Pedro Jose Lopez Restituyo

17-EIST-1-033
Sec-1101
 Amenaza Informatica.
Se puede definir como amenaza a todo elemento o acción capaz de atentar contra
la seguridad de la información.
Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que
una amenaza sólo puede existir si existe una vulnerabilidad que pueda ser
aprovechada, e independientemente de que se comprometa o no la seguridad de
un sistema de información.
Diversas situaciones, tales como el incremento y el perfeccionamiento de las
técnicas de ingeniería social, la falta de capacitación y concientización a los
usuarios en el uso de la tecnología, y sobre todo la creciente rentabilidad de los
ataques, han provocado en los últimos años el aumento de amenazas
intencionales.

Vulnerabilidad.
Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un
sistema de información que pone en riesgo la seguridad de la información
pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad
o confidencialidad de la misma, por lo que es necesario encontrarlas y eliminarlas
lo antes posible. Estos «agujeros» pueden tener distintos orígenes por ejemplo:
fallos de diseño, errores de configuración o carencias de procedimientos.
Por su parte, una amenaza es toda acción que aprovecha una vulnerabilidad para
atentar contra la seguridad de un sistema de información. Es decir, que podría
tener un potencial efecto negativo sobre algún elemento de nuestros sistemas. Las
amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos
(incendios, inundaciones) o negligencia y decisiones institucionales (mal manejo
de contraseñas, no usar cifrado). Desde el punto de vista de una organización
pueden ser tanto internas como externas.

Ataques de código Malicioso:

Los códigos maliciosos son piezas de script web desarrolladas para crear
vulnerabilidades en los sistemas. En una analogía burda, podríamos decir que es
como si alguien hiciera un agujero en el cerco perimetral de tu software para
llevarse la información, archivos y hasta boicotear el funcionamiento de tu equipo.
A diferencia de otros ataques informáticos que puede sufrir un sistema, el código
malicioso incluye scripts de sitios web que aprovechan vulnerabilidades para
cargar los malware por nuevas puertas de entrada, muchas veces no basta un
antivirus actualizado para detener su acción, es imprescindible realizar escaneos
especializados y dejar el desarrollo de sistemas en manos de profesionales
capacitados
¿Que tipos de código malicioso existen?
Virus: Programa creado para copiarse y propagarse a sí mismo, normalmente
adjuntándose en aplicaciones. Cuando se ejecuta una aplicación infectada, puede
infectar otros archivos. Se necesita acción humana para que un virus se propague
entre máquinas y sistemas. Esto puede hacerse descargando archivos,
intercambiando disquetes y discos USB, copiando archivos a y desde servidores
de archivos o enviando adjuntos de e-mail infectados.
Troyanos: Son programas malwares capaces de introducirse en los ordenadores
permitiendo el acceso a usuarios externos, a través de una red local o de internet,
con el fin de controlar el ordenador o saquearle información sin afectar el
funcionamiento de este.
Gusano: Es un programa muy parecido a un virus diferenciándose de la forma en
que se infecta. Los gusanos realizan copias de los ordenadores mismos,
infectando a otros y propagándose automáticamente en una red
independientemente de la acción humana.
Ransomware: Es un programa de software malicioso que infecta tu computadora
y muestra mensajes que exigen el pago de dinero para restablecer el
funcionamiento del sistema. Este tipo de malware es un sistema criminal para
ganar dinero que se puede instalar a través de enlaces engañosos incluidos en un
mensaje de correo electrónico, mensaje instantáneo o sitio web. El ransomware
tiene la capacidad de bloquear la pantalla de una computadora o cifrar archivos
importantes predeterminados con una contraseña.
Backdoor: Es un tipo de virus diseñado para dar acceso a usuarios maliciosos al
control de un equipo infectado de manera remota. Estas “puertas traseras”
permiten al usuario malicioso controla el equipo infectado, pudiendo enviar y
recibir archivos, ejecutarlos o eliminarlos, mostrar mensajes, borrar o robar datos,
reiniciar el equipo, etc. Es decir, puede controlar el equipo como si estuviese
sentado delante de él y a los mandos.
Rootkit: Un rootkit es un término que se aplica a un tipo de malware, diseñado
para infectar un PC, el cual permite al hacker instalar diferentes herramientas que
le dan acceso remoto al ordenador. Este malware se oculta en la máquina, dentro
del sistema operativo y sortea los obstáculos como aplicaciones antimalware o
algunos productos de seguridad.
Bootnet: Es el nombre genérico que denomina a cualquier grupo de PC
infectados y controlados por un atacante de forma remota. Generalmente, un
hacker o un grupo de ellos crea un botnet usando un malware que infecta a una
gran cantidad de máquinas. Los ordenadores son parte del botnet, llamados “bots”
o “zombies”. No existe un número mínimo de equipos para crear un botnet. Los
botnets pequeños pueden incluir cientos de PCs infectados, mientras que los
mayores utilizan millones de equipos
Ataques de degeneración de servicios.
Un ataque de denegación de servicio, tiene como objetivo inhabilitar el uso de un
sistema, una aplicación o una máquina, con el fin de bloquear el servicio para el
que está destinado. Este ataque puede afectar, tanto a la fuente que ofrece la
información como puede ser una aplicación o el canal de transmisión, como a la
red informática.
Los servidores web poseen la capacidad de resolver un número determinado de
peticiones o conexiones de usuarios de forma simultánea, en caso de superar ese
número, el servidor comienza a ralentizarse o incluso puede llegar a no ofrecer
respuesta a las peticiones o directamente bloquearse y desconectarse de la red.
Existen dos técnicas de este tipo de ataques: la denegación de servicio o DoS
(por sus siglas en inglés Denial of Service) y la denegación de servicio distribuido
o DDoS (por sus siglas en inglés Destributed Denial of Service). La diferencia
entre ambos es el número de ordenadores o IP´s que realizan el ataque.
En los ataques DoS se generan una cantidad masiva de peticiones al servicio
desde una misma máquina o dirección IP, consumiendo así los recursos que
ofrece el servicio hasta que llega un momento en que no tiene capacidad de
respuesta y comienza a rechazar peticiones, esto es cuando se materializa la
denegación del servicio.
 Ataques de Inyección SQL.
Una consulta SQL es una petición de algún tipo de acción sobre una base de
datos. La más habitual es la petición de un nombre de usuario y una contraseña
en una página web. Dado que muchos sitios web solo supervisan la introducción
de nombres de usuario y contraseñas, un hacker puede utilizar los cuadros de
introducción de datos para enviar sus propias peticiones, es decir, inyectar SQL en
la base de datos.
De esta forma, los hackers pueden crear, leer, actualizar, modificar o eliminar los
datos guardados en la base de datos back-end, normalmente para acceder a
información confidencial, como los números de la seguridad social, los datos de
las tarjetas de crédito u otra información financiera.
Ataques del día 0
En informática, el término día cero (a menudo expresado como 0-day) se refiere al
primer día que un problema se conoce o se anticipa. El término también se usa
como referencia, ya que muchos equipos de seguridad pretenden mantener un
seguimiento del tiempo que ha pasado desde que el problema de IT fue
descubierto y el tiempo en el que fue resuelto. Por definición, el día cero se refiere
al día en el que se empezó a tratar el problema en sí. El término se usa con más
frecuencia para describir ciertas amenazas de ciber seguridad, virus,
vulnerabilidades y ataques.
Un virus de día cero es un término de la ciber seguridad usado para describir un
virus que acaba de ser descubierto y que no puede ser detectado y/o eliminado
por el software antivirus existente. De forma similar, un malware de día cero es un
software malicioso recién descubierto que necesita ser investigado y tratado
rápidamente. También existen gusanos de día cero, que pueden ser, o bien
metamórficos (aquellos cuyo código entero cambia con cada lanzamiento nuevo
para evitar ser detectados), o bien polimórficos (aquellos que solo experimentan el
cambio de una parte del código).
Tecnologías de control
El código malicioso o malware siempre ha sido una amenaza tanto para los
usuarios domésticos como para las empresas. En los últimos años se han
producido cambios importantes en el ámbito del desarrollo de malware creándose
una verdadera industria del cibercrimen. Se hace imprescindible abordar en la
empresa de forma consciente este problema.
Para la protección contra el malware en la empresa se debe de desarrollar una
estrategia global y planificada. Debe de contemplar la totalidad de los equipos y
dispositivos corporativos, incluidos los dispositivos móviles y los medios de
almacenamiento externo como USB, discos duros portátiles, etc.
Dependiendo de las necesidades de protección y el tamaño de la empresa la
industria de seguridad ofrece distintas soluciones que se pueden adaptar a las
necesidades y que podríamos englobar en:
Soluciones para el puesto de trabajo. Son soluciones de protección contra
código malicioso que se instalan en el puesto de trabajo, en el ordenador de sobre
mesa o en el portátil. Su ámbito de protección es precisamente, el puesto de
trabajo.
Soluciones corporativas. Son soluciones de protección contra este tipo de
amenaza cuyo ámbito de protección es toda la organización o un gran número de
sistemas. Habitualmente son soluciones en formato UTM (Unified Threat
Management), pero también las hay como software que se instala en servidores o
equipos que proporcionan servicios a muchos usuarios. También existen
soluciones en modalidad de servicio, como las que ofrecen los SOC (Security
Operation Center) o incluso los propios ISP (Internet Service Provider) que
proporcionan servicios de protección que filtran todo el tráfico que llega y sale de
la organización en busca de código malicioso.
Soluciones para dispositivos móviles. Las soluciones de seguridad para
dispositivos móviles son aquellas que se instalan en teléfonos inteligentes y
tabletas. Son soluciones destinadas a sistemas operativos como iOS, Android o
Blackberry OS, sistemas operativos diseñados originalmente para dispositivos con
capacidad para conectarse a redes de telefonía móvil. A diferencia de las
soluciones para el puesto de trabajo o las tradicionales para entornos corporativos,
las soluciones para dispositivos móviles están en pleno desarrollo y en una fase
temprana de su evolución.
Protección de Red.
La seguridad de la red es la práctica de prevenir y proteger contra la intrusión no
autorizada en redes corporativas. Como filosofía, complementa la seguridad del
punto final, que se centra en dispositivos individuales; la seguridad de la red se
centra en cómo interactúan esos dispositivos y en el tejido conectivo entre ellos.
Firewall: Un firewall (llamado también «cortafuego»), es un sistema que permite
proteger a una computadora o una red de computadoras de las intrusiones que
provienen de una tercera red (expresamente de Internet). El firewall es un sistema
que permite filtrar los paquetes de datos que andan por la red. Se trata de un
«puente angosto» que filtra, al menos, el tráfico entre la red interna y externa.
Un firewall puede ser un programa (software) o un equipo (hardware) que actúa
como intermediario entre la red local (o la computadora local) y una o varias redes
externas.
Sistemas IDS/IPS: IDS (sistema de detección de intrusos; en inglés,
“Intrusion Detections System”) Es una herramienta que, como su nombre lo
dice, tiene como función principal detectar intrusos en nuestros sistemas, un IDS
puede conectarse a un gran número de fuentes de log para encontrar anomalías.
Es importante decir que los IDS no pueden detener los ataques por si solos, sino
que necesitan herramientas adicionales que ayuden en esta tarea. Por ejemplo, la
conexión a un firewall para el bloqueo.
IPS (Intrusion Prevention System): Es una herramienta que permite la
prevención de los ataques, normalmente ejerce el control de acceso a una red.
Los IPS están muy relacionados con los IDS y se consideran como una extensión
de estos. Existen 4 tipos:
NIPS: basados en red, buscan tráfico de red sospechoso.
WIPS: basados en Wireless, buscan en la red inalámbrica tráfico sospechoso.
NBA: basados en el comportamiento de la red, examinan el tráfico inusual como
ciertas formas de malware, ataques de denegación de servicios o violaciones de
las políticas de seguridad.
HIPS: buscan actividades sospechosas en host únicos.

HoneyPots: son un tipo de herramientas que simulan servicios y/o aplicaciones,

normalmente vulnerables, en un entorno controlado para registrar y analizar
cualquier tipo de actividad que pueda infundir sospecha.
Se trata de atraer a posibles atacantes para analizar lo ataques realizados contra
los servicios y aplicaciones simulados. Ahí está el verdadero objetivo de los
HoneyPost; el estudio de las técnicas de ataque para optimizar y reforzar las
medidas de seguridad del entrono, digamos, productivo o real, de nuestra
infraestructura informática / sistemas / red. Además, al ser los HoneyPots sistemas
que atraen a los atacantes, es posible “distraerlos” para que no interfieran en el
entrono real productivo, es por ello, y tal como os he apuntado, que el entorno
HoneyPot debe estar protegido, separado del entrono real.
HoneyNets: son un tipo especial de Honeypots de alta interacción que actúan
sobre una red entera, diseñada para ser atacada y recobrar así mucha más
información sobre posibles atacantes.
Se usan equipos reales con sistemas operativos reales . Muchos honeypota
tradicionales han sido para engañar o detectar ataques. Normalmente están
impuestas por un único sistema que emula otros sistemas, emula servicios
conocidos o vulnerabilidades, o crea entornos cerrados.
Este tipo de honeypots se usan principalmente para la investigación de nuevas
técnicas de ataque y para comprobar el modus-operandi de los intrusos. Una
Honeynet es diferente de los honeypots tradicionales, es lo que clasificaríamos
como un honeypot para la investigación. Esto no lo hace una mejor solución que
los honeypots tradicionales, simplemente tiene un propósito diferente.

DMZ: Es una red local que se ubica entre la red interna de una organización y una
red externa, generalmente en Internet. El objetivo de una DMZ es que las
conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras
que en general las conexiones desde la DMZ solo se permitan a la red externa (los
equipos de la DMZ no pueden conectarse con la red interna). Esto permite que los
equipos de la DMZ puedan dar servicios a la red externa a la vez que protegen la
red interna en el caso de que unos intrusos comprometan la seguridad de los
equipos situados en la zona desmilitarizada. Para cualquiera de la red externa que
quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte
en un callejón sin salida.
UTM: El término firewall UTM o simplemente UTM (Unified Threat
management/Gestión Unificada de Amenazas) es la nomenclatura dada a un
dispositivo de hardware o software capaz de reunir diversas funciones de
seguridad, como filtro de paquetes, proxy, sistemas de detección y prevención de
intrusos , protección contra malware, control de aplicación, entre otros.
De manera simplificada, el principal papel de un firewall en una red corporativa es
regular el tráfico entre dos o más redes (internet y red interna, o redes internas,
Internet y DMZ, entre otras), defendiendo los intereses y/o necesidades de control
de las empresas.
Acceso Lógico.
Los controles de acceso lógico permitirán únicamente el ingreso a los usuarios
autorizados por la dependencia correspondiente, y en el nivel asignado, sobre los
datos o sistemas necesarios para desempeñar sus tareas habituales.
El control de acceso lógico a sistemas y aplicaciones es la primera barrera a
superar por un atacante para el acceso no autorizado a un equipo y a la
información que contiene.
La utilización de métodos de seguridad combinados como la autenticación de 2
factores, la biometría y las técnicas de OTP (One Time Password) y SSO (Single
Sign On) permiten reducir la probabilidad de éxito en los intentos de acceso por
personal no autorizado.
Login: Es el proceso que controla el acceso individual a un sistema informático
mediante la identificación del usuario utilizando credenciales provistas por el
usuario.
Un usuario puede hacer el login a un sistema para obtener acceso y puede hacer
el log out o log off (en español salir o desconectar) cuando no se precisa mantener
el acceso. Log out consiste en cerrar el acceso personal a un sistema informático,
al cual anteriormente se había realizado el login.
Password: es el acto o proceso de confirmar que algo (o alguien) es quien dice
ser. A la parte que se identifica se le llama probador. A la parte que verifica la
identidad se la llama verificador. Es habitual que el probador sea un usuario que
quiere acceder a ciertos recursos y el verificador sea un sistema que protege el
acceso a dichos recursos y tiene que verificar que el que accede sea un usuario
que tiene permisos para acceder a esos recursos. Para poder tener autenticación
es necesaria, como condición previa, la existencia de identidades biunívocamente
identificadas de tal forma que se permita su identificación
Token: Un token de seguridad (también llamado llave digital o llave electrónica) es
un dispositivo físico utilizado para acceder a un recurso restringido
electrónicamente. El token se utiliza como complemento o en lugar de una
contraseña. Actúa como una llave electrónica para acceder a algo. Por ejemplo,
una tarjeta de acceso inalámbrica que abre una puerta cerrada, o en el caso de un
cliente que intenta acceder a su cuenta bancaria en línea, el uso de un token
proporcionado por el banco puede probar que el cliente es quien dice ser.
Biometria: La biometría es la toma de medidas estandarizadas de los seres vivos
o de procesos biológicos. Se llama también biometría al estudio para el
reconocimiento inequívoco de personas basado en uno o más rasgos
conductuales o físicos intrínsecos, que no mecánicos.
En las tecnologías de la información (TI), la «autentificación biométrica» o
«biometría informática» es la aplicación de técnicas matemáticas y estadísticas
sobre los rasgos físicos o de conducta de un individuo, para su autentificación, es
decir, «verificar» su identidad.
Encriptación.
La encriptación de datos o cifrado de archivos es un procedimiento mediante el
cual los archivos, o cualquier tipo de documento, se vuelven completamente
ilegibles gracias a un algoritmo que desordena sus componentes. Así, cualquier
persona que no disponga de las claves correctas no podrá acceder a la
información que contiene.
Infraestructura de clave pública: Una infraestructura de clave pública (en inglés:
Public Key Infrastructure –PKI–) es una combinación de hardware, software, y
políticas y procedimientos de seguridad, que permiten la ejecución con garantías
de operaciones criptográficas, como el cifrado, la firma digital, y el no repudio de
transacciones electrónicas.
El término PKI se utiliza para referirse tanto a la autoridad de certificación y al
resto de componentes, como para señalar, de manera más amplia y a veces
confusa, al uso de algoritmos de clave pública en comunicaciones electrónicas.
Este último significado es incorrecto, ya que no se requieren métodos específicos
de PKI para usar algoritmos de clave pública.
Firma Digital: Una firma digital es un mecanismo criptográfico que permite al
receptor de un mensaje firmado digitalmente identificar a la entidad originadora de
dicho mensaje (autenticación de origen y no repudio), y confirmar que el mensaje
no ha sido alterado desde que fue firmado por el originador (integridad)\
SSL: SSL es el acrónimo de Secure Sockets Layer (capa de sockets seguros), la
tecnología estándar para mantener segura una conexión a Internet, así como para
proteger cualquier información confidencial que se envía entre dos sistemas e
impedir que los delincuentes lean y modifiquen cualquier dato que se transfiera,
incluida información que pudiera considerarse personal. Los dos sistemas pueden
ser un servidor y un cliente (por ejemplo, un sitio web de compras y un navegador)
o de servidor a servidor (por ejemplo, una aplicación con información que puede
identificarse como personal o con datos de nóminas).
TTL: Seguridad de la capa de transporte (en inglés: Transport Layer Security o
TLS) y su antecesor Secure Sockets Layer (SSL; en español capa de puertos
seguros) son protocolos criptográficos, que proporcionan comunicaciones seguras
por una red, comúnmente Internet.1
Se usan certificados X.509 y por lo tanto criptografía asimétrica para autentificar a
la contraparte con quien se están comunicando,2 y para intercambiar una llave
simétrica. Esta sesión es luego usada para cifrar el flujo de datos entre las partes.
Esto permite la confidencialidad del dato/mensaje, códigos de autenticación de
mensajes para integridad y como un producto lateral, autenticación del mensaje.
Varias versiones del protocolo están en aplicaciones ampliamente utilizadas como
navegación web, correo electrónico, fax por Internet, mensajería instantánea y
voz-sobre-IP (VoIP). Una propiedad importante en este contexto es forward
secrecy, para que la clave de corta vida de la sesión no pueda ser descubierta a
partir de la clave asimétrica de largo plazo
 Bibliografia:
https://sites.google.com/site/lasamenazaslainformatica/#:~:text=Este%20tipo%20de
%20amenazas%20inform%C3%A1ticas,lo%20que%20si%20alguien%20al

https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-
diferencian#:~:text=Una%20vulnerabilidad%20(en%20t%C3%A9rminos%20de,necesario
%20encontrarlas%20y%20eliminarlas%20lo

https://uss.com.ar/corporativo/codigos-maliciosos/

https://latam.kaspersky.com/resource-center/definitions/what-is-ransomware

https://protecciondatos-lopd.com/empresas/backdoor/

https://www.kaspersky.es/blog/que-es-un-rootkit/594/

https://www.osi.es/es/actualidad/blog/2018/08/21/que-son-los-ataques-dos-y-ddos

https://www.avast.com/es-es/c-sql-injection

https://softwarelab.org/es/que-es-un-ataque-de-dia-cero/

https://ofiseg.wordpress.com/2012/04/20/soluciones-de-seguridad-para-la-empresa-proteccion-
contra-codigo-malicioso/

https://www.incibe.es/protege-tu-empresa/blog/descubre-proteger-tu-empresa-del-malware

https://www.networkworld.es/seguridad/que-es-la-seguridad-de-la-red

https://www.a2secure.com/blog/ids-ips-hids-nips-siem-que-es-esto/

https://seguridadyredes.wordpress.com/2010/10/25/entendiendo-los-honeypots-y-honeynets-
una-visian-practica-parte-i/#:~:text=funcionan%20estas%20aplicaciones.-,HoneyPots.,actividad
%20que%20pueda%20infundir%20sospecha.

https://es.wikipedia.org/wiki/Zona_desmilitarizada_(inform%C3%A1tica)

https://ostec.blog/es/seguridad-perimetral/papel-del-firewall-utm

https://es.wikipedia.org/wiki/Login

https://es.wikipedia.org/wiki/Autenticaci%C3%B3n

https://es.wikipedia.org/wiki/Token_de_seguridad

https://es.wikipedia.org/wiki/Biometr%C3%ADa

https://www.econectia.com/blog/que-es-encriptacion-de-datos#:~:text=El%20sistema%20de
%20cifrado%20sim%C3%A9trico,privada%20a%20trav%C3%A9s%20de%20la

https://es.wikipedia.org/wiki/Firma_digital

https://www.websecurity.digicert.com/es/es/security-topics/what-is-ssl-tls-https