SEGURIDAD FÍSICA

Enumera las características de las instalaciones de CPD que se nombran en el articulo

- Infraestructura enorme
- Sistemas eficientes
- Ofrece sus servicios ininterrumpidamente
- Margen de fallo infinitamente pequeño 99,9%
- Tratan de disminuir el impacto al ecosistema
- Usa todo el método posible de seguridad
- Todos los rincones están debidamente vigilados mediante todos los métodos posibles
- Los servidores que albergan están concentrados en conteiners cada uno puede contener
1160 servidores se apilan de 2 en 2 y son independientes

Analiza el significado de la frase “Toda la información necesaria para el funcionamiento de las

empresas está en los servidores que utiliza.” ¿Que implica esta afirmación?

Los servidores son el cerebro de la empresa, es un elemento importante en la que se

encuentran almacenada toda la información necesaria para el correcto funcionamiento de
las empresas. Parte de la información importante de las empresas están almacenadas en los
servidores siendo esta de suma importancia.
la información es el elemento indispensable sin el cual nada funciona. Así entendemos que un
centro de procesamiento de datos es necesario para el correcto funcionamiento de los servidores y
otros elementos electrónicos que dan servicio a la empresa y organizaciones ofreciendo sus
productos o servicios a sus clientes.

SEGURIDAD LÓGICA

Realice una investigación sobre los siguiente temas

1. Amenazas de contraseñas
o Liste todos los tipos de amenazas existentes para las contraseñas,
incluya definición y ejemplos

Surf de hombro
Puede pensar que la idea de que alguien mire por encima del hombro para ver su contraseña
es un producto de Hollywood, pero esta es una amenaza genuina, incluso en 2020 .

Ejemplos: descarados de esto incluyen a los piratas informáticos que se disfrazan para
obtener acceso a los sitios de la empresa y, literalmente, mirar por encima de los hombros
de los empleados o tomar documentos confidenciales con posibles contraseñas. Las
empresas más pequeñas son quizás las que corren mayor riesgo de esto, dado que no
pueden vigilar sus sitios con tanta eficacia como una organización más grande.
Araña
Spidering implementa técnicas muy similares a las que se utilizan en los ataques basados en
ingeniería social, como el phishing. Spidering describe el proceso en el que un hacker llega
a conocer a su objetivo, en la medida en que puede obtener credenciales en función de su
actividad. 

Por ejemplo, muchas organizaciones usan contraseñas que se relacionan con su negocio de
alguna manera, como las de sus redes Wi-Fi o intranet. Los piratas informáticos pueden
estudiar un negocio y los productos que crea para crear una lista de posibles combinaciones
de palabras, que se pueden utilizar más adelante en un ataque de fuerza bruta.

Agrietamiento sin conexión

Es importante recordar que no toda la piratería se realiza a través de una conexión a
Internet. De hecho, la mayor parte del trabajo de piratería se lleva a cabo sin conexión,
especialmente porque la mayoría de los sistemas imponen límites al número de conjeturas
permitidas antes de bloquear una cuenta.

Ejemplo: La piratería sin conexión generalmente implica el proceso de descifrar

contraseñas mediante el uso de una lista de hashes probablemente extraídos de una
filtración de datos reciente. Sin la amenaza de detección o restricciones de forma de
contraseña, los piratas informáticos pueden tomarse su tiempo.

Ataque de máscara
Cuando los ataques de diccionario utilizan listas de todas las posibles combinaciones de
palabras y frases, los ataques de máscara son mucho más específicos en su alcance, a
menudo refinando conjeturas basadas en caracteres o números, generalmente
fundamentados en el conocimiento existente.

Por ejemplo, si un pirata informático sabe que una contraseña comienza con un número,
podrá adaptar la máscara para que solo pruebe ese tipo de contraseñas. La longitud de la
contraseña, la disposición de los caracteres, si se incluyen caracteres especiales o cuántas
veces se repite un solo carácter son solo algunos de los criterios que se pueden utilizar para
configurar la máscara.

Ataque de mesa arcoiris

Siempre que se almacena una contraseña en un sistema, normalmente se cifra mediante un
"hash" o un alias criptográfico, lo que hace imposible determinar la contraseña original sin
el correspondiente hash. Para evitar esto, los piratas informáticos mantienen y comparten
directorios que registran contraseñas y sus correspondientes hashes, a menudo construidos a
partir de piratas informáticos anteriores, lo que reduce el tiempo que lleva entrar en un
sistema (utilizado en ataques de fuerza bruta).

Ejemplo: Las tablas Rainbow van un paso más allá, ya que, en lugar de simplemente
proporcionar una contraseña y su hash, almacenan una lista precompilada de todas las
posibles versiones de texto sin formato de las contraseñas cifradas basadas en un algoritmo
hash. Los piratas informáticos pueden comparar estos listados con cualquier contraseña
cifrada que descubran en el sistema de una empresa.

Ataque de fuerza bruta

Un ataque de fuerza bruta no hace suposiciones. Simplemente intenta todas las
combinaciones posibles de caracteres permitidos hasta que encuentra una
coincidencia. Este tipo de ataque es muy eficaz en contraseñas más cortas e incluso podrá
piratear contraseñas compuestas por caracteres aleatorios. Pero la longitud sí importa. Un
ataque de fuerza bruta no es muy eficiente y si su contraseña es lo suficientemente larga,
puede ser poco práctico piratearla. 

Ejemplo: Eche un vistazo a la siguiente tabla que muestra el tiempo que tomaría utilizar la
fuerza bruta de las contraseñas por longitud y complejidad. Tenga en cuenta que esta tabla
asume que la computadora puede probar significativamente más de 1000 contraseñas por
segundo. Abordaremos cómo esto es posible en la siguiente sección.

LONGITUD DE LA TODOS LOS SOLO

CONTRASEÑA PERSONAJES MINÚSCULAS

3 caracteres 0,86 segundos 0,02 segundos

4  caracteres 1,36 minutos .046 segundos

5  caracteres 2,15 horas 11,9 segundos

Software malicioso

Los registradores de teclas, los raspadores de pantalla y una serie de otras herramientas
maliciosas caen bajo el paraguas del malware , software malicioso diseñado para robar
datos personales. Los registradores de teclas, y los de su tipo, registran la actividad de un
usuario, ya sea a través de pulsaciones de teclas o capturas de pantalla, que luego se
comparte con un pirata informático. Algunos malware incluso buscarán proactivamente a
 través del sistema de un usuario diccionarios de contraseñas o datos asociados con los
navegadores web.

Ataques de ingeniería social

Los ataques de ingeniería social se refieren a una amplia gama de métodos para obtener
información de los usuarios. Entre las tácticas utilizadas se encuentran:
 Phishing: correos electrónicos, mensajes de texto, etc. enviados para engañar a
los usuarios para que proporcionen sus credenciales, hagan clic en un enlace que instala
software malicioso o accedan a un sitio web falso.
 Spear phishing: similar al phishing, pero con correos electrónicos / textos mejor
elaborados y personalizados que se basan en información ya recopilada sobre los
usuarios. Por ejemplo, el pirata informático puede saber que el usuario tiene un tipo
particular de cuenta de seguro y hacer referencia a él en el correo electrónico o usar el
logotipo y el diseño de la empresa para que el correo electrónico parezca más legítimo.
 Carnada -Attackers dejar USBs infectados u otros dispositivos en lugares públicos o
empleador con la esperanza de que serán recogidos y utilizados por los empleados.
 Quid quo pro: el ciberdelincuente se hace pasar por alguien, como un empleado
del servicio de asistencia técnica, e interactúa con un usuario de una manera que
requiere obtener información de él.

Sistemas de recuperación / restablecimiento de contraseña

Es posible que un intruso no necesite obtener la contraseña del usuario si puede persuadir al
sistema de autenticación para que se la envíe por correo o se la cambie a algo de su
elección. Los sistemas que permiten al usuario legítimo recuperar o cambiar una contraseña
que ha olvidado también pueden permitir que otras personas hagan lo mismo. Los
operadores del servicio de asistencia técnica deben tener especial cuidado al verificar la
identidad de cualquier persona que solicite un restablecimiento de contraseña. Los sistemas
en línea que se basan en “preguntas secretas” como “nombre de la primera escuela” o
“cumpleaños” son triviales de derrotar si esa información se puede encontrar en una red
social. Los sistemas que envían recordatorios a una dirección de correo electrónico o un
número de teléfono de respaldo pueden fallar si el usuario cambia la dirección o el número,
lo que permite que otra persona registre el respaldo abandonado.

Conjeturas educadas

Debería ser obvio que las mismas técnicas que se usan para adivinar las respuestas a
preguntas secretas también se pueden usar para adivinar contraseñas. Cualquier cosa basada
en algo que sus amigos sabrán, o que esté disponible en un sitio web, es una elección muy
pobre como contraseña.

Reutilización de contraseñas
La mayoría de las personas ahora tienen muchas cuentas diferentes en diferentes sistemas,
tanto en su vida privada como laboral. Aunque la mejor práctica es tener una contraseña
diferente para cada cuenta, desafortunadamente es mucho más común reutilizar la misma
contraseña en diferentes servicios. Eso significa que una organización no solo tiene que
preocuparse por los ataques anteriores contra sus propios sistemas, tiene que preocuparse
por los mismos ataques en todos los demás sistemas donde se ha utilizado la misma
contraseña. Esto probablemente significa que una organización ya no puede controlar
completamente si sus contraseñas son seguras: también debería desarrollar planes y
sistemas para detectar y responder cuando una contraseña se ha visto comprometida.

Contraseñas predeterminadas

El equipo y el software a menudo tienen contraseñas estándar preconfiguradas que, por

supuesto, son bien conocidas por los intrusos. Estas contraseñas siempre deben cambiarse,
aunque puede resultar difícil averiguar dónde se han utilizado. Un problema relacionado es
cuando un administrador local establece una contraseña para el usuario. A menos que se
requiera que el usuario cambie la contraseña por una que el administrador no conozca,
siempre pueden surgir dudas sobre cuál de las dos personas que conocían la contraseña
estaba realmente conectada y era responsable de la actividad de la cuenta. Si existen
razones por las que no se puede obligar a los usuarios a cambiar sus contraseñas en el
primer uso, los procedimientos deben diseñarse y seguirse cuidadosamente para garantizar
que las sospechas no recaigan sobre la persona equivocada.

Contraseña incrustada en el código

Las contraseñas a veces también se revelan al incluirse en scripts o programas. Si bien esto
puede parecer una manera fácil de automatizar el acceso a un sistema interactivo, conlleva
altos riesgos de divulgación y se deben utilizar alternativas siempre que sea posible. Si no
hay otra alternativa, el script o programa debe protegerse con mucho cuidado contra el
acceso deliberado o accidental. El peor resultado posible es que un script que contiene una
contraseña de texto sin formato termine en un sitio web público.

Ataque híbrido
Un ataque híbrido es como un ataque de diccionario en el que la computadora agregará
algunos números y caracteres especiales a las palabras de la lista de palabras.

Así que si leíste la última sección y pensaste que estabas a salvo con “Logjammin2003”
como contraseña, ¡piénsalo de nuevo!

Ejemplo:
Un número de 4 dígitos tiene 10,000 combinaciones posibles (10 opciones para 4 dígitos,
10 ^ 4 = 10,000). Eso significa que una contraseña con una sola palabra seguida de un
número de 4 dígitos aún se puede piratear en ~ 34 horas si la computadora puede probar
1000 contraseñas por segundo.

(120.000 x 10.000) / 1000 / (60 x 60 x 24) = 33,3 horas.

Ataque de máscara
Un ataque de máscara consiste en hacer las suposiciones que se mencionaron en las últimas
secciones y luego realizar un tipo específico de ataque híbrido basado en esas suposiciones.

Ejemplo:

Imagine que un sitio web requiere que tenga una contraseña de 8 caracteres que use al
menos 1 carácter de cada uno de los siguientes conjuntos

 Letras mayúsculas
 Letras minusculas
 Números
 Caracteres especiales
Es probable que la persona promedio responda a ese requisito de contraseña eligiendo una
contraseña como "Word123!" Como hablantes de inglés, escribimos con mayúscula la
primera letra de una palabra en la escritura normal. También es más probable que usemos
un carácter especial como "!" o "?" que "^" de "#". 

Ataque de diccionario

En un ataque de diccionario, una computadora usa una lista de palabras (como quizás todo
el diccionario de inglés) para tratar de encontrar una contraseña que funcione. La
computadora simplemente ingresará cada palabra en su lista de palabras en un intento de
encontrar una contraseña que funcione.

Ejemplos

El adulto medio de habla inglesa sabe entre 12.000 y 30.000 palabras. Pero digamos que
usaremos todo el diccionario Webster con sus ~ 120.000 palabras como posibles
contraseñas. Una computadora puede probar razonablemente 1000 contraseñas por
segundo. Eso significa que la palabra engañosa que seleccionaste pensando que no se podía
adivinar porque no tiene nada que ver contigo se puede piratear en unos 2 minutos.
12. Adivina
Si todo lo demás falla, un hacker siempre puede intentar adivinar su contraseña. Si bien hay
muchos administradores de contraseñas disponibles que crean cadenas que son imposibles
de adivinar, muchos usuarios aún confían en frases memorables. A menudo, estos se basan
en pasatiempos, mascotas o familiares, muchos de los cuales a menudo se encuentran en las
mismas páginas de perfil que la contraseña está tratando de proteger.

Ataque de diccionario
Un ataque que se aprovecha del hecho de que las personas tienden a usar palabras
comunes y contraseñas cortas. El hacker usa una lista de palabras comunes, el diccionario,
y las prueba, a menudo con números antes y / o después de las palabras, contra las
cuentas de una empresa para cada nombre de usuario. (Los nombres de usuario son
generalmente bastante fáciles de determinar, ya que se basan casi universalmente en los
nombres de los empleados).

Fuerza bruta
Usar un programa para generar contraseñas probables o incluso conjuntos de caracteres
aleatorios. Estos ataques comienzan con contraseñas débiles de uso común como
Password123 y continúan desde allí. Los programas que ejecutan estos ataques también
suelen intentar variaciones en caracteres en mayúsculas y minúsculas.

Interceptación de tráfico
En este ataque, el ciberdelincuente utiliza software como rastreadores de paquetes para
monitorear el tráfico de la red y capturar contraseñas a medida que se pasan.  Similar a
escuchar a escondidas o tocar una línea telefónica, el software monitorea y captura
información crítica. Obviamente, si esa información, como las contraseñas, no está
encriptada, la tarea es más sencilla. Pero incluso la información cifrada puede ser
descifrable, dependiendo de la fuerza del método de cifrado utilizado.
Hombre en el medio
En este ataque, el programa del hacker no solo monitorea la información que se transmite,
sino que se inserta activamente en medio de la interacción, generalmente haciéndose
pasar por un sitio web o una aplicación. Esto permite que el programa capture las
credenciales del usuario y otra información confidencial, como números de cuenta,
números de seguridad social, etc. Los ataques de hombre en el medio (MITM) a menudo
son facilitados por ataques de ingeniería social que atraen al usuario a un sitio falso.

Ataque del registrador de claves

Un ciberdelincuente logra instalar un software que rastrea las pulsaciones de teclas del
usuario, lo que permite al delincuente recopilar no solo el nombre de usuario y la
contraseña de una cuenta, sino también exactamente en qué sitio web o aplicación estaba
iniciando sesión el usuario con las credenciales. Este tipo de ataque generalmente se basa
en que el usuario primero sea víctima de otro ataque que instala el software malicioso del
registrador de claves en su máquina.

https://cybersecurity.osu.edu/cybersecurity-you/passwords-authentication/passwords
 2. Autenticación y autorización de usuarios
o Cuál es la diferencia entre autenticación y autorización?
o Qué alternativas existen para cada opción de gestión de identidades?

https://www.onelogin.com/learn/6-types-password-attacks
https://cybersecurity.osu.edu/cybersecurity-you/passwords-authentication/passwords
https://www.onelogin.com/learn/6-types-password-attacks

https://wisdomplexus.com/blogs/common-password-vulnerabilities/