Conceptos Generales de la

Seguridad Informática
Facilitador:
Ing. Sergio Andres Pinzon Sarmiento
Terminología Esencial
Terminología Esencial
● Valor de hackeo : Es la noción entre los hackers de evaluar algo que vale la pena
hacer o que es interesante. Los hackers obtienen una gran satisfacción al romper la
seguridad de red más estricta y lo consideran un logro, ya que es algo que no
todos pueden hacer.
● Vulnerabilidad: Es la existencia de debilidad, diseño o error de implementación
que, cuando se explota, conduce a un evento inesperado e indeseable que
compromete la seguridad del sistema. La vulnerabilidad permite a un atacante
ingresar al sistema eludiendo sistemas de seguridad.
Terminología Esencial
● Exploit: una explotación es una violación de la seguridad del sistema de TI a
través de vulnerabilidades, en el contexto de un ataque a un sistema o red.
También se refiere a software o comandos maliciosos que pueden provocar un
comportamiento imprevisto de software o hardware legítimo a través de atacantes
que se aprovechan de las vulnerabilidades.
● Carga útil: la carga útil es la parte de un malware o un código de explotación que
realiza las acciones maliciosas previstas, que pueden incluir la creación de acceso
de puerta trasera a la máquina de la víctima, dañar o eliminar archivos, cometer
robo de datos y secuestrar la computadora. Hackers utilizan varios métodos para
ejecutar la carga útil. Por ejemplo, pueden activar una bomba lógica, ejecutar un
programa infectado o usar una computadora desprotegida conectada a una red.
Terminología Esencial
● Ataque de día cero: en un ataque de día cero, el atacante aprovecha las
vulnerabilidades de una aplicación informática antes de que el desarrollador de
software pueda lanzar un parche para ellas.
● Conexión en cadena (Daisy Chaining): Implica obtener acceso a una red y / o
computadora y luego usar la misma información para obtener acceso a múltiples
redes y computadoras que contienen información deseable.
Terminología Esencial
● Doxing: Se refiere a la recopilación y publicación de información de identificación
personal, como el nombre y la dirección de correo electrónico de una persona, u
otra información confidencial perteneciente a toda una organización. Las personas
con intenciones malintencionadas recopilan esta información de canales de acceso
público, como las bases de datos, las redes sociales e Internet.
Amenazas, ataques y
Vulnerabilidades
Amenazas a la seguridad de la información y vectores de
ataque
Diferentes amenazas:

● Amenazas de red
● Amenazas de host

Diferentes Vectores de ataque:

● Virus
● Gusanos
● Botnets
Ataque

Ataques = Motivo (Objetivo) + Método + Vulnerabilidad

¿Que motiva un ataque?
● Interrumpir la continuidad del negocio
● Realizar robo de información
● Manipulación de datos
● Crear miedo y caos al interrumpir infraestructuras críticas.
● Traer pérdidas financieras al objetivo
● Propagar creencias religiosas o políticas
● Lograr los objetivos militares del estado.
● Dañar la reputación del objetivo
● Tomar venganza
● Exigir rescate
Principales Vectores de Ataque
Principales Vectores de Ataque
Vector de Ataque: son las formas o medios que permiten a ciberdelincuentes transmitir
códigos maliciosos, con el propósito de obtener beneficios (políticos,
sociales,económicos).
Amenazas de la computación en la nube. APT

La computación en la nube es una entrega bajo La amenaza persistente avanzada (APT) es

demanda de capacidades en infraestructura y
aplicaciones de TI y se proporcionan a los
suscriptores como un servicio medido a través
de una red. Los clientes pueden almacenar
información confidencial en la nube. Una falla
en la nube de aplicaciones de un cliente podría
permitir a los atacantes acceder a los datos de
otro cliente.
un ataque que se centra en robar
información de la máquina víctima sin que
el usuario lo sepa. Los ataques APT son
lentos por naturaleza, por lo que el efecto
sobre el rendimiento de la computadora y
las conexiones a Internet es insignificante.
Principales Vectores de Ataque
Virus y Gusanos
Los virus y gusanos son las amenazas de
red más frecuentes, capaces de infectar una
red en segundos. Un virus es un programa
de autorreplicación que produce una copia
de sí mismo adjuntando a otro programa,
un gusano es un programa malicioso que
se replica, se ejecuta y se propaga a través
de las conexiones de red
Ransomware
Ransomware es un tipo de malware que
restringe el acceso a los archivos y carpetas del
sistema informático y exige un pago de rescate
en línea a los creadores del malware para
eliminar las restricciones.
Principales Vectores de Ataque
Amenazas móviles Botnet

Los atacantes se centran cada vez más en
los dispositivos móviles, debido a la mayor
adopción de teléfonos inteligentes para uso
comercial y personal y a sus
comparativamente menos controles de
seguridad. Los usuarios pueden descargar
aplicaciones de malware (APK) en sus
teléfonos inteligentes, que pueden dañar
otras aplicaciones y datos y transmitir
información confidencial a los atacantes.
Una botnet es una enorme red de sistemas
comprometidos que utilizan los atacantes
para realizar ataques de denegación de
servicio. Los bots, en una botnet, realizan
tareas como cargar virus, enviar correos con
botnets adjuntos, robar datos, etc.
Principales Vectores de Ataque
Ataque Interno Phishing

Un ataque interno es un ataque de Es una práctica que consiste en enviar un

alguien dentro de una organización que correo electrónico ilegítimo que afirma
tiene acceso autorizado a su red y conoce falsamente ser de un sitio legítimo en un
la arquitectura de la red intento de adquirir información personal o de
cuenta de un usuario.
Principales Vectores de Ataque
Amenazas a las aplicaciones Web
Los ataques a las aplicaciones web, como la
inyección de SQL y las secuencias de
comandos entre sitios, han convertido a las
aplicaciones web en un objetivo favorable
para que los atacantes roben credenciales,
establezcan un sitio de phishing o adquieran
información privada.
Amenazas de IoT
Los dispositivos de IoT conectados a Internet
tienen poca o ninguna seguridad que los hace
vulnerables a varios tipos de ataques. Estas
aplicaciones de IoT no incluyen mecanismos
de seguridad complejos para proteger los
dispositivos de ataques.
Categorías de amenazas a la seguridad de la información
Amenazas de red
Una persona malintencionada puede irrumpir en el
canal de comunicación y robar la información que
viaja por la red.
● Recopilación de información
● Sniffing y escuchas ilegales
● Spoofing
● Secuestro de sesión
● Ataque de intermediario
● Envenenamiento de DNS y ARP
● Ataques basados en contraseñas
● Ataque de denegación de servicio
● Comprometido- Ataque clave
● Ataque de cortafuegos e IDS
Amenazas del host
Las amenazas del host se dirigen a un sistema ● Ataques de malware
particular en el que reside información valiosa. Los ● Footprint
atacantes intentan violar la seguridad del recurso ● Creación de perfiles
del sistema de información. ● Ataques de contraseña
● Ataques de denegación de servicio
● Ejecución de código arbitrario
● Acceso no autorizado
● Escalada de privilegios
● Ataques de puerta trasera
● Amenazas de seguridad física
Amenazas de aplicaciones
Las aplicaciones pueden ser vulnerables si no se
toman las medidas de seguridad adecuadas durante
su desarrollo, implementación y mantenimiento.
Los atacantes aprovechan las vulnerabilidades
presentes en una aplicación para robar o destruir
datos.
● Validación de datos / entrada inadecuada
● Ataques de autenticación y autorización
● Configuración incorrecta de la seguridad
● Manejo inadecuado de errores y
administración de excepciones
● Divulgación de información
● Manipulación de campos ocultos
● Administración de sesión rota
● Problemas de desbordamiento de búfer
● Ataques de criptografía
● Inyección SQL
● Phishing
Malware e indicadores de Compromiso
Malware:

El malware se refiere al software que ha sido

diseñado para algún propósito malicioso. Dicho
software puede diseñarse para dañar un sistema,
por ejemplo, eliminando todos los archivos, o
puede diseñarse para crear una puerta trasera en el
sistema para otorgar acceso a personas no
autorizadas. Se pueden utilizar varios tipos diferentes de software
malintencionado, como virus, caballos de Troya,
bombas lógicas, software espía y gusanos, y difieren en
la forma en que se instalan y sus propósitos.
Malware e indicadores de Compromiso
Malware polimórfico

La detección de malware por parte de programas anti-malware se realiza principalmente mediante el uso
de una firma. Los archivos se escanean en busca de secciones de código en el ejecutable que actúan como
marcadores, patrones únicos de código que permiten la detección. Los creadores de malware son
conscientes de esta funcionalidad y han adaptado métodos para derrotarlo. Uno de los principales medios
para evitar la detección por parte de los sensores es el uso de código polimórfico, que es un código que
cambia de forma regular. Estos cambios o mutaciones están diseñados para no afectar la funcionalidad del
código, sino para enmascarar cualquier firma de detección. El malware polimórfico es un malware que
puede cambiar su código después de cada uso, lo que hace que cada replicante sea diferente desde el punto
de vista de la detección.
Malware e indicadores de Compromiso
VIRUS

El tipo de código malicioso más conocido es el virus. Se ha escrito mucho sobre los virus porque varios
eventos de seguridad de alto perfil los han involucrado. Un virus es un fragmento de código malicioso que
se replica adjuntando a otro fragmento de código ejecutable. Cuando se ejecuta el otro código ejecutable,
el virus también se ejecuta y tiene la oportunidad de infectar otros archivos y realizar cualquier otra acción
nefasta para la que fue diseñado. La forma específica en que un virus infecta otros archivos y el tipo de
archivos que infecta depende del tipo de virus. Los primeros virus creados fueron de dos tipos: virus del
sector de arranque y virus de programa.
Malware e indicadores de Compromiso
Virus blindado

Cuando se descubre una nueva forma de malware / virus, las empresas antivirus y los investigadores de
seguridad descompilarán el programa en un intento de aplicar ingeniería inversa a su funcionalidad. Se
puede determinar mucho a partir de la ingeniería inversa, como el origen del malware, cómo funciona,
cómo se comunica, cómo se propaga, etc. El software malicioso blindado puede hacer que el proceso de
determinación de esta información sea mucho más difícil, si no imposible. Algunos programas maliciosos,
como el troyano Zeus, emplea el cifrado para evitar que los delincuentes roben la propiedad intelectual del
mismo malware que utilizan.
Malware e indicadores de Compromiso
Cripto-malware

Crypto-malware es un nombre temprano que se le dio al malware que encripta archivos en un sistema y
luego los deja inutilizables, ya sea permanentemente, actuando como una denegación de servicio, o
temporalmente hasta que se paga un rescate, lo que lo convierte en ransomware, que se analiza en el
Siguiente sección. El cripto-malware suele estar completamente automatizado y, cuando se apunta como
un medio de denegación de servicio, el único mecanismo de reparación es reconstruir el sistema. Esto
puede llevar mucho tiempo y / o resultar poco práctico en algunos casos, lo que hace que este mecanismo
de ataque sea equivalente a la destrucción física de activos.
Malware e indicadores de Compromiso
Ransomware

El ransomware es una forma de malware que realiza alguna acción y extrae el rescate de un usuario. Una
amenaza de ransomware actual, que apareció por primera vez en 2013, es CryptoLocker. CryptoLocker es
un caballo de Troya que cifrará ciertos archivos mediante el cifrado de clave pública RSA. Cuando el
usuario intenta obtener los archivos, se le proporciona un mensaje que le indica cómo comprar la clave de
descifrado.
Malware e indicadores de Compromiso
Gusano

Alguna vez fue fácil distinguir entre un gusano y un virus. Recientemente, con la introducción de nuevas
variedades de sofisticados códigos maliciosos, la distinción se ha difuminado. Gusanos

Son fragmentos de código que intentan penetrar redes y sistemas informáticos. Una vez que ocurre una
penetración, el gusano creará una nueva copia de sí mismo en el sistema penetrado. Por tanto, la
reproducción de un gusano no depende de que el virus se adjunte a otra pieza de código o archivo, que es
la definición de virus.
Malware e indicadores de Compromiso
Troyano

Un caballo de Troya, o simplemente un troyano, es una pieza de software que parece hacer una cosa (y
puede, de hecho, hacer esa cosa) pero oculta alguna otra funcionalidad.
Malware e indicadores de Compromiso
Rootkit

Los rootkits son una forma de malware diseñado específicamente para modificar el funcionamiento del
sistema operativo de alguna manera para facilitar la funcionalidad no estándar. La historia de los rootkits
se remonta a los inicios del sistema operativo UNIX, donde los rootkits eran conjuntos de herramientas
administrativas modificadas. Originalmente diseñada para permitir que un programa tenga un mayor
control sobre la función del sistema operativo cuando falla o deja de responder, la técnica ha evolucionado
y se utiliza de diversas formas.
Malware e indicadores de Compromiso
Adware

El negocio de la distribución de software requiere una forma de flujo de ingresos para soportar el costo de
desarrollo y distribución. Una forma de flujo de ingresos es la publicidad. El software que se apoya en la
publicidad se denomina software publicitario.
Malware e indicadores de Compromiso
Keylogger

Como sugiere el nombre, un keylogger es un software que registra todas las pulsaciones de teclas que
ingresa un usuario. Los keyloggers en su propio respeto no son necesariamente malos, ya que podría
considerar a Microsoft Word como un keylogger.
Malware e indicadores de Compromiso
Spyware

El software espía es un software que "espía" a los usuarios, registrando e informando sobre sus actividades.
Normalmente se instala sin el conocimiento del usuario, el software espía puede realizar una amplia gama
de actividades. Puede registrar las pulsaciones de teclas (comúnmente llamadas keylogging) cuando el
usuario inicia sesión en sitios web específicos. Puede monitorear cómo un usuario aplica un software
específico, como para monitorear los intentos de hacer trampa en los juegos.
Malware e indicadores de Compromiso
Bots

Un bot es una pieza de software en funcionamiento que realiza alguna tarea, bajo el control de otro
programa. Una serie de bots se controla a través de la red en un grupo, y el conjunto completo se
denomina botnet (que combina los términos bot y red). Algunas botnets son legales y realizan las acciones
deseadas de forma distribuida. Las botnets ilegales funcionan de la misma manera, con bots distribuidos y
controlados desde un conjunto central de servidores. Los bots pueden hacer una amplia gama de cosas,
desde spam hasta fraude, software espía y más.
Malware e indicadores de Compromiso
RAT

Un troyano de acceso remoto (RAT) es un conjunto de herramientas diseñado para proporcionar la

capacidad de vigilancia encubierta y / o la capacidad de obtener acceso no autorizado a un sistema de
destino. Los RAT a menudo imitan comportamientos similares de las aplicaciones keylogger o de rastreo
de paquetes utilizando la colección automatizada de pulsaciones de teclas, nombres de usuario,
contraseñas, capturas de pantalla, historial del navegador, correos electrónicos, registros de chat y más,
pero también lo hacen con un diseño de inteligencia.
Malware e indicadores de Compromiso
Bomba lógica

Las bombas lógicas, a diferencia de los virus y troyanos, son un tipo de software malintencionado que se
instala deliberadamente, generalmente por un usuario autorizado. Una bomba lógica es un fragmento de
código que permanece inactivo durante un período de tiempo hasta que algún evento o fecha invoca su
carga útil maliciosa. Un ejemplo de una bomba lógica podría ser un programa que está configurado para
cargarse y ejecutarse automáticamente, y que verifica periódicamente la nómina o la base de datos de
personal de una organización para un empleado específico. Si no se encuentra al empleado, la carga útil
maliciosa se ejecuta y elimina los archivos corporativos vitales.
Malware e indicadores de Compromiso
Puerta trasera (Backdoor)

Las puertas traseras no eran originalmente (y a veces todavía lo son) nada más que métodos utilizados por
los desarrolladores de software para garantizar que pudieran acceder a una aplicación incluso si algo
sucediera en el futuro para evitar los métodos de acceso normales.
Ataques
Se pueden realizar ataques contra prácticamente cualquier capa o nivel de software, desde protocolos de
red hasta aplicaciones. Cuando un atacante encuentra una vulnerabilidad en un sistema, aprovecha la
debilidad para atacar el sistema. Los ataques pueden ser contra el usuario, como en la ingeniería social, o
contra la aplicación, la red o los elementos criptográficos que se emplean en un sistema.
Métodos de ingeniería social
La ingeniería social es un ataque contra un usuario y, por lo general, implica alguna forma de interacción
social. La debilidad que se está explotando en el ataque no es necesariamente de conocimiento técnico, ni
siquiera de conciencia de seguridad. La ingeniería social en su esencia implica manipular la naturaleza
social misma de las relaciones interpersonales. En esencia, se alimenta de varias características que
tendemos a desear. La voluntad de ayudar, por ejemplo, es una característica que le gustaría ver en un
entorno de equipo. Queremos empleados que se ayuden entre sí y tendemos a recompensar a los que
ayudan y a castigar a los que no.

https://www.youtube.com/watch?v=Xy3QD0baCco
Métodos de ingeniería social
En general existen 2 conceptos:

Desarrollar un sentido de familiaridad, haciendo que parezca que pertenece al grupo. Por ejemplo, si se
inyecta en una conversación o encuentro, armado con las palabras adecuadas y la información correcta,
puede hacer que parezca que pertenece. Otro ejemplo es al llegar a una puerta al mismo tiempo que una
persona con una tarjeta de identificación, llevando algo en ambas manos, probablemente pueda hacer que
abran y sujeten la puerta por usted. Una técnica aún más exitosa es tener una conversación en el camino a
la puerta sobre algo que te hace encajar. La gente quiere ayudar, y esta táctica le da poder a la persona para
que te ayude.
Métodos de ingeniería social
Un segundo método implica crear una situación hostil. La gente tiende a querer evitar la hostilidad, por lo
que si está involucrado en una discusión acalorada con alguien cuando ingresa al grupo al que desea
unirse, asegurándose no solo de que está perdiendo la discusión, sino de que también parece totalmente
injusto, instantáneamente puede construir una conexión con cualquier persona que haya sido maltratada
de manera similar. Juega con la simpatía, su deseo de compasión y usa ese momento para evitar el
momento de la conexión.
Métodos de ingeniería social
Phising

El phishing (pronunciado "pesca") es un tipo de ingeniería social en el que un atacante intenta obtener
información confidencial de los usuarios haciéndose pasar por una entidad confiable en un correo
electrónico o mensaje instantáneo enviado a un gran grupo de usuarios a menudo aleatorios. El atacante
intenta obtener información como nombres de usuario, contraseñas, números de tarjetas de crédito y
detalles sobre las cuentas bancarias de los usuarios.
Métodos de ingeniería social
Spear Phishing

Spear phishing es el término que se ha creado para referirse a un ataque de phishing que se dirige a un
grupo específico con algo en común. Al apuntar a un grupo específico, la proporción de ataques exitosos
(es decir, la cantidad de respuestas recibidas) con respecto a la cantidad total de correos electrónicos o
mensajes enviados generalmente aumenta porque un ataque dirigido parecerá más plausible que un
mensaje enviado a los usuarios al azar.
Métodos de ingeniería social
Whaling

Los objetivos de alto valor se conocen como ballenas. Por lo tanto, un ataque de caza de ballenas es aquel
en el que el objetivo es una persona de alto valor, como un CEO o un CFO. Los ataques de caza de
ballenas no se realizan atacando múltiples objetivos y esperando una respuesta, sino que están diseñados a
medida para aumentar las probabilidades de éxito.
Métodos de ingeniería social
Vishing
Vishing es una variación del phishing que utiliza tecnología de comunicación por voz para obtener la
información que busca el atacante. Vishing aprovecha la confianza que algunas personas depositan en la
red telefónica. Los usuarios no saben que los atacantes pueden falsificar (simular) llamadas de entidades
legítimas que utilizan la tecnología de voz sobre IP (VoIP).
Métodos de ingeniería social
Tailgating (piggybacking)

Tailgating (o llevar a cuestas) es la táctica simple de seguir de cerca a una persona que acaba de usar su
propia tarjeta de acceso o número de identificación personal (PIN) para obtener acceso físico a una
habitación o edificio. Las personas a menudo tienen prisa y, con frecuencia, no siguen las buenas prácticas
y procedimientos de seguridad física.
Métodos de ingeniería social
Impersonation (suplantación)
La suplantación de identidad es una técnica común de ingeniería social y puede emplearse de muchas
formas. Puede ocurrir en persona, por teléfono o en línea. En el caso de un ataque de suplantación de
identidad, el atacante asume un papel que es reconocido por la persona atacada y, al asumir ese papel, el
atacante utiliza los prejuicios de la víctima potencial en contra de su mejor juicio para seguir los
procedimientos. Las suplantaciones pueden ocurrir de diversas maneras:

● Autorización de terceros
● Mesa de ayuda / soporte técnico
● Contratistas / Partes externas
● Ataques en línea
Métodos de ingeniería social
Dumpster Diving (Buceo en contenedor)

El proceso de revisar la basura de un objetivo con la esperanza de encontrar información valiosa que
podría usarse en un intento de penetración se conoce en la comunidad de seguridad como buceo de
basura. Un lugar común para encontrar información, si el atacante está cerca del objetivo, es en la basura
del objetivo.
Métodos de ingeniería social
Shoulder Surfing

Navegar por el hombro no implica necesariamente el contacto directo con el objetivo, sino que implica
que el atacante observe directamente a la persona que ingresa información confidencial en un formulario,
teclado o teclado. El atacante puede simplemente mirar por encima del hombro del usuario en el trabajo,
por ejemplo, o puede configurar una cámara o usar binoculares para ver al usuario ingresando datos
confidenciales.
Métodos de ingeniería social

Hoax (Engaño,truco)
A primera vista, podría parecer que un engaño relacionado con la seguridad se consideraría una molestia y
no un problema de seguridad real. Este podría ser el caso de algunos engaños, especialmente los del tipo
de leyenda urbana, pero la realidad de la situación es que un engaño puede ser muy dañino si hace que los
usuarios tomen algún tipo de acción que debilite la seguridad. Un verdadero engaño, por ejemplo,
describía una nueva pieza de software malicioso altamente destructiva.
Métodos de ingeniería social
Watering Hole Attack (Ataque de abrevadero)
Los vectores de ataque más comúnmente reconocidos son los que van directos a un objetivo. Debido a su
naturaleza directa y entrante, las defensas están diseñadas para detectarlas y defenderse de ellas. Pero, ¿qué
pasa si el usuario "solicita" el ataque visitando un sitio web? Al igual que un cazador espera cerca de un
abrevadero a que los animales vengan a beber, los atacantes pueden plantar malware en sitios donde es
probable que los usuarios frecuentan. Identificado por primera vez por RSA, un ataque de abrevadero
implica la infección de un sitio web objetivo con malware.
Taller 4
https://docs.google.com/document/d/1YWSJRIuex6BD2nNjA0_hxUV_ckvQhg-B/edit?usp=sharing&ouid=108
865872364660946240&rtpof=true&sd=true