Fundamentos de la

Seguridad Informática
 Módulo II
Reconocimiento de
Amenazas
II. Reconocimiento de Amenazas
a. Tipos de amenazas
b. Tipos de malware
c. Tipos de ataques
d. Ataques de aplicaciones
Amenazas Informáticas
 Amenazas Informáticas

La parte mas importante de una computadora o de un sistema, es la

información. Las amenazas informáticas pueden comprometer un sistema y
la información que este contiene, es por eso que un sistema debe ser
asegurado de tal manera que la información, su activo mas importante, no
sufra alguna perdida, manipulación o indisponibilidad.

Amenazas como virus, troyanos, spyware y otro tipo de software malicioso

prevalecen de una manera muy común en los sistemas informáticos de hoy.
Como profesionales de la seguridad, es importante poder identificar los
diferentes tipos de amenazas, como trabajan, sus consecuencias y sobre
todo, la manera en que podemos proteger un sistema informático de estas
amenazas.
 Amenaza (threat)

Acción o evento que pueda

perjudicar la seguridad.
Una amenaza es una
violación potencial de la
seguridad.
Tipos de amenazas
 Amenazas internas

Se refiere a individuos
dentro de la misma
organización, pueden ser
empleados descontentos
que buscan venganza o
empleados que buscan
sacar provecho de la
información a la que
tienen acceso
 Amenazas externas

Se refiere a individuos
fuera de la organización
que buscan acceso a los
sistemas informáticos de
la misma
Tipos de malware
 Software malicioso (Malware)

Es un software diseñado para infiltrarse en un

sistema y realizar un daño sin el
conocimiento/consentimiento del usuario.
El termino malware incluye virus, worms,
troyanos, spyware, rootkits y adware, entre
otros.
 Virus

Es un programa parásito
que se adjunta a otro
programa para infectar un
sistema y realizar algunas
funciones no deseadas. Su
objetivo principal es causar
un fallo en el sistema
 Tipos de virus

Sector de arranque – Afecta el sector de arranque,

cuando la computadora inicia el virus carga dentro de
la memoria
Macro – Van adjuntos a documentos que son
enviados a los usuarios
Programa – Van adjuntos en archivos ejecutables
Blindado – Se protegen de programas antivirus
haciendo creer que se encuentran en un directorio
diferente en el que realmente están
 Worms

Es una amenaza muy

parecida a un virus con la
diferencia que los gusanos
tienen la habilidad de auto
replicarse dentro de la red,
buscando los huecos de
seguridad que existen en
los sistemas operativos y
aplicaciones
 Botnet

Se le llama botnet
a un grupo de
equipos infectados
y controlados por
un atacante de
forma remota con
fines maliciosos.
 Adware

Su intención es
mostrar publicidad
al usuario y con
esto generar
ingresos para el
creador de la
aplicación.
 Spyware
Este tipo de
programas
monitorean la
actividad del
usuario y la
información es
reportada hacia un
tercero. Al igual
que el adware, son
utilizados con fines
comerciales.
 Rootkit

Programas que
permiten acceso
administrativo al
equipo. Este tipo de
programas ocultan
su presencia entre
los procesos del
sistema.
 Trojan horses

Son programas que

se enmascaran con
otros programas
legítimos y su
objetivo es
proporcionar
acceso al sistema.
Pueden estar
presentes durante
la instalación del
mismo o como un
archivo adjunto.
 Backdoor
Es una forma no
documentada de
acceder al sistema,
pasando por alto los
mecanismos de
autenticación.
Algunos backdoor son
diseñados por los
programadores de las
aplicaciones o en otros
casos pueden ser
plantados para
comprometer el
sistema.
 Ransomware
La finalidad de este
programa es secuestrar
al sistema y exigir el
pago de un rescate a
cambio de liberar la
información.
Los archivos del
sistema se vuelven
inaccesibles debido a
que son encriptados y
la llave para que
puedan ser
desencriptados se
otorga solo al pagar el
rescate.
Tipos de ataques
 Sniffing

Es el proceso o técnica en el
cual se “escuchan” todos o
una parte de los paquetes
de una red. Cuando la
información no esta cifrada
y se transmite en texto
plano, es posible saber el
contenido de la información
que se esta transmitiendo.
 Sniffing

Para poder “escuchar” el tráfico

de la red, es necesario que la
tarjeta de red que realizara la
captura de paquetes este en
modo “promiscuo”.
Una tarjeta de red normal solo
procesa los paquetes que tienen
como destino su MAC Address,
una tarjeta en modo “promiscuo”
procesa cualquier tipo de paquete
independientemente de la MAC
Address a la que vaya dirigido.
NetWitness
Network Miner
Wireshark
TCPDump
Restringir el acceso físico a los medios de red

Utilizar encriptación para proteger la información

confidencial

Filtrar acceso por MAC address y agregarlas a las tablas

de ARP

Utilizar IP estática, tablas de ARP estáticas para prevenir

que los atacantes efectúen atacas de ARP
¿Cómo detectar un sniffer?

Test de ICMP (ping)

Test de ARP
Test de DNS
Test de latencia
 Test de ICMP

Se envía una petición de ICMP a la maquina de la que

se tiene sospecha de estar “sniffeando” la red, sin
embargo, se modifica la MAC Address a la que va
dirigida la petición.
Si la tarjeta de red esta en modo normal, rechazara
la petición.
Si la tarjeta de red esta en modo “promiscuo”,
procesara la petición y la responderá.
 Test de ARP

Se envía una petición de ARP a la maquina de la que

se tiene sospecha de estar “sniffeando” la red, sin
embargo, se modifica la MAC Address de la petición
de ARP (la MAC Address que se utiliza para realizar
una petición de ARP es ff:ff:ff:ff:ff:ff).
Si la tarjeta de red esta en modo normal, rechazara
la petición.
Si la tarjeta de red esta en modo “promiscuo”,
procesara la petición y la responderá.
 Test de DNS

Se envía una petición de DNS a la maquina de la que

se tiene sospecha de estar “sniffeando” la red. Una
maquina de un usuario no debería de procesar
solicitudes de resolucion de DNS (si se hace una
petición hacia www.google.com no debería buscar la
dirección IP de ese dominio).
Si la tarjeta de red esta en modo normal, rechazara
la petición.
Si la tarjeta de red esta en modo “promiscuo”,
intentara resolver la petición de DNS.
 Test de latencia

Se envían varias peticiones de ICMP a la maquina de

la que se tiene sospecha de estar “sniffeando” la red.
Seguido a esto, se realiza un alto numero de
conexiones TCP dentro de la red y mientras esto
sucede, se envían nuevamente varias peticiones de
ICMP a la maquina “sniffer”.
Si el tiempo promedio de la respuesta es mucho
mayor al de la primer prueba, entonces la maquina
esta “sniffeando” la red.
 Herramientas para detectar
“sniffers”

Linux – sniffdet
Windows - Promqry
 Ingeniería Social

La Ingeniería Social es el acto de manipular a una

persona a través de técnicas psicológicas y
habilidades sociales para cumplir metas específicas.
Éstas contemplan entre otras cosas: la obtención de
información, el acceso a un sistema o la ejecución de
una actividad más elaborada (como el robo de un
activo), pudiendo ser o no del interés de la persona
objetivo.
 Denial of Service (DoS)

El objetivo de un ataque de denegación de servicio es

causar la indisponibilidad de un equipo, un sistema o
una red.
Esta indisponibilidad se logra mediante la saturación
de los recursos de un equipo (recibe mas peticiones
de las que puede procesar) o de la red (el consumo
de ancho de banda de las peticiones es superior al
ancho de banda del enlace).
 Distributed Denial of Service
(DDoS)

Es muy parecido a un ataque DoS, la particularidad

de este ataque es que las peticiones son realizadas
desde diversos orígenes en lugar de ser realizadas
por un solo origen.
El atacante distribuye malware del tipo “command
and control” en una cantidad considerable de equipos
y una vez que da la orden de atacar al objetivo, todos
los equipos bajo su control empiezan a generar
trafico hacia el destino.
 Distributed Denial of Service
(DDoS)

A diferencia de un ataque DoS que solo proviene de

un origen, este tipo de ataques provienen de
múltiples orígenes por lo que los hace mas
complicados de mitigar.
La manera en la que se mitigan los ataques de este
tipo es bloqueando las peticiones no deseadas antes
de que lleguen a la infraestructura que desean
perjudicar.
Herramientas de DoS
Arbor Peakflow
 Spoofing

Es el intento de
algo o de alguien
para hacerse pasar
por otro. Es una
suplantación de
identidad a nivel de
red.
 IP Spoofing
El objetivo de este
ataque es hacer
creer al
destinatario que las
peticiones
provienen de una
dirección IP
diferente a la que
realmente tiene el
emisor. Es el
ataque de spoofing
mas común.
 ARP Spoofing (ARP Poisoning)

En este ataque, la
tabla de ARP de los
equipos es
“envenendada”
haciendo creer que
una MAC address
se conoce por un
puerto en el que en
realidad no esta.
 DNS Spoofing
Es cuando un
servidor de DNS
recibe información
errónea sobre la
dirección IP de un
dominio en
particular. Debido a
esto, las peticiones
que van hacia esa
pagina las redirige
a otro equipo el
lugar del equipo
que realmente se
quiere accesar.
 Man-in-the-middle

El atacante actúa
como intermediario
de la comunicación
entre el emisor y el
receptor. Debido a
esto, es capaz de
interceptar todos
los datos
transmitidos entre
estos 2 equipos y
responder por ellos.
 Phishing

Es una forma de
ingeniería social
donde el atacante
solicita una parte
de la información
que le hace falta
haciendo pasar la
solicitud como
legitima.
 Password Attacks

Este tipo de ataque

sucede cuando se
intenta vulnerar
una cuenta en
repetidas ocasiones
tratando de
adivinar su
password de
acceso.
 Ataque de fuerza bruta

Es el intento de
adivinar un
password utilizando
combinaciones de
caracteres hasta
que se logra
encontrar el
password correcto.
a–Z
aa – ZZ
aaa - ZZZ
 Ataque de diccionario

En este ataque se
crea un diccionario
de palabras entre
las que pudiera
estar el posible
password.
Rockyou.txt
Ataques de aplicaciones
 Cross-Site Scripting

Es cuando el atacante aprovecha una vulnerabilidad

en una pagina web para inyectar código malicioso.
Si el usuario se encuentra navegando por el sitio web
y da click en uno de los links que contienen el código
malicioso, puede ser re direccionado a una pagina
falsa (idéntica a la original) que le solicite
información confidencial para ser robada.
O en su defecto, al dar click en el link puede
desencadenar la ejecución de malware en su equipo.
 SQL Injection

Es cuando se
aprovecha una
vulnerabilidad en el
código de
programación de la
base de datos SQL
para obtener un
resultado no esperado
como lo es el evitar la
validación de la
información solicitada.
 LDAP Injection

LDAP es un protocolo de comunicación para el

acceso a directorios de donde se requiere consultar
o validar informacion (el mas común es Active
Directory de Microsoft).
Al igual que en un ataque SQL Injection, se
aprovecha una vulnerabilidad en el código de
información para obtener un resultado no
esperado.
 Buffer Overflow
Cuando un programa intenta poner más datos en
un búfer de los que puede contener o cuando un
programa intenta colocar datos en un área de
memoria más allá de un búfer.
Un buffer es una sección secuencial de memoria
asignada para contener cualquier cosa, desde una
cadena de caracteres hasta una matriz de enteros.
Escribir fuera de los límites de un bloque de
memoria asignada puede dañar datos, bloquear el
programa o causar la ejecución de código
malicioso.
 Zero-Day Exploits

Se le llama así a los

ataques que son
realizados sobre
una vulnerabilidad
que acaba de ser
descubierta y de la
que aun no se tiene
información o
antecedentes para
corregirla.