipo software las opciones son mayores y

dependen de la programación que se le dio antes, durante y
después de la captura de datos.

Los más eficientes y difíciles de detectar son los programados

para atacar el núcleo de la computadora. Porque al estar en
ese nivel se vuelven casi invisibles para los softwares encargados
de encontrar atacantes. Estos suelen estar disfrazados como

25
controladores de dispositivos. En especial del teclado porque es
por ese medio que el usuario interactúa con la computadora.

La función es similar y se pueden almacenar desde un archivo

de texto plano hasta el envío de correos con la información.

5. 9.1 ¿Cómo funciona cuando ataca?

En principio, esta es una herramienta que si bien es cierto es muy
utilizada para intrusión de ciberdelincuentes,su desarrollo fue
pensado con otros propósitos.

Lo que hace un keylogger es registrar los datos y la actividad de

la “víctima”, ya sea una persona o toda una empresa.

En la imagen podemos ver una pequeña configuración de un

Keylogger de tipo software. Lo que se está asignando es un
tiempo de funcionamiento en el cual capturará todas las
pulsaciones que se le de al teclado.

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

26
 En esta imagen podemos ver el log almacenado por un
keylogger que vendría a ser todo lo interceptado de la máquina,
desde direcciones de páginas web hasta usuarios y contraseñas.

La lógica de programación utilizada está basada en la

concatenación de caracteres. Es decir a = a + TeclaPresionada.

Para poder tener un resultado con mayor porcentaje de

confiabilidad, el programador debe asegurarse de indicar
correctamente los valores a las teclas en caso no sean de un
modelo estándar.

5. 9.2 ¿Cómo protegerse?

El primer paso para poder protegerse es saber de su existencia y
de lo que hace. Saber detectarlo es importante también.

Si bien es cierto su funcionamiento no afecta notoriamente al

CPU cuando es utilizado, se puede reconocer la lentitud de una
PC al presionar varias teclas a la vez. Esto hace que el keylogger
no pueda recibir las pulsaciones de manera ordenada y
procede a saturar la memoria. Sin embargo no basta con
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

detectar el keylogger, sino este debe ser eliminado.

5. 9.3 Una de las mejo res altern ativ as a esto es usar

antiv irus que presenta p rotección anti Keylogger.

27
 Para eso actualmente existen diversos softwares libres y de paga
que permiten la detección y eliminación de este programa.

Entre estos están los Anti-spyware, que se encargan de detectar

programas espías que se ejecutan en segundo plano pero que
interactúan con la información de la PC.

Otro método muy conocido es activar el firewall, pero no basta

solo con el que viene con el sistema operativo, sino que es
importante instalar un software extra dedicado a esta función.
Hacer esto permite no solo proteger al equipo de infiltraciones
de keyloggers, sino que detecta e impide el acceso a virus,
troyanos, malwares, etc. Y en caso no logre detener el
keylogger, este evitará que la información sea enviada a
terceros.

Otra opción es usar software dedicado a la detección de

keyloggers. La desventaja es que solo cumple esta función, Lo
que se necesita entonces sería un antivirus completo, que
pueda proteger de diversos ataques y permita hacer una
revisión programada para detectar programas ocultos. Tal es el
caso de eset smart security. Un software de paga, pero que

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

cumple funciones necesarias para estar protegido.

5. 10 Intercep tación de Contraseñas

5. 10.1 ¿Qué es Interceptación de Contraseñas ?

28
 Su nombre lo describe en cortas palabras. Este es un tipo de ataque
para capturar datos entre un emisor y un receptor. Se diferencia de
otros por actuar como un espía. No modifica ningún dato ni hace
alguna alteración de la información interceptada, simplemente
obtiene las credenciales de acceso y de esta manera da inicio a un
ataque diferente.
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

C aracterísticas Interceptación de Contraseñas

Se realiza este ataque por medio de softwares programados para este
fin. Como se describió, se utilizan programas para husmear los archivos
de envío entre 2 dispositivos. Por lo que podemos decir que este tipo
de ataque viene a ser un derivado de snooping. Que básicamente lo
que hace es acceder a información privada de otra persona. Que
puede ir desde tomar una captura de pantalla hasta leer el mail de la
víctima.

Además se utiliza el sniffing para leer el tráfico enviado entre los

dispositivos. Ya que el usuario y contraseña viajan en paquetes que al
ser interceptados pueden ser observados por el atacante.

Esto en caso no se utilice un protocolo de seguridad en envío y

recepción de paquetes, como podría ser la encriptación de estos.

¿Cómo protegerse?

29
La técnica más sencilla es dejar el trabajo a un antivirus especializado
en detectar conexiones duplicadas o algún dispositivo desconocido,
que muy probablemente sea un atacante.

Otra forma es hacer el test de conectividad. Enviando peticiones de

tipo “ICMP echo” a la IP de quien creemos que es el atacante con
una MAC errónea. En caso de una respuesta de confirmación nos
daremos cuenta que es un dispositivo que está en modo promiscuo
con la intención única de interceptar los paquetes.

De esta forma también se puede hacer otros test de configuración

como puede ser al DNS, ARP , etc.

5. 11 Craq ueo Remoto

Esto se da principalmente con tipos diferentes de ataques, fuera

de la red con métodos intrusivos ya conocidos. Como se muestra
primeramente se realiza por:
Escaneos de puertos:
La primera tarea de un atauque potencial o no son el escaneo
de los puertos, un portscan; lo cual le permite al atacante
obtener los datos necesarios de los puertos y servicios estamos

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

brindando además del sistema operativo instalado en cada host
y cierta arquitectura de una red mediante los puertos abiertos el
atacante puede encontrar agujeros en cada servicio que sele
de una Data Center.
La determinación de un puerto es fundamental; incluso es
posible de diagnosticarlo mediante una línea de código
utilizando telnet como por ejemplo se requiere conocer el
estado del puerto 5000 en la amquina con una dirección ip de
192.168.0.10; si el telnet arroja “puerto ofrece una respuesta”,
entonces está abierto y escuchando peticiones:
danilo:~$ telnet 192.168.0.10 5000
Trying 192.168.0.10...
Connected to 192.168.0.10.
Escape character is '^]'.
^D
Connection closed by foreign host.
danilo:~$
Pero ningún atacante usaría telnet para hacer escaneo de
puertos masivos a un sistema o una red para ello utilizan

30
 herramientas como strobe o nmap lo cual realiza tareas de
forma automatizada.
Clasificación de los escaneos
• Horizontal: Cuando el atacante busca la disponibilidad de
determinado servicio en diferentes máquinas de una red; por
ejemplo, si el pirata dispone de un exploit que aprovecha un
fallo en la implementación de sendmail para saber qué
maquinas aceptan peticiones SMTP lo cual hace posible el
ataque al sistema
• Vertical: generalmente es cuando el atacante hace
escaneo a una solo maquina
Al momento de que se quiera averiguar los puertos de una
maquina al enviar datagramas UDP a un puerto abierto esto no
hace la respuesta, pero si está cerrado devuelve un mensaje:
error ICMP: ICMP/SMALL>_PORT/SMALL>_UNREACHABLE
Estos son las técnicas más habituales en muchos casos suficiente
para iniciar un ataque más serio contra la máquina:
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

Bibliografía

Blunden, B. (2009), “The Rootkit Arsenal: Escape and Evasion in the Dark
Corners of

the System”, Jones and Bartlett Publishers, Inc, 1th edition.

Choi, Y., Kim, I., Oh, J. and Ryou, J. (2008). “PE File Header Analysis-Based
Packed

PE File Detection Technique (PHAD)”, Proceedings of the International

Symposium on Computer Science and its Applications, p.28-31, October 13-

15,

2008.

Dinaburg, A., Royal, P., Sharif, M., and Lee, W. (2008). “Ether: Malware analysis
via

hardware virtualization extensions”. In In Proceedings of The 15th ACM

31
Conference on Computer and Communications Security (CCS 2008),
Alexandria,

VA, October 2008.

Father, H. (2004) “Hooking Windows API-Technics of Hooking API Functions on

Windows”, CodeBreakers J., vol.1, no.2,

http://www.codebreakersjournal.com/downloads/cbj/2004/CBJ_1_2_2004_H
olyFather_Hooking_Windows_

API.pdf.

Amenazas web [1]

http://es.wikipedia.org/wiki/Malware

http://support.kaspersky.com/sp/viruses/general/614

http://www.pandasecurity.com/spain/homeusers/securityinfo/about-
malware/general-concepts/concept-2.htm

https://climbo.wordpress.com/2007/01/31/tipos-de-ataquesen-
aplicaciones-jueb/

http://roble.pntic.mec.es/jprp0006/tecnologia/4eso_informatica

Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017

/peligros_internet/

http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico

http://listas.20minutos.es/lista/los-tipos-de-malware-310619/

http://www.welivesecurity.com/la-es/2013/01/02/ataquesaplicaciones-
web/

http://infoynet.blogspot.com.es/2009/04/malware.html

https://www.infospyware.com/articulos/que-son-los-malwares/

http://www.idearius.com/es/tipos-de-malware-virus-troyanospyware-
gusano/

http://www.kaspersky.es/internet-securitycenter/threats/malware-
classifications

32