IDENTIFICACIÓN DE ATAQUES TÉCNICAS DE

INTRUSIÓN

SEGURIDAD INFORMATICA

MAESTRA: CLAUDIA MONDRAGON GOMEZ

ALUMNO: JORGE ALBERTO HERNANDEZ TERAN

 Introducción
la información se ha convertido en un bien de extraordinario valor
para muchas personas, y su resguardo ha trascendido del ambiente
puramente físico, al electrónico. Los métodos, tanto de uno como de
otro bando, son cada vez más sofisticados y complejos, una guerra
silenciosa, que cada día, a cada hora, se torna más grande y ardua, se
libra sin que se alcance a distinguir todavía un final a la misma.
Dadas las condiciones actuales en que la red mundial se encuentra,
es imprescindible tener presente la mayor cantidad de información
referente a la seguridad informática sin importar si se debe proteger
una PC casera o una red corporativa. A la mayoría de los piratas
informáticos realmente no les interesa de qué tipo se trate; si
alguien está comunicado hacia cualquier tipo de red, es una víctima
potencial de sus ataques.
Los atacantes de red suelen utilizar para realizar sus intrusiones un método formado
por las siguientes fases:
• Recoger información. De sitios Web, de BDs de nombres registrados, de BDs de
direcciones IP (RIPE en Europa e Internic en EEUU).

• Explorar los puertos de direcciones IP. El scanner intenta conectarse a todos los
servicios deseados en todas las máquinas que pertenecen a un intervalo de
direcciones concreto, el resultado es un listado de máquinas accesibles y puertos
abiertos en estas máquinas. La tecnología firewall es una buena contramedida
contra esta fase de los ataques.
• Enumeración de los servicios encontrados. Se trata de encontrar
información acerca de los sistemas operativos, fabricantes del
software y versión del software.

• Intrusión Se buscan vulnerabilidades conocidas que no están

parcheadas. Vulnerabilidades conocidas se pueden encontrar en
sitios Web como securityfocus. com, secunia.com, etc. Las más
recientes vulnerabilidades se publican en listas de correo como
bugtraq y ntbugtraq. Los scanners de seguridad y analizadores de
vulnerabilidades pueden ayudarnos en dicha tarea.
• Escalada de privilegios. Por ejemplo instalar un script que el administrador
ejecute inadvertidamente, por ejemplo regedit.cmd.

• Saqueo. Robar los hashes de contraseñas, SAM bajo Windows y /etc/shadow

bajo Unix. Buscar información interesante, documentos o correos electrónicos
que contienen contraseñas.
• Eliminar posibles trazas. Modificar los logs con herramientas
automatizadas. Disimular la intrusión con ayuda de rootkits (un
rootkit es un paquete software que sustituye programas del
sistema de modo que enmascara la presencia del atacante,similar a
virus sigilosos).
• Creación e instalación de puertas traseras.
programa que se introduce en el ordenador y establece una puerta
trasera a través de la cual es posible controlar el sistema afectado,
sin conocimiento por parte del usuario.
 El keylogger
Es un diagnóstico utilizado en el desarrollo de software que se
encarga de registrar las pulsaciones que se realizan sobre el
teclado, para memorizarlas en un fichero y/o enviarlas a través de
Internet.
El registro de lo que se teclea puede hacerse tanto con medios de
hardware como de software. Los sistemas comerciales disponibles
incluyen dispositivos que pueden conectarse al cable del teclado (lo
que los hace inmediatamente disponibles pero visibles si un usuario
lo revisa) y al teclado mismo (que no se ven pero que se necesita
algún conocimiento de como soldarlos).
IDENTIFICACIÓN DE VULNERABILIDADES
Barrido de puertos

Con esta técnica, el intruso pretende obtener una lista de equipos activos
dentro de un rango de direcciones y conocer los puertos abiertos que cada
máquina tiene.
Esta técnica nos ayuda a detectar la situación en la que se encuentra cierto
puerto, esto es, si éste se encuentra abierto, cerrado o detrás de un
firewall. Su fin es revelar los servicios que ofrece el equipo en cuestión y las
posibles vulnerabilidades dependiendo de los puertos que se encuentren
abiertos. También, mediante el uso de esta técnica, es posible identificar el
sistema operativo que está utilizando la máquina. Existe una multitud de
programas que realizan el barrido de los puertos, siendo unos de los más
conocidos Nmap.
Identificación de Firewall

Los atacantes utilizan diversos métodos para reconocer la existencia

de firewalls en una red:
1 Traceroute. Lista los routers en el camino hasta el destino con lo cual se
pueden monitorizar las posibles direcciones IP de algunos firewalls. El
campo TTL se decrementa al pasar por cada dispositivo L3, cuando llega
a cero se devuelve un mensaje ICMP de TTL expirado. Se puede enviar a
un firewall petición de eco ICMP, paquetes UDP o TCP.
2 Análisis del paquete de respuesta. Se trata de comparar las respuestas de
puertos abiertos y cerrados. El paquete IP a un puerto cerrado, si da
prohibido pone de manifiesto la existencia de un firewall.
3 Exploración de puertos del firewall para intentar identificar el tipo de
firewall, versión del sistema operativo, fabricante, etc.
EXPLOTACIÓN Y OBTENCIÓN DE ACCESO A SISTEMAS Y
REDES

Robo de identidad
El robo de identidad o phising es básicamente un tipo de estafa en línea en
el que se usan técnicas como el envío de correo no deseado (spam), sitios
web falsos, mensajes instantáneos con el que pretenden engañar a los
usuarios para que proporcionen información confidencial que puede ser
desde datos de la tarjeta de crédito, cuentas bancarias, hasta contraseñas.
• Existen varias recomendaciones para evitar ser víctima de este tipo
de estafas:
• Si se recibe un e-mail o nos aparece un pop-up solicitando
información personal o financiera, no responder ni hacer clic al
enlace o vínculo del mensaje, puesto que, las compañías legítimas no
solicitan este tipo de información vía e-mail.
• Por supuesto, utilizar antivirus y firewalls al navegar por la red.
• No enviar información personal o financiera a través del correo
electrónico, puesto que no es un método seguro de transferencia de
información.
• Revisar los resúmenes de las cuentas bancarias y tarjetas de crédito
tan pronto como se reciban para verificar si se han imputado cargos
no autorizados o no hechos.
Vulnerabilidades en el Software

Una vulnerabilidad de software se trata de un fallo de diseño de

alguno de los programas que pueda haber instalados en el
ordenador, que permite que un virus pueda realizar alguna acción
maliciosa sin necesidad de que el usuario tenga abrir e-mails
infectados, ejecutar archivos sospechosos…, o que abre las puertas
de par en par a usuarios maliciosos que quieran introducirse en
nuestro equipo.
La mejor defensa ante una vulnerabilidad de software es la
información. Ésta puede conseguirse visitando periódicamente las
webs de los fabricantes de los programas instalados en nuestro
equipo y descargando las últimas actualizaciones, o a través de una
suscripción a algún boletín sobre seguridad informática.
Ataques a Contraseñas

Son las diversas técnicas que incluyen cualquier acción dirigida a romper, descifrar o
borrar contraseñas o cualquier mecanismo de seguridad de las mismas. En cuanto
a seguridad el ataque a contraseña son lo primero porque pone en peligro a todo el
sistema.
Exige un enfoque a dos niveles:
• Aplicar herramientas avanzadas para reforzar las contraseñas.
• Educar a los usuarios en políticas de contraseña básicas.
Ataques a redes inalámbricas
 Ataques pasivos

Sniffing
• El
tráfico de redes inalámbricas puede espiarse con mucha más facilidad
que en una LAN
• Basta con disponer de un portátil con una tarjeta inalámbrica
• El tráfico que no haya sido cifrado, será accesible para el atacante y el
cifrado con WEP también

Análisis de tráfico
• El atacante obtiene información por el mero hecho de examinar el tráfico y
sus patrones: a qué hora se encienden ciertos equipos, cuánto tráfico
envían, durante cuánto tiempo, etc.
Ataques activos

Suplantación
Mediante un sniffer para hacerse con varias direcciones MAC válidas
• El análisis de tráfico le ayudará a saber a qué horas debe conectarse
suplantando a un usuario u otro
• Otra forma consiste en instalar puntos de acceso ilegítimos (rogue) para
engañar a usuarios legítimos para que se conecten a este AP en lugar del
autorizado

Modificación
• El atacante borra, manipula, añade o reordena los mensajes transmitidos

Reactuación
• Inyectar en la red paquetes interceptados utilizando un sniffer para repetir
operaciones que habían sido realizadas por el usuario legítimo
Denegación de servicio
Es un ataque en el que uno o más equipos intentan prevenir que una máquina
objetivo pueda realizar un trabajo específico. La víctima puede ser un servidor, un
router, un hipervínculo, una red completa, un usuario de internet, un proveedor de
servicio de internet, un país o una combinación de varios de los casos anteriores.
• El atacante puede generar interferencias hasta que se produzcan tantos errores en
la transmisión que la velocidad caiga a extremos inaceptables o la red deje de
operar en absoluto.
• Otros ataques: inundar con solicitudes de autenticación, solicitudes de
deautenticación de usuarios legítimos, tramas RTS/CTS para silenciar la red, etc.
Destrucción de la evidencia
• evitar que la evidencia sea encontrada por los investigadores y en
caso de que esto no sea posible, disminuir radicalmente el uso que
se le podría dar. Este método no busca que la evidencia sea
inaccesible, sino irrecuperable

Existen dos niveles de destrucción de la evidencia:

• Nivel Físico: A través de campos magnéticos (discos duros,
externos, por mencionar algunos).
• Nivel Lógico: Busca cambiar la posición de los datos,
sobreescribirlos, eliminar la referencia a los mismos, entre otros
Ocultamiento de la información
Este método tiene como principal objetivo el hacer inaccesible la
evidencia para el investigador. No busca manipular, destruir o
modificar la evidencia, sino hacerla lo menos visible posible.
• Una de las herramientas utilizadas por los atacantes es la
esteganografía, la cual trata de técnicas que permiten la ocultación
de mensajes u objetos dentro de otros, llamados portadores, de
modo que no se perciba su existencia
Eliminación de las fuentes de
evidencia
Este método tiene como principal objetivo neutralizar la fuente de la
evidencia, por lo que no es necesario destruir las pruebas puesto que
no han llegado a ser creadas.
• Por ejemplo, en el mundo real cuando un criminal utiliza guantes de
látex para manipular el arma, lo que está haciendo es evitar dejar
huellas dactilares.
• Una de las acciones que los atacantes pueden llevar a cabo es la
desactivación de los logs del sistema que se está atacando y la
edición de la bitácora del mismo.
Falsificación de la evidencia
Este método busca engañar y crear falsas pruebas para los
investigadores forenses logrando así cubrir a el verdadero autor,
incriminando a terceros y por consiguiente, desviando la
investigación con lo cual sería imposible resolverla de manera
correcta.
• El ejercicio de este método se vale de una edición selectiva de las
pruebas creando evidencias incorrectas .
• alsas que corrompen la validez de las pruebas de investigación
forense, por lo cual no podrán ser tomadas en cuenta como
evidencia.
 Conclusion

Los Sistemas de Detección y Prevención de Intrusos no

deben ser vistos como una solución totalitaria en la
identificación de ataques o tráfico malicioso, más bien
hacen parte de la solución, coexistiendo con otros
mecanismos de prevención y actuación como VPN
(Redes Privadas Virtuales), Cortafuegos y Listas de
Control de Acceso, entre otros.
bibliografía
• Tomada de www.forensicswiki.org/wiki/Timestomp
• Armando Botero, Iván Camero, Jeimy Cano, “Técnicas anti-forense
en informática: ingeniería reversa aplicada a TimeStomp”,
Colombia, Pontificia Universidad Javeriana en
http://www.fing.edu.uy/inco/eventos/cibsi09/docs/Papers/CIBSI-
Dia3-Sesion6%283%29.pdf, 27/01/2010.
• Tomada de http://www.pctrackscleaner.com/images/evidence-
eliminator-screen-12.jp
• B. Fritzke, “A growing neural gas network learns topologies”. In G.
Tesauro, D. S. Touretzky and T. K. Leen, editors, Advances in Neural
Information Processing Systems 7, 1995, pp. 625-632. MIT Press,
Cambridge MA.