Trabajo Final de Seguridad Informatica

UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURÍMAC
ESCUELA ACADÉMICA PROFESIONAL DE INGENIERÍA DE

SISTEMAS EINFORMÁTICA
Tema:
CIBERSEGURIDAD
Curso:
Administración de Tecnología de Información
Docente:
ELVIO TINTAYA ZEGARRA
Presentado por:
 Sergio Elías Enciso Ortiz Cod:172144

 Tiffany Bertha Flores Trinidad Cod:172146
Tamburco-Apurímac-2021
INDICE GENERA
L
INTRODUCCION..........................................................................................................1
CAPITULO l – Las técnicas de Hacking más relevantes de la actualidad.....................3
1.1. ¿Qué es Keylogger?.......................................................................................3
1.2. Cómo detectar Keylogger en Windows.........................................................4
Usar el administrador de tareas...............................................................................4
Detectar amenazas con el antivirus.........................................................................5
Usar la línea de comandos......................................................................................6
Ver aplicaciones sospechosas instaladas................................................................6
CAPITULO II - ¿Qué son los ataques DDoS?...............................................................7
2.1. Definición............................................................................................................7
2.2. ¿Cómo funciona un ataque DDoS?.....................................................................8
Uso de una "red zombi" de botnet para lanzar un ataque ddos...............................8
La naturaleza de las amenazas DDoS en la actualidad...........................................9
CAPITULO III - Ataque watering hole........................................................................10
3.1. Definición..................................................................................................10
¿Cómo funciona?..................................................................................................10
¿A quién suelen estar dirigidos?...........................................................................11
¿Cuál es el objetivo de los ciberdelincuentes?......................................................11
¿Por qué son peligrosos los ataques de abrevadero?............................................12

¿Cómo detectar un ataque watering hole?............................................................13
¿Cómo evitar los watering hole attacks?..............................................................14
3.2. ¿QUÈ ES PISHING?.....................................................................................16
Cómo reconocer y evitar las estafas de phishing..................................................17
Cómo reconocer el phishing.................................................................................17
Cómo protegerse de los ataques de phishing........................................................18
Qué hacer si sospecha un ataque de phishing.......................................................19
Qué hacer si respondió a un email de tipo phishing.............................................20
Cómo reportar el phishing....................................................................................20
3.3. Las principales herramientas de Hacking.....................................................20
Nmap es ...............................................................................................................21
Resumen de opciones............................................................................................23
ESPECIFICACIÓN OBJETIVO:.........................................................................23
Descubrimiento de host.........................................................................................33
GUÌA DE INSTALACIÒN......................................................................................34
Introducción..........................................................................................................34
Probando si Nmap ya está instalado.....................................................................34
Interfaces gráficas y de línea de comandos...........................................................35
capitulo iv......................................................................................................................53
4.1 La aplicación de técnicas de Machine Learning al Hacking...................................53

4.2 OBJETIVOS DE técnicas de Machine Learning al Hacking.................................53
4.3 RECURSOS DE SOFTWARE...........................................................................54
4.3.1 Scikit-Learn..................................................................................................54
4.3.2 Pandas..........................................................................................................54
4.3.3 NumPy.........................................................................................................55
4.3.4 Matplotlib.....................................................................................................55
4.3.5 Weka............................................................................................................56
MACHINE LEARNING A LA SEGURIDAD INFORMATICA.......................57
Diagrama de bloques.................................................................................................58
Conjunto de datos (dataset)...................................................................................60
capitulo v 64
5.1 Los fundamentos de la Ciberseguridad ofensiva....................................................64
5.2 DETECCIÓN Y RESPUESTA SOBRE ATAQUES.........................................64
5.1.1 DIRIGIDOS Y MALWARE AVANZADO................................................64
5.1.2 Seguridad en Email......................................................................................65
5.1.3 LA SOLUCIÓN EMAIL SECURITY DE FIREEYE OFRECE.................65
5.1.4 Firewalls.......................................................................................................66
5.2 Control de Acceso a la Red.............................................................................66
LA CIBERSEGURIDAD EN LA ACTUALIDAD.................................................68
recomendaciones...........................................................................................................71
CONCLUSIÓN.............................................................................................................72
REFERENCIAS............................................................................................................73
TABLA DE IMÁGENES
IMAGEN 1..................................................................................................................................5
IMAGEN 2....................................................................................................................................7
IMAGEN 3..................................................................................................................................23
IMAGEN 4..................................................................................................................................46
IMAGEN 5..................................................................................................................................46
IMAGEN 6..................................................................................................................................47
IMAGEN 7..................................................................................................................................48
IMAGEN 8..................................................................................................................................48
IMAGEN 9..................................................................................................................................49
IMAGEN 10................................................................................................................................50
IMAGEN 11................................................................................................................................50
IMAGEN 12................................................................................................................................51
IMAGEN 13................................................................................................................................52
IMAGEN 14................................................................................................................................54
IMAGEN 15................................................................................................................................55
IMAGEN 16................................................................................................................................55
IMAGEN 17................................................................................................................................56
IMAGEN 18................................................................................................................................56
IMAGEN 19................................................................................................................................58
IMAGEN 20................................................................................................................................59
IMAGEN 21................................................................................................................................61
IMAGEN 22................................................................................................................................61
IMAGEN 23................................................................................................................................62
IMAGEN 24................................................................................................................................62
IMAGEN 25................................................................................................................................63
IMAGEN 26................................................................................................................................65
IMAGEN 27................................................................................................................................65
IMAGEN 28................................................................................................................................66
IMAGEN 29................................................................................................................................67
IMAGEN 30................................................................................................................................68
IMAGEN 31................................................................................................................................69
CIBERSEGURIDAD
DEDICATORIA
Nosotros los estudiantes de la Universidad Nacional Micaela Bastidas de Apurímac de

la escuela Profesional de Ingeniería Informática y Sistemas quienes integramos este grupo de
investigación acerca de la ciberseguridad informática somos: Sergio Elías Enciso Ortiz y
Tiffany Bertha Flores Trinidad quienes somos, estudiantes del octavo semestre de dicha
escuela mencionada anteriormente.
Dedicamos este trabajo de investigación en primer lugar a nuestros padres, que son las
personas que nos brindan un amor infinito e incondicional, por la comprensión permanente y
el impulso incansable sin ellos no podríamos concretar muchas de las etapas más importantes
y decisivas de nuestras vidas; gracias a ellos por estar siempre allí para nosotros y al lado de
ellos todo vale la pena.
A nuestros amigos, por la muestra de cariño, son tantas las personas que nos han
apoyado siempre con sus palabras de aliento y estima, que es muyb importante e imposible
dejar de mencionarlos a todas las personas, estamos seguros de que todos ellos que nos
conocen saben quiénes somos.
A nuestros docentes, por ser un apoyo muy importante en el desarrollo de nuestra

etapa como estudiantes y que son fuente de inspiración y fuerza en donde nosotros podemos
aferrarnos.
Este trabajo está realizado con toda voluntad y espero que sea de utilidad para aquellas
personas que puedan tener acceso a esta información.
Este trabajo monográfico de investigación es uno de los trabajos sumamente

importante que tienen las personas, las empresas y otros usuarios ya que la ciberseguridad es
un tema que tiene una validez en cuestión de la confiabilidad de los datos, de la integridad de
datos y disponibilidad de los datos y todo lo de demás que conlleva este tema.
Finalmente debemos entender que la ciberseguridad es un tema en la que todos

debemos darle importancia, ya que vivimos en un mundo donde los ciberdelincuentes están al
asecho en donde ellos sacan provecho de las vulnerabilidades que tienen las personas
naturales o empresas.
1
INTRODUCCION
Los piratas ya no tienen un parche en su ojo ni un garfio en reemplazo de la mano.

Tampoco existen los barcos ni los tesoros escondidos debajo del mar. Llegando al año
2000, los piratas se presentan con un cerebro desarrollado, curioso y con muy pocas armas:
una simple computadora y una línea telefónica. Hackers. Una palabra que aún no se
encuentra en los diccionarios pero que ya suena en todas las personas que alguna vez se
interesaron por la informática o leyeron algún diario. Proviene de "hack", el sonido que
hacían los técnicos de las empresas telefónicas al golpear los aparatos para que funcionen.
Hoy es una palabra temida por empresarios, legisladores y autoridades que desean
controlar a quienes se divierten descifrando claves para ingresar a lugares prohibidos y
tener acceso a información indebida.
Sólo basta con repasar unas pocas estadísticas. Durante 1997, el 54 por ciento de
las empresas norteamericanas sufrieron ataques de Hackers en sus sistemas. Las
incursiones de los piratas informáticos ocasionaron pérdidas totales de 137 millones de
dólares en ese mismo año. El Pentágono, la CIA, UNICEF, La ONU y demás organismos
mundiales han sido víctimas de intromisiones por parte de estas personas que tienen
muchos conocimientos en la materia y también una gran capacidad para resolver los
obstáculos que se les presentan*. Un hacker puede tardar meses en vulnerar un sistema ya
que son cada vez más sofisticados. Pero el lema es viejo: hecha la ley, hecha la trampa.
Los medios de comunicación masivos prefieren tildarlos de delincuentes que

interceptan códigos de tarjetas de crédito y los utilizan para beneficio propio. También
están los que se entrometen en los sistemas de aeropuertos produciendo un caos en los
vuelos y en los horarios de los aviones. Pero he aquí la gran diferencia en cuestión. Los
crackers (crack=destruir) son aquellas personas que siempre buscan molestar a otros,
piratear software protegido por leyes, destruir sistemas muy complejos mediante la
transmisión de poderosos virus, etc. Esos son los crackers. Adolescentes inquietos que
aprenden rápidamente este complejo oficio. Se diferencian con los Hackers porque no
poseen ningún tipo de ideología cuando realizan sus "trabajos". En cambio, el principal
objetivo de los Hackers no es convertirse en delincuentes sino "pelear contra un sistema
2
injusto" utilizando como arma al propio sistema. Su guerra es silenciosa pero muy
convincente.
El avance de la era informática ha introducido nuevos términos en el vocabulario

de cada día. Una de estas palabras, hacker, tiene que ver con los delitos informáticos.
Todos estamos familiarizados con las historias de aquellos que consiguen entrar en las
corporaciones informatizadas. Pero tenemos la impresión de que el término "hacker" es
uno de los peor entendidos, aplicados y, por tanto, usados en la era informática.
La cultura popular define a los hackers como aquellos que, con ayuda de sus
conocimientos informáticos consiguen acceder a los ordenadores de los bancos y de los
negociados del gobierno. Bucean por información que no les pertenece, roban software
caro y realizan transacciones de una cuenta bancaria a otra. Los criminólogos, por otra
parte, describen a los hackers en términos menos halagadores. Donn Parker los denomina
"violadores electrónicos" y August Bequai los describe como "vándalos electrónicos".
Ambos, aunque aseveran que las actividades de los hackers son ilegales, eluden hábilmente
llamarlos "criminales informáticos". Hacen una clara distinción entre el hacker que realiza
sus actividades por diversión y el empleado que de repente decide hacer algo malo. Por
tanto, parece que tenemos una definición en la que caben dos extremos: por un lado, el
moderno ladrón de bancos y por otro el inquieto. Ambas actividades (y todas las
intermedias) son calificadas con el mismo termino. difícilmente se podría considerar esto
como un ejemplo de conceptualización precisa. Una gran parte de esta ambigüedad puede
seguirse desde el origen durante estos aproximadamente 20 años de vida del mencionado
termino. El termino comenzó a usarse aplicado a un grupo de pioneros de la informática
del MIT, a principios de la década de 1960.
3
CAPITULO L – LAS TÉCNICAS DE HACKING MÁS RELEVANTES DE

LA ACTUALIDAD.
1.1. ¿QUÉ ES KEYLOGGER?
Un Keylogger es un software malicioso que ha sido diseñado para recopilar

pulsaciones de teclas de las contraseñas que un usuario introduce en el sistema. Es una
técnica más para el robo de claves. Lo que hace básicamente es registrar todo lo que
escribimos, ya sea en un teclado físico como sería en un ordenador, como en uno táctil
como sería en la pantalla del móvil.
Hay que tener en cuenta que este tipo de amenazas puede estar presente en
diferentes sistemas operativos y dispositivos. Sin embargo, en este artículo nos centramos
en Windows por ser el más utilizado en equipos de escritorio y donde es más común que
aparezca este problema.
Puede infectarnos de maneras muy diversas. Por ejemplo, podemos recibir un

archivo malicioso por correo electrónico, descargar software desde sitios inseguros y que
en realidad resulta ser un malware, enlaces fraudulentos por redes sociales… En definitiva,
son diferentes los métodos que pueden usar para colarnos este tipo de programa maligno,
pero siempre van a necesitar que cometamos algún error, por lo que es esencial el sentido
común.
Por tanto, podemos decir que un keylogger es un software creado de forma

maliciosa para registrar las pulsaciones de teclas. Pueden recopilar nuestras claves de
servicios muy variados como correo electrónico, aplicaciones, redes sociales, servicios
online… Además, hay que indicar que no solo contraseñas, sino también claves de cuentas
bancarias o cualquier PIN que utilicemos.
4
1.2. CÓMO DETECTAR KEYLOGGER EN WINDOWS
Es muy importante que sepamos detectar este tipo de amenazas para que no nos
afecte. Si somos víctimas de este problema y antes de que pueda actuar hemos encontrado
que está presente en nuestro sistema, podremos evitar comprometer nuestras contraseñas.
Por suerte podemos tener en cuenta algunas acciones en Windows para ello.
USAR EL ADMINISTRADOR DE TAREAS
Una de las opciones es utilizar el administrador de tareas. Allí nos muestra todos
los programas y procesos que están en ejecución. Nos aparecerán herramientas como el
navegador o cualquier aplicación que estemos utilizando. Pero también nos puede mostrar
procesos que sean extraños para nosotros.
¿Hay algo en ejecución que no debería? Una pista muy habitual es cuando
encontramos duplicado el proceso Aplicación de inicio de Windows. Está dentro de
Procesos de Windows. En caso de que veamos un proceso llamado Aplicación de inicio de
Windows (1) o similar, significa que puede que alguien esté dentro de nuestro equipo.
Podría tratarse de un Keylogger.
5
IMAGEN 1
DETECTAR AMENAZAS CON EL ANTIVIRUS
Otra opción clásica es la de utilizar algún antivirus para detectar amenazas. Ya

sabemos que hay muchas herramientas de seguridad que podemos utilizar. Las hay tanto
gratuitas como de pago y para Windows existe una gran cantidad de alternativas. Aquí
podemos mencionar Windows Defender como una de las mejores opciones, pero también
otros como Avast, Kaspersky, Bitdefender…
La idea aquí es realizar un análisis completo del equipo para detectar posibles
amenazas, malware y problemas que pueda haber. Una manera más de detectar a tiempo un
posible Keylogger que haya en el sistema.
Esto es algo que debemos realizar de manera periódica, pero además siempre que
detectemos alguna anomalía en el equipo, algún mal funcionamiento, la instalación de
algún programa, etc.
6
USAR LA LÍNEA DE COMANDOS
También tenemos la posibilidad de utilizar la línea de comandos de Windows para

detectar conexiones a Internet sospechosas. Para ello vamos a Inicio, escribimos CMD y
ejecutamos el Símbolo del sistema.
Tenemos que ejecutar el comando Netstat b. Ahí aparecerán todos los sitios web y
aplicaciones de Internet conectadas a nuestro equipo. Podemos ver las direcciones IP para
detectar alguna ubicación remota desconocida y sospechosa. Si vemos algo raro, algo que
no debería estar ahí, podría tratarse de un Keylogger o cualquier amenaza similar.
VER APLICACIONES SOSPECHOSAS INSTALADAS
Es posible que a la hora de instalar algún programa lleve oculto alguna aplicación
adicional. ¿Hemos visto algo sospechoso? Puede que un Keylogger se oculte en una
aplicación que tengamos instalada y no sabemos realmente por qué. Esto especialmente
ocurre cuando bajamos algún programa desde sitios no oficiales, cualquier página que nos
encontremos o hagamos clic en algún enlace malicioso.
Por tanto, siempre es conveniente hacer un repaso a todos los programas que
tenemos instalados. Una manera de controlar en todo momento que no haya algo raro. En
Windows podemos entrar en Configuración e ir a Aplicaciones y allí ver todo. Si vemos
algo que no reconocemos podemos desinstalarlo directamente o buscar información en
Internet.
7
CAPITULO II - ¿QUÉ SON LOS ATAQUES DDOS?
2.1. DEFINICIÓN
Imagen 2
Los ataques de red distribuidos a menudo se conocen como ataques de denegación

distribuida de servicio (DDoS). Este tipo de ataque aprovecha los límites de capacidad
específicos que se aplican a cualquier recurso de red, tal como la infraestructura que
habilita el sitio web de la empresa. El ataque DDoS envía varias solicitudes al recurso web
atacado, con la intención de desbordar la capacidad del sitio web para administrar varias
solicitudes y de evitar que este funcione correctamente.
Entre los objetivos más comunes de los ataques DDoS se incluyen:
 Sitios de compra por Internet
 Casinos en línea
 Cualquier empresa u organización que dependa de la prestación de servicios

en línea.
8
2.2. ¿CÓMO FUNCIONA UN ATAQUE DDOS?
Los recursos de red (tales como los servidores web) tienen un límite finito de
solicitudes que pueden atender al mismo tiempo. Además del límite de capacidad del
servidor, el canal que conecta el servidor a Internet tiene un ancho de banda o capacidad
limitados. Cuando la cantidad de solicitudes sobrepasa los límites de capacidad de
cualquiera de los componentes de la infraestructura, el nivel de servicio probablemente se
vea afectado de alguna de las siguientes maneras:
 La respuesta a las solicitudes será mucho más lenta de lo normal.
 Es posible que se ignoren algunas (o todas) las solicitudes de los usuarios.
Por regla general, la intención primordial del atacante es evitar por completo el
funcionamiento normal del recurso web, una "denegación" total del servicio. El atacante
también puede solicitar un pago para detener el ataque. En algunos casos, el objetivo del
ataque DDoS puede ser desacreditar o dañar el negocio de un competidor.
USO DE UNA "RED ZOMBI" DE BOTNET PARA LANZAR UN ATAQUE DDOS
Para enviar una cantidad extremadamente grande de solicitudes al recurso víctima,

el cibercriminal a menudo establece una "red zombi" de computadoras infectadas. Como el
delincuente controla las acciones de cada computadora infectada en la red zombi, la gran
escala del ataque puede desbordar los recursos web de la víctima.
9
LA NATURALEZA DE LAS AMENAZAS DDOS EN LA ACTUALIDAD
Entre principios y mediados de los años 2000, este tipo de actividad delictiva era
bastante común. Sin embargo, la cantidad de ataques DDoS satisfactorios se ha ido
reduciendo. Probablemente esta disminución en los ataques DDoS haya sido resultado de:
 Investigaciones policiales que terminaron con el arresto de

delincuentes en todo el mundo
Contramedidas técnicas satisfactorias contra los ataques DDoS
Otros artículos y enlaces relacionados con ataques de red distribuidos/DDoS
 Cómo penetra el malware en los sistemas
 ¿Qué es un troyano?
 Cibercrimen
 Vandalismo informático
 pequeños robos
 Spam y phishing
10
CAPITULO III - ATAQUE WATERING HOLE
3.1. DEFINICIÓN
Un ataque watering hole o ataque de abrevadero es un tipo de ataque cibernético,

en el que un atacante observa a la víctima de los sitios web o un grupo en particular visita
de forma regular e infecta esos sitios con malware. Un ataque watering hole tiene el
potencial de infectar a los miembros del grupo de víctimas objetivo.
El Malware utilizado en los ataques de abrevadero generalmente recopila la

información personal del objetivo y la envía de vuelta al servidor C&C operado por el
atacante. A veces, el Malware también puede dar a los atacantes acceso completo a los
sistemas de las víctimas.
¿CÓMO FUNCIONA?
El atacante primero acecha los sitios web visitados con frecuencia por una víctima
o un grupo en particular, y luego infecta los sitios web visitados con frecuencia con
malware.
Luego, el atacante identifica las vulnerabilidades asociadas con los sitios web e
inyecta código de programación malicioso, a menudo en JavaScript o HTML, en los
anuncios, banners, etc. que se muestran en el sitio web.
A continuación, el código malicioso redirige a los grupos objetivo a un sitio de

suplantación de identidad donde hay malware o publicidad maliciosa (malvertising).
Cuando el grupo objetivo visita estos sitios web, un script que contiene malware se
descarga automáticamente en las máquinas de la víctima.
Luego, el malware recopila la información personal de las víctimas y la envía de

vuelta al servidor C&C operado por el atacante.
11
El phishing y el malware de abrevadero se utilizan comúnmente para atacar al

grupo objetivo de víctimas. Una vez que los ciberdelincuentes han comprometido un sitio
web, esperan pacientemente hasta que pueden conseguir objetivos en su red maliciosa.
¿A QUIÉN SUELEN ESTAR DIRIGIDOS?
Los ciberdelincuentes que buscan obtener beneficios económicos se centran en los

sitios web públicos favoritos de los consumidores entre los usuarios.
Los grupos más afectados por los ataques de abrevadero son las agencias
gubernamentales, los grupos de derechos humanos, las autoridades y las instituciones
financieras. Esto se debe a que la información robada de estos objetivos puede permitir que
los atacantes inicien más ataques.
Si los ciberdelincuentes buscan mucho más que una ganancia económica, entonces
apuntan a sitios web públicos de industria conocida. Los atacantes se centran en las
vulnerabilidades del sitio web. Al comprender estas vulnerabilidades, infectan el malware
y esperan hasta que el objetivo caiga en la trampa.
Hasta la fecha, no solo las grandes empresas de tecnología como Facebook, Apple
y Twitter se han visto atrapadas en estos ataques, sino también los bancos regionales, los
grupos activistas, los sitios de recursos de política exterior del gobierno, los fabricantes, la
base industrial de defensa y muchas otras empresas de industrias variadas. Los piratas
informáticos utilizan exploits de día cero de Java en sus ataques, así como exploits
dirigidos a fallos en Adobe Reader y Flash, o Internet Explorer, todas plataformas de
software omnipresentes y multiplataforma.
¿CUÁL ES EL OBJETIVO DE LOS CIBERDELINCUENTES?
El objetivo principal de un ataque watering hole es infectar la computadora de un

usuario con código malicioso para obtener acceso a la red en el lugar de trabajo del
usuario.
12
Debido a que el navegador está diseñado para buscar y ejecutar

indiscriminadamente código de la web en la máquina local, descargará silenciosamente el
malware del sitio infectado.
Esto permite a los atacantes robar las credenciales de la red corporativa del
visitante y realizar un ataque lateral dentro de la organización de la víctima, por ejemplo,
realizando un seguimiento con correos electrónicos de phishing identificados a los
empleados que informan a la víctima.
Entre los objetivos preferidos para los ataques de abrevadero: oficiales de

cumplimiento en bancos, compañías de inversión y administración de patrimonio y otras
firmas de servicios financieros. ¿Por qué centrarse en los profesionales del cumplimiento?
La razón es simple. Muchos equipos de cumplimiento todavía carecen de la

protección adecuada contra las vulnerabilidades de seguridad transmitidas por la web
cuando se conectan a Internet. Llevan a cabo investigaciones en la web como parte de su
rutina, durante verificaciones de antecedentes, investigaciones en profundidad o para leer
actualizaciones regulatorias.
Esto puede provocar una exposición peligrosa de la infraestructura de TI de su

organización. Cuando los especialistas en cumplimiento usan un navegador local, los
adversarios pueden identificar fácilmente la organización de origen y lanzar ataques de
malware y spyware contra la empresa.
Se cree que otro ejemplo más reciente de un ataque de pozo de agua exitoso es el
trabajo del grupo de amenazas APT32, también conocido como OceanLotus. Este grupo se
dirige específicamente a los sistemas gubernamentales y del sector privado en Asia
oriental. Uno de sus objetivos era la ASEAN, la Asociación de Naciones del Sudeste
Asiático, que coordina las actividades económicas, comerciales y geopolíticas de sus
estados miembros en Asia.
OceanLotus se dirigió a los empleados y visitantes de la ASEAN comprometiendo

el dominio principal asean.org de la organización y sus subdominios.
13
¿POR QUÉ SON PELIGROSOS LOS ATAQUES DE ABREVADERO?
En lugar de ver los ataques indiscriminados de abrevadero como un reemplazo del

Spear phishing, pueden verse como una herramienta adicional a disposición de los
adversarios, que es lo que los hace tan peligrosos. Como todas las herramientas, los
ataques de Spear phishing y Watering Hole tienen fortalezas y debilidades específicas que
se adaptan bien a ciertos trabajos, mientras que los hacen limitados en otras situaciones.
Como se describió anteriormente, los ataques de abrevadero recopilan enormes

cantidades de datos que los atacantes tendrán que examinar en busca de información útil,
lo que ralentiza su capacidad para tomar acciones maliciosas adicionales.
El Spear phishing, por otro lado, ofrece a los atacantes la capacidad de concentrarse
más en objetivos e información específicos. Un ataque de Spear phishing exitoso
proporciona acceso inmediato a los sistemas de un objetivo.
Dada la cantidad de información disponible sobre las organizaciones y sus

empleados en Internet, los atacantes pueden identificar fácilmente los objetivos y crear
correos electrónicos aparentemente genuinos que proporcionarán puertas de enlace a
sistemas específicos y, en última instancia, a datos.
No se puede negar que los ataques de abrevadero están teniendo un impacto, pero
la idea de que están reemplazando el spear phishing es errónea. Si bien el Informe sobre
amenazas a la seguridad en Internet de 2014 de Symantec señala una disminución en el
volumen general de correos electrónicos de spear phishing, el número de campañas
aumentó en un 91%. Los adversarios no se están alejando del spear phishing como método
de ataque; en cambio, están agudizando el enfoque de sus ataques.
Para lanzar una red más amplia destinada a comprometer a un gran número de
usuarios, los ataques de abrevadero son una táctica eficaz, pero para un ataque muy
enfocado que busca información específica, un spear phish bien elaborado sigue siendo la
mejor arma de un adversario.
14
¿CÓMO DETECTAR UN ATAQUE WATERING HOLE?
A continuación indicamos algunas formas de detectar los ataques watering hole.
Tener puertas de enlace web proporcionará capacidades de capa de detección que

coincidan con la firma de los sitios web. Las organizaciones ahora están utilizando
soluciones de malware altamente avanzadas para buscar actividad maliciosa en sitios web
conocidos que los empleados o usuarios visitan con frecuencia.
Las organizaciones tienen soluciones de seguridad de correo electrónico para

escanear el correo electrónico entregado. Si los correos electrónicos tienen
enmascaramiento de abrevadero en sus ID de correo electrónico, serán detectados.
Los ciberdelincuentes normalmente utilizan Adobe Reader, Flash, Internet Explorer

de Microsoft y JRE. Una forma comúnmente utilizada de prevenir los ataques de
abrevadero por parte de las organizaciones es deshabilitar los programas mencionados
anteriormente para que los usuarios accedan.
Las organizaciones utilizan herramientas de ciberseguridad de abrevaderos para

detectar dominios de abrevaderos
¿CÓMO EVITAR LOS WATERING HOLE ATTACKS?
La prevención de los ataques de abrevadero, al igual que la de cualquier ataque

altamente dirigido, puede ser un desafío. Sin embargo, una combinación de conciencia de
seguridad y cultura de ciberseguridad adecuada en la organización, así como mantener los
controles de seguridad en su lugar, puede ayudar a sentar las bases para una defensa
organizacional eficaz.
Estas son algunas de las mejores prácticas para prevenir los watering holes:
Se sabe que los ataques de watering hole explotan vulnerabilidades conocidas, por
lo que el primer paso en cualquier defensa de red es mantener todos tus sistemas, software
y SO actualizados a la última versión con todos los parches ofrecidos por los proveedores
aplicados.
15
Cuando se trata de detectar amenazas de día cero, invierte en herramientas de

seguridad de red avanzadas, como soluciones que aprovechan el análisis del tráfico de red
y realizan inspecciones de sitios web sospechosos para detectar a los atacantes que intentan
moverse lateralmente a través de la red y exfiltrar datos.
La confianza cero puede y debe aplicarse también a los ataques de abrevadero.

Verifica el tráfico de terceros, ya sea que provenga de un socio de confianza o de un sitio
web popular. Una solución de seguridad que inspeccione todo el tráfico de la red permitirá
a los investigadores de seguridad determinar si el tráfico proviene de un sitio web
comprometido que se utiliza para un ataque de abrevadero.
También debe existir una solución que inspeccione los sitios web que frecuentan
los usuarios de tu organización.
Asegúrate de que los navegadores y las herramientas que utilizan los servicios de
reputación de sitios web notifiquen a los usuarios sobre los sitios web sospechosos a los
que desean acceder.
Un paso simple, pero efectivo: el uso de un servicio VPN para disfrazar el

comportamiento en línea de las personas dentro de la organización puede afectar en gran
medida los esfuerzos de recopilación de información de los atacantes y poner presión en su
intento de ataque de abrevadero.
Además, las organizaciones pueden ejecutar las cajas de arena del navegador
presentes en la mayoría de los navegadores convencionales para proteger a los usuarios de
los efectos secundarios de navegar por la web, incluido el acceso involuntario a sitios web
sospechosos que pueden usarse en ataques de abrevadero.
Las puertas de enlace web son una excelente manera de defender a las
organizaciones contra descargas no autorizadas que coinciden con una firma conocida o
una mala reputación, y pueden proporcionar detección de ataques oportunistas de
abrevaderos.
16
Mencionamos que las víctimas a menudo son atraídas a sitios web comprometidos
en un ataque de abrevadero a través de correos electrónicos de spear phishing, por lo que
tener una solución de seguridad de correo electrónico que proporcione un análisis
avanzado de malware en el momento de la entrega del correo electrónico puede ayudar a
proteger a los usuarios.
Como hemos visto, las APT suelen estar detrás de estos ataques. Al aplicar
inteligencia de amenazas y análisis de big data, las organizaciones pueden obtener
información sobre si están siendo atacadas por estos grupos, al correlacionar los datos de
las actividades de ciberdelito en la naturaleza con el tráfico y las actividades que ocurren
en la propia red de la organización.
La práctica hace que todo sea perfecto, así que asegúrate de que la capacitación en
concienciación sobre seguridad incluya todas las amenazas actuales para tu organización,
que definitivamente deberían incluir ataques watering hole. Educa a tus empleados sobre la
naturaleza de estos ataques y las señales reveladoras de sitios web comprometidos que se
utilizan en ataques de abrevadero, pero también incorpora prácticas de prevención y
concientización que garantizarán que no sean víctimas.
3.2. ¿QUÈ ES PISHING?
Phishing es un término informático que distingue a un conjunto de técnicas que

persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una
persona, empresa o servicio de confianza (suplantación de identidad de tercero de
confianza), para manipularla y hacer que realice acciones que no debería realizar
Para realizar el engaño, habitualmente se hace uso de la ingeniería social

explotando los instintos sociales de la gente, como es de ayudar o ser eficiente. También
mediante la adulación de la víctima, explotando su intrínseca vanidad o necesidad de ser
reconocido, baja autoestima, o una persona que busca trabajo. Por ejemplo, enviando
correos electrónicos o mostrando publicidades a la víctima diciéndole que ha ganado un
premio y que siga un enlace para recibirlo, siendo aquellas promesas falsas (un cebo). A
veces también se hace uso de procedimientos informáticos que aprovechan
17
vulnerabilidades. Habitualmente el objetivo es robar información, pero otras veces es

instalar malware, sabotear sistemas, o robar dinero a través de fraudes.3
A quien practica el phishing se le llama phisher.4
Dado el creciente número de denuncias de incidentes relacionados con el phishing,

se requieren métodos adicionales de protección. Se han realizado intentos con leyes que
castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas
técnicas a los programas.
CÓMO RECONOCER Y EVITAR LAS ESTAFAS DE PHISHING
Los estafadores usan mensajes de correo electrónico o mensajes de texto para

engañarlo y lograr que usted les dé su información personal. Pueden tratar de robarle sus
contraseñas, números de cuenta o números de Seguro Social. Si consiguen esa
información, podrían acceder a su cuenta de email, banco u otras cuentas. Todos los días,
los estafadores lanzan miles de ataques de phishing como estos, y suelen tener éxito. El
Internet Crime Complaint Center del FBI reportó que la gente perdió $30 millones de
dólares en un año con esquemas de phishing. Pero hay varias cosas que usted puede hacer
para protegerse.
CÓMO RECONOCER EL PHISHING
Los estafadores suelen actualizar sus tácticas, pero hay algunos indicios que lo
ayudarán a reconocer un email o mensaje de texto tipo phishing.
Puede que los emails y mensajes de texto phishing parezcan enviados por una
compañía que usted conoce o en la cual confía. Pueden tener el mismo aspecto que los
mensajes enviados por un banco, una compañía de tarjeta de crédito, un sitio de redes
sociales, un sitio web o aplicación de pagos en línea o una tienda en línea.
A menudo, en los emails y mensajes de texto phishing le cuentan una historia para
engañarlo y lograr que usted haga clic en un enlace o abra un archivo adjunto. Los
mensajes podrían:
18
 He de decir que se ha detectado alguna actividad sospechosa o

intentos de inicio de sesión.
 Hay que afirmar que hay un problema con su cuenta o con su

información de pago.
 He de decir que debe confirmar algunos datos personales.
 Incluir una factura falsa.
 He de pedirle que haga clic en un enlace para hacer un pago.
 Decir que usted es elegible para registrarse para recibir un reembolso

del gobierno.
 Ofrecerle un cupón para algo gratis.
CÓMO PROTEGERSE DE LOS ATAQUES DE PHISHING
Los filtros de spam de su cuenta de email pueden impedir que muchos emails de
tipo phishing lleguen a su bandeja de entrada. Pero los estafadores siempre están tratando
de evadir los filtros de spam, así que es una buena idea agregar algunas protecciones
adicionales. Éstos son cuatro pasos que puede seguir hoy para protegerse de los ataques de
phishing.
Cuatro pasos para protegerse de los ataques de phishing
1. Proteja su computadora usando un programa de seguridad.

Configure el programa para que se actualice automáticamente de
modo que pueda tratar cualquier amenaza de seguridad nueva.
19
2. Proteja su teléfono móvil configurando la actualización automática

del software. Estas actualizaciones podrían ofrecerle una
protección crucial contra las amenazas de seguridad.
3. Proteja sus cuentas usando un sistema de autenticación de

múltiples factores. Hay algunas cuentas que ofrecen un mayor
nivel de seguridad ya que para iniciar la sesión en su cuenta tiene
que ingresar dos o más credenciales. Esto se llama autenticación de
múltiples factores. Las credenciales adicionales que necesita para
iniciar la sesión en su cuenta se dividen en dos categorías:
 Algún dato que usted tiene, como un código que recibe a

través de un mensaje de texto o una aplicación de
autenticación.
 Algún dato de reconocimiento personal, como un escaneo

de su huella digital, retina o rostro.
Con el sistema de autenticación de múltiples factores, a los estafadores que tienen

su nombre de usuario y contraseña les resulta más difícil acceder a sus cuentas.
4. Proteja sus datos haciendo copias de seguridad. Haga copias de

seguridad y asegúrese de que sus copias de seguridad no estén
conectadas con la red de su casa. Puede copiar los archivos de su
computadora en un disco externo o en un almacenamiento en la
nube. También haga copias de seguridad de los datos de su
teléfono.
20
QUÉ HACER SI SOSPECHA UN ATAQUE DE PHISHING
Si recibe un email o un mensaje de texto en el que le piden que haga clic en un

enlace o abra un archivo adjunto, respóndase esta pregunta: ¿Tengo una cuenta en esa
compañía o conozco a la persona que se comunicó conmigo?
Si la respuesta es no, podría ser una estafa de phishing. Vuelva a revisar las
recomendaciones de Cómo reconocer el phishing y busque signos de una estafa de
phishing. Si los encuentra, reporte el mensaje y luego elimínelo.
Si la respuesta es sí, comuníquese con la compañía llamando a un número de

teléfono o visitando un sitio web que le conste que es real. No use la información
contenida en el email. Los archivos adjuntos y los enlaces pueden instalar programas
maliciosos.
QUÉ HACER SI RESPONDIÓ A UN EMAIL DE TIPO PHISHING
Si piensa que un estafador tiene su información, como su número de Seguro

Social, tarjeta de crédito, o número de cuenta bancaria, vaya a RobodeIdentidad.gov. Ahí
podrá consultar los pasos específicos a seguir en base al tipo de información que perdió.
Si piensa que hizo clic en un enlace o abrió un archivo adjunto que le descargó un
programa dañino, actualice el programa de seguridad de su computadora. Luego active un
escaneo.
CÓMO REPORTAR EL PHISHING
Si recibió un email o mensaje de texto de tipo phishing, repórtelo. La información

que suministre puede ayudar a combatir a los estafadores.
 Paso 1. Si recibió un email phishing, reenvíelo a la Anti-Phishing Working

Group a reportphishing@apwg.org. Si recibió un mensaje de texto
phishing, reenvíelo a SPAM (7726).
21
 Paso 2. Reporte el ataque de phishing a la FTC en ftc.gov/queja.
3.3. LAS PRINCIPALES HERRAMIENTAS DE HACKING.
Nmap ("Network Mapper") es un código abierto y gratuito ( licencia) utilidad para

el descubrimiento de redes y la auditoría de seguridad. Muchos administradores de
sistemas y redes también lo encuentran útil para tareas como el inventario de la red, la
gestión de los programas de actualización del servicio y la supervisión del tiempo de
actividad del host o del servicio. Nmap utiliza paquetes de IP sin procesar de formas
novedosas para determinar qué hosts están disponibles en la red, qué servicios (nombre y
versión de la aplicación) ofrecen esos hosts, qué sistemas operativos (y versiones de SO)
están ejecutando, qué tipo de filtros de paquetes / firewalls están en uso y decenas de otras
características. Fue diseñado para escanear rápidamente redes grandes, pero funciona bien
contra hosts únicos. Nmap se ejecuta en todos los principales sistemas operativos de
computadoras, y los paquetes binarios oficiales están disponibles para Linux, Windows y
Mac OS X. Además del ejecutable clásico de línea de comandos Nmap,Zenmap ), una
herramienta de depuración, redirección y transferencia de datos flexible ( Ncat ), una
utilidad para comparar resultados de escaneo ( Ndiff ) y una herramienta de análisis de
respuesta y generación de paquetes ( Nping ).
Nmap fue nombrado "Producto de seguridad del año" por Linux Journal, Info
World, LinuxQuestions.Org y Codetalker Digest. Incluso apareció en doce películas,
incluidas Matrix Reloaded , Die Hard 4 , Girl With the Dragon Tattoo y The Bourne
Ultimatum .
NMAP ES ...
Flexible: admite docenas de técnicas avanzadas para trazar redes llenas de filtros
IP, cortafuegos, enrutadores y otros obstáculos. Esto incluye muchos mecanismos de
escaneo de puertos (tanto TCP como UDP), detección de SO, detección de versiones,
barridos de ping y más. Consulte la página de documentación.
Potente: Nmap se ha utilizado para escanear enormes redes de literalmente cientos

de miles de máquinas.
22
Portátil: la mayoría de los sistemas operativos son compatibles, incluidos Linux ,

Microsoft Windows , FreeBSD , OpenBSD , Solaris , IRIX , Mac OS X , HP-UX ,
NetBSD , Sun OS , Amiga y más.
Fácil: si bien Nmap ofrece un amplio conjunto de funciones avanzadas para

usuarios avanzados, puede comenzar tan simplemente como "nmap -v -A aimthost ".
Tanto la línea de comandos tradicional como las versiones gráficas (GUI) están disponibles
para adaptarse a sus preferencias. Los binarios están disponibles para aquellos que no
deseen compilar Nmap desde la fuente.
Gratis: El objetivo principal del Proyecto Nmap es ayudar a que Internet sea un
poco más seguro y proporcionar a los administradores / auditores / piratas informáticos una
herramienta avanzada para explorar sus redes. Nmap está disponible para descarga gratuita
y también viene con el código fuente completo que puede modificar y redistribuir según
los términos de la licencia.
Bien documentado: Se ha realizado un esfuerzo significativo en páginas de

manual completas y actualizadas, documentos técnicos, tutoriales e incluso un libro
completo. Encuéntrelos en varios idiomas aquí.
Compatible: si bien Nmap no tiene garantía, está bien respaldado por una vibrante
comunidad de desarrolladores y usuarios. La mayor parte de esta interacción ocurre en las
listas de correo de Nmap . La mayoría de los informes de errores y las preguntas deben
enviarse a la lista nmap-dev , pero solo después de leer las pautas . Recomendamos que
todos los usuarios se suscriban a la lista de anuncios de nmap-hackers de bajo tráfico.
También puede encontrar Nmap en Facebook y Twitter. Para chatear en tiempo real, únase
al canal #nmap en Freenode o EFNet .
Aclamado: Nmap ha ganado numerosos premios, incluido el "Producto de

seguridad de la información del año" por Linux Journal , Info World y Codetalker Digest.
Ha aparecido en cientos de artículos de revistas, varias películas, docenas de libros y una
serie de cómics. Visite la página de prensa para obtener más detalles.
23
Popular: Miles de personas descargan Nmap todos los días y está incluido en
muchos sistemas operativos (Redhat Linux, Debian Linux, Gentoo, FreeBSD, OpenBSD,
etc.). Se encuentra entre los diez mejores programas (de 30.000) en el repositorio
Freshmeat.Net. Esto es importante porque le da a Nmap su desarrollo vibrante y
comunidades de soporte al usuario.
Ejemplo 1. Un escaneo representativo de Nmap
Imagen 3
RESUMEN DE OPCIONES
Este resumen de opciones se imprime cuando Nmap se ejecuta sin argumentos, y la

última versión siempre está disponible en https://svn.nmap.org/nmap/docs/nmap.usage.txt .
Ayuda a las personas a recordar las opciones más comunes, pero no sustituye a la
documentación detallada del resto de este manual. Algunas opciones oscuras ni siquiera se
incluyen aquí.
Nmap 7.92SVN (https://nmap.org)
Uso: nmap [Tipo (s) de escaneo] [Opciones] {especificación de destino}

24
ESPECIFICACIÓN OBJETIVO:
Puede pasar nombres de host, direcciones IP, redes, etc.
Ej .: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL <inputfilename>: Entrada de la lista de hosts / redes
-iR <número de hosts>: elige objetivos aleatorios
--exclude <host1 [, host2] [, host3], ...>: excluye hosts / redes
--excludefile <exclude_file>: Excluir lista del archivo
DESCUBRIMIENTO DEL ANFITRIÓN:
-sL: Exploración de listas: simplemente enumere los objetivos para explorar
-sn: Ping Scan - deshabilita el escaneo de puertos
-Pn: tratar todos los hosts como en línea - omitir el descubrimiento de host
-PS / PA / PU / PY [lista de puertos]: descubrimiento de TCP SYN / ACK, UDP o

SCTP en puertos determinados
-PE / PP / PM: sondas de descubrimiento de solicitudes de eco, marca de tiempo y

máscara de red ICMP
-PO [lista de protocolos]: Ping de protocolo IP
-n / -R: No hacer nunca la resolución de DNS / Resolver siempre

[predeterminado: a veces]
--dns-servers <serv1 [, serv2], ...>: especifica servidores DNS personalizados
--system-dns: usa el sistema de resolución de DNS del sistema operativo
--traceroute: Traza la ruta de salto a cada host

25
TÉCNICAS DE ESCANEO:
-sS / sT / sA / sW / sM: TCP SYN / Connect () / ACK / Window / escaneos de

Maimon
-sU: Escaneo UDP
-sN / sF / sX: escaneos TCP Null, FIN y Xmas
--scanflags <flags>: Personaliza los indicadores de escaneo de TCP
-sI <host zombie [: probeport]>: escaneo inactivo
-sY / sZ: escaneos SCTP INIT / COOKIE-ECHO
-sO: escaneo del protocolo IP
-b <host de retransmisión FTP>: escaneo de rebote de FTP
ESPECIFICACIÓN DEL PUERTO Y ORDEN DE ESCANEO:
-p <rangos de puertos>: solo escanea los puertos especificados
Ej .: -p22; -p1-65535; -p U: 53,111,137, T: 21-25,80,139,8080, S: 9
--exclude-ports <rangos de puertos>: excluye los puertos especificados del

escaneo
-F: Modo rápido: escanea menos puertos que el escaneo predeterminado
-r: escanear puertos consecutivamente, no aleatorizar
--top-ports <número>: escanea <número> los puertos más comunes
--port-ratio <ratio>: escanear puertos más comunes que <ratio>
DETECCIÓN DE SERVICIO / VERSIÓN:

26
-sV: Sonda los puertos abiertos para determinar la información de servicio /

versión
--version-Intensity <nivel>: Ajuste de 0 (ligero) a 9 (pruebe todas las sondas)
--version-light: límite a las sondas más probables (intensidad 2)
--version-all: Pruebe cada una de las sondas (intensidad 9)
--version-trace: muestra la actividad de escaneo detallada de la versión (para

depuración)
ESCANEO DE GUIÓN:
-sC: equivalente a --script = predeterminado
--script = <Lua scripts>: <Lua scripts> es una lista separada por comas de
directorios, archivos de script o categorías de script
--script-args = <n1 = v1, [n2 = v2, ...]>: proporciona argumentos a los scripts
--script-args-file = nombre de archivo: proporciona argumentos de secuencia de

comandos NSE en un archivo
--script-trace: muestra todos los datos enviados y recibidos
--script-updatedb: actualiza la base de datos del script.
--script-help = <Lua scripts>: Muestra ayuda sobre los scripts.
<Lua scripts> es una lista separada por comas de archivos de script o
categorías de guiones.
DETECCIÓN DEL SO:
-O: habilita la detección del sistema operativo

27
--osscan-limit: limita la detección del sistema operativo a objetivos prometedores
--osscan-guess: Adivina el sistema operativo de forma más agresiva
TIEMPO Y RENDIMIENTO:
Las opciones que toman <tiempo> están en segundos, o agregan 'ms'

(milisegundos),
's' (segundos), 'm' (minutos) o 'h' (horas) al valor (por ejemplo, 30 m).
-T <0-5>: Establecer plantilla de tiempo (cuanto más alto, más rápido)
--min-hostgroup / max-hostgroup <tamaño>: tamaños de grupos de exploración de

host paralelo
--min-paralelism / max-paralelism <numprobes>: Paralelización de la sonda
--min-rtt-timeout / max-rtt-timeout / initial-rtt-timeout <time>: especifica
tiempo de ida y vuelta de la sonda.
--max-retries <intentos>: limita el número de retransmisiones de la sonda de

exploración de puertos.
--host-timeout <time>: Renunciar al objetivo después de este tiempo
--scan-delay / - max-scan-delay <time>: ajusta el retardo entre sondas
--min-rate <número>: envía paquetes no más lento que <número> por segundo
--max-rate <número>: envía paquetes no más rápido que <número> por segundo
EVASIÓN DE FIREWALL / IDS Y SPOOFING:
-F; --mtu <val>: paquetes de fragmentos (opcionalmente con MTU dado)
-D <señuelo1, señuelo2 [, ME], ...>: Oculta un escaneo con señuelos

28
-S <IP_Address>: dirección de origen falsa
-e <iface>: usa la interfaz especificada
-g / - source-port <portnum>: usa el número de puerto dado
--proxies <url1, [url2], ...>: conexiones de retransmisión a través de proxies HTTP

/ SOCKS4
--data <cadena hexadecimal>: agrega una carga útil personalizada a los paquetes
enviados
--data-string <cadena>: agrega una cadena ASCII personalizada a los paquetes

enviados
--data-length <num>: agrega datos aleatorios a los paquetes enviados
--ip-options <opciones>: envía paquetes con opciones de ip especificadas
--ttl <val>: establece el campo de tiempo de vida de IP
--spoof-mac <dirección mac / prefijo / nombre del proveedor>: falsifica su

dirección MAC
--badsum: envía paquetes con una suma de comprobación TCP / UDP / SCTP
falsa
PRODUCCIÓN:
-oN / -oX / -oS / -oG <archivo>: Escaneo de salida en normal, XML, s | <rIpt
kIddi3,
y formato Grepable, respectivamente, al nombre de archivo dado.
-oA <nombre base>: Salida en los tres formatos principales a la vez
-v: aumenta el nivel de verbosidad (usa -vv o más para un mayor efecto)
29
-d: aumenta el nivel de depuración (usa -dd o más para un mayor efecto)
--reason: muestra la razón por la que un puerto se encuentra en un estado

particular
--open: muestra solo los puertos abiertos (o posiblemente abiertos)
--packet-trace: muestra todos los paquetes enviados y recibidos
--iflist: Imprime interfaces y rutas del host (para depuración)
--append-output: anexa en lugar de clobber archivos de salida especificados
--resume <nombre de archivo>: reanuda un análisis abortado
--noninteractive: deshabilita las interacciones en tiempo de ejecución a través del

teclado
--stylesheet <ruta / URL>: hoja de estilo XSL para transformar la salida XML a
HTML
--webxml: hoja de estilo de referencia de Nmap.Org para XML más portátil
--no-stylesheet: Evita la asociación de la hoja de estilo XSL con salida XML
MISC:
-6: habilita el escaneo IPv6
-A: Habilite la detección del sistema operativo, la detección de versiones, el

escaneo de scripts y el rastreo de ruta
--datadir <dirname>: especifica la ubicación del archivo de datos Nmap

personalizado
--send-eth / - send-ip: Enviar usando tramas ethernet sin procesar o paquetes IP

30
--privileged: suponga que el usuario tiene todos los privilegios
--unprivileged: suponga que el usuario carece de privilegios de socket sin formato
-V: Número de versión impresa
-h: Imprime esta página de resumen de ayuda.
EJEMPLOS:
nmap -v -A scanme.nmap.org
nmap -v -sn 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -Pn -p 80
Especificación de destino
Todo en la línea de comandos de Nmap que no sea una opción (o argumento de

opción) se trata como una especificación de host de destino. El caso más simple es
especificar una dirección IP de destino o un nombre de host para escanear.
Cuando se da un nombre de host como destino, se resuelve a través del Sistema de

nombres de dominio (DNS) para determinar la dirección IP a escanear. Si el nombre se
resuelve en más de una dirección IP, solo se escaneará la primera. Para hacer que Nmap
escanee todas las direcciones resueltas en lugar de solo la primera, use la --resolve-
allopción.
A veces, desea escanear una red completa de hosts adyacentes. Para ello, Nmap
admite el estilo CIDRdireccionamiento. Puede agregar una dirección IP o nombre de host y
Nmap escaneará cada dirección IP para la que la primera sea la misma que la IP de
referencia o el nombre de host proporcionado. Por ejemplo, escanearía los 256 hosts entre
192.168.10.0 (binario :) y 192.168.10.255 (binario:) , inclusive. escanearía exactamente los
mismos objetivos. Dado que el host
scanme.nmap.org/<numbits><numbits>192.168.10.0/2411000000 10101000 00001010
0000000011000000 10101000 00001010 11111111192.168.10.40/24 está en la dirección
31
IP 64.13.134.52, la especificación scanme.nmap.org/16escanearía las 65.536 direcciones

IP entre 64.13.0.0 y 64.13.255.255. El valor más pequeño permitido es /0, que se dirige a
todo Internet. El valor más grande para IPv4 es /32, que escanea solo el host nombrado o la
dirección IP porque todos los bits de dirección son fijos. El valor más grande para IPv6 es /
128, que hace lo mismo.
La notación CIDR es corta pero no siempre lo suficientemente flexible. Por

ejemplo, es posible que desee escanear 192.168.0.0/16 pero omitir las direcciones IP que
terminen en .0 o .255 porque pueden usarse como red de subred y direcciones de
transmisión. Nmap admite esto a través del direccionamiento de rango de octetos. En lugar
de especificar una dirección IP normal, puede especificar una lista de números o rangos
separados por comas para cada octeto. Por ejemplo, 192.168.0-255.1-254omitirá todas las
direcciones en el rango que terminan en .0 o .255 y 192.168.3-5,7.1escaneará las cuatro
direcciones 192.168.3.1, 192.168.4.1, 192.168.5.1 y 192.168.7.1. Se puede omitir cualquier
lado de un rango; los valores predeterminados son 0 a la izquierda y 255 a la derecha. Usar
-solo es lo mismo que 0-255, pero recuerde usar 0-en el primer octeto para que la
especificación de destino no parezca una opción de línea de comandos. No es necesario
que los rangos se limiten a los octetos finales: el especificador 0-255.0-255.13.37realizará
un escaneo en Internet para todas las direcciones IP que terminen en 13.37. Este tipo de
muestreo amplio puede resultar útil para encuestas e investigaciones en Internet.
Las direcciones IPv6 se pueden especificar por su dirección IPv6 completa o

nombre de host o con notación CIDR para subredes. Los rangos de octetos aún no son
compatibles con IPv6.
Las direcciones IPv6 con alcance no global deben tener un sufijo de ID de zona. En
los sistemas Unix, este es un signo de porcentaje seguido de un nombre de interfaz; una
dirección completa podría ser fe80::a8bb:ccff:fedd:eeff%eth0. En Windows, utilice un
número de índice de interfaz en lugar de un nombre de interfaz: fe80::a8bb:ccff:fedd:eeff
%1. Puede ver una lista de índices de interfaz ejecutando el comando netsh.exe interface
ipv6 show interface .
32
Nmap acepta múltiples especificaciones de host en la línea de comandos y no es

necesario que sean del mismo tipo. El comando nmap scanme.nmap.org 192.168.0.0/8
10.0.0,1,3-7.- hace lo que usted esperaría.
Si bien los objetivos generalmente se especifican en las líneas de comando, las

siguientes opciones también están disponibles para controlar la selección de objetivos:
-iL <inputfilename> (Entrada de la lista)
Lee las especificaciones de destino de <inputfilename>. Pasar una gran lista de

hosts a menudo es incómodo en la línea de comandos, sin embargo, es un deseo común.
Por ejemplo, su servidor DHCP puede exportar una lista de 10,000 concesiones actuales
que desea escanear. O tal vez desee escanear todas las direcciones IP excepto aquellas para
localizar hosts que utilizan direcciones IP estáticas no autorizadas. Simplemente genere la
lista de hosts para escanear y pase ese nombre de archivo a Nmap como argumento al-
iLopción. Las entradas pueden estar en cualquiera de los formatos aceptados por Nmap en
la línea de comando (dirección IP, nombre de host, CIDR, IPv6 o rangos de octetos). Cada
entrada debe estar separada por uno o más espacios, tabulaciones o líneas nuevas. Puede
especificar un guión ( -) como nombre de archivo si desea que Nmap lea hosts de la
entrada estándar en lugar de un archivo real.
El archivo de entrada puede contener comentarios que comienzan con #y se

extienden hasta el final de la línea.
-iR <num hosts> (Elija objetivos aleatorios)
Para encuestas en Internet y otras investigaciones, es posible que desee elegir

objetivos al azar. El <num hosts>argumento le dice a Nmap cuántas direcciones IP
generar. Las direcciones IP no deseadas, como las que se encuentran en ciertos rangos de
direcciones privadas, multidifusión o no asignadas, se omiten automáticamente. El
argumento 0 se puede especificar para un escaneo interminable. Tenga en cuenta que
algunos administradores de red se enfurecen con los escaneos no autorizados de sus redes y
pueden quejarse. ¡Utilice esta opción bajo su propio riesgo! Si se encuentra realmente
33
aburrido una tarde lluviosa, pruebe el comando nmap -Pn -sS -p 80 -iR 0 --open para
localizar servidores web aleatorios para navegar.
--exclude <host1>[,<host2>[,...]] (Excluir hosts / redes)
Especifica una lista de objetivos separados por comas que se excluirán del análisis
incluso si forman parte del rango de red general que especifique. La lista que ingresa
utiliza la sintaxis normal de Nmap, por lo que puede incluir nombres de host, bloques de
red CIDR, rangos de octetos, etc. Esto puede ser útil cuando la red que desea escanear
incluye servidores de misión crítica intocables, sistemas que se sabe que reaccionan de
manera adversa escaneos de puertos o subredes administradas por otras personas.
--excludefile <exclude_file> (Excluir lista del archivo)
Esto ofrece la misma funcionalidad que la --exclude opción, excepto que los
destinos excluidos se proporcionan en una nueva línea, espacio o delimitados por
tabulaciones en <exclude_file>lugar de en la línea de comando.
El archivo de exclusión puede contener comentarios que comienzan con #y se

extienden hasta el final de la línea.
DESCUBRIMIENTO DE HOST
Uno de los primeros pasos en cualquier misión de reconocimiento de red es reducir

un conjunto (a veces enorme) de rangos de IP en una lista de hosts activos o interesantes.
Escanear todos los puertos de cada dirección IP es lento y generalmente innecesario. Por
supuesto, lo que hace que un anfitrión sea interesante depende en gran medida de los
propósitos del escaneo. Los administradores de red solo pueden estar interesados en los
hosts que ejecutan un determinado servicio, mientras que los auditores de seguridad
pueden preocuparse por cada dispositivo con una dirección IP. Un administrador puede
sentirse cómodo usando solo un ping ICMP para ubicar hosts en su red interna, mientras
que un probador de penetración externo puede usar un conjunto diverso de docenas de
sondas en un intento de evadir las restricciones del firewall.
34
Debido a que las necesidades de descubrimiento de hosts son tan diversas, Nmap
ofrece una amplia variedad de opciones para personalizar las técnicas utilizadas. El
descubrimiento de host a veces se denomina escaneo de ping, pero va mucho más allá de
los simples paquetes de solicitud de eco ICMP asociados con la herramienta de ping
ubicua. Los usuarios pueden omitir el paso de descubrimiento por completo con un
escaneo de lista ( -sL) o deshabilitando el descubrimiento de host (-Pn), o conectar la red
con combinaciones arbitrarias de sondas TCP SYN / ACK, UDP, SCTP INIT e ICMP
multipuerto. El objetivo de estas sondas es solicitar respuestas que demuestren que una
dirección IP está realmente activa (está siendo utilizada por un host o dispositivo de red).
En muchas redes, solo un pequeño porcentaje de direcciones IP están activas en un
momento dado. Esto es particularmente común con espacios de direcciones privados como
10.0.0.0/8. Esa red tiene 16 millones de IP, pero la he visto utilizada por empresas con
menos de mil máquinas. El descubrimiento de host puede encontrar esas máquinas en un
mar escasamente asignado de direcciones IP.
Si no se proporcionan opciones de detección de host, Nmap envía una solicitud de

eco ICMP, un paquete TCP SYN al puerto 443, un paquete TCP ACK al puerto 80 y una
solicitud de marca de tiempo ICMP. (Para IPv6, la solicitud de marca de tiempo ICMP se
omite porque no forma parte de ICMPv6). Estos valores predeterminados son equivalentes
a las -PE -PS443 -PA80 -PPopciones. Las excepciones a esto son el ARP (para IPv4) y
descubrimiento de vecinos (para IPv6) exploraciones que se utilizan para cualquier
objetivo en una red Ethernet local. Para los usuarios de shell de Unix sin privilegios, las
sondas predeterminadas son un paquete SYN a los puertos 80 y 443 mediante la
connectllamada al sistema. Este descubrimiento de host suele ser suficiente cuando se
escanean redes locales, pero se recomienda un conjunto más completo de sondas de
descubrimiento para la auditoría de seguridad.
GUÌA DE INSTALACIÒN
INTRODUCCIÓN
Nmap a menudo se puede instalar o actualizar con un solo comando, así que no
permita que la extensión de este capítulo lo asuste. La mayoría de los lectores utilizarán la
35
tabla de contenido para pasar directamente a las secciones que les conciernen. Este capítulo
describe cómo instalar Nmap en muchas plataformas, incluyendo tanto la compilación del
código fuente como los métodos de instalación binaria. Se describen y contrastan las
versiones gráficas y de línea de comandos de Nmap. También se proporcionan
instrucciones de eliminación de Nmap en caso de que cambie de opinión.
PROBANDO SI NMAP YA ESTÁ INSTALADO
El primer paso para obtener Nmap es verificar si ya lo tiene. Muchas distribuciones

gratuitas de sistemas operativos (incluida la mayoría de los sistemas Linux y BSD) vienen
con paquetes Nmap, aunque es posible que no estén instalados de forma predeterminada.
En sistemas Unix, abra una ventana de terminal e intente ejecutar el comando nmap--
version . Si Nmap existe y está en tu PATH, debería ver un resultado similar al del
Ejemplo 2
Ejemplo 2. Comprobando Nmap y determinando su número de versión
felix ~> nmap --version
Nmap versión 4.76 (https://nmap.org)
felix ~>
Si Nmap no existe en el sistema (o si PATHestá configurado incorrectamente),

nmap: Command not foundse informa un mensaje de error como . Como muestra el
ejemplo anterior, Nmap responde al comando imprimiendo su número de versión (aquí
4.76).
Incluso si su sistema ya tiene una copia de Nmap, debería considerar actualizar a la

última versión disponible en https://nmap.org/download.html . Las versiones más nuevas a
menudo se ejecutan más rápido, corrigen errores importantes y cuentan con un sistema
operativo actualizado y bases de datos de detección de versiones de servicio. Puede
encontrar una lista de cambios desde la versión que ya está en su sistema en
https://nmap.org/changelog.html . Los ejemplos de salida de Nmap en este documento
pueden no coincidir con la salida producida por versiones anteriores.
36
INTERFACES GRÁFICAS Y DE LÍNEA DE COMANDOS
Nmap ha sido tradicionalmente una herramienta de línea de comandos que se

ejecuta desde un shell de Unix o (más recientemente) el símbolo del sistema de Windows.
Esto permite a los expertos ejecutar rápidamente un comando que hace exactamente lo que
quieren sin tener que maniobrar a través de un montón de paneles de configuración y
campos de opciones dispersos. Esto también hace que Nmap sea más fácil de escribir y
permite compartir fácilmente comandos útiles entre la comunidad de usuarios.
Una desventaja del enfoque de la línea de comandos es que puede resultar

intimidante para los usuarios nuevos y poco frecuentes. Nmap ofrece más de cien opciones
de línea de comandos, aunque muchas son funciones oscuras o controles de depuración que
la mayoría de los usuarios pueden ignorar. Se han creado muchas interfaces gráficas para
aquellos usuarios que prefieren una interfaz GUI. Nmap ha incluido tradicionalmente una
GUI simple para Unix llamada NmapFE, pero que fue reemplazado en 2007 por Zenmap,
que hemos estado desarrollando desde 2005. Zenmap es mucho más poderoso y efectivo
que NmapFE, particularmente en la visualización de resultados. La interfaz basada en
pestañas de Zenmap le permite buscar y ordenar los resultados, y también explorarlos de
varias formas (detalles del host, salida sin procesar de Nmap y puertos / hosts). Funciona
en Linux, Windows, Mac OS X y otras plataformas. Zenmap se trata en profundidad en el
Capítulo 12, Guía del usuario de la GUI de Zenmap . El resto de este libro se centra en las
invocaciones de Nmap en la línea de comandos. Una vez que comprenda cómo funcionan
las opciones de la línea de comandos y pueda interpretar la salida, usar Zenmap u otras
GUI de Nmap disponibles es fácil. Las opciones de Nmap funcionan de la misma manera,
ya sea que las elija desde los botones de opción y menús o las escriba en una línea de
comandos.
Descargando Nmap
Nmap.Org es la fuente oficial para descargar código fuente y binarios de Nmap

para Nmap y Zenmap. El código fuente se distribuye en archivos tar comprimidos bzip2 y
gzip, y hay binarios disponibles para Linux (formato RPM), Windows (instalador
37
ejecutable NSIS) y Mac OS X ( .dmgimagen de disco). Encuentre todo esto en

https://nmap.org/download.html .
Verificación de la integridad de las descargas de Nmap
A menudo vale la pena ser paranoico acerca de la integridad de los archivos

descargados de Internet. Paquetes populares como Sendmail ( ejemplo ), OpenSSH
( ejemplo ), tcpdump, Libpcap, BitchX, Fragrouter y muchos otros han sido infectados con
troyanos maliciosos. Los sitios de distribución de software de la Free Software Foundation,
Debian y SourceForge también se han visto comprometidos con éxito. Esto nunca le ha
sucedido a Nmap, pero siempre hay que tener cuidado. Para verificar la autenticidad de una
publicación de Nmap, consulte las firmas separadas de PGP o los hash criptográficos
(incluidos SHA1 y MD5) publicados para la publicación en el directorio de firmas de
Nmap en https://nmap.org/dist/sigs/?C=M&O= D .
El mecanismo de verificación más seguro es PGP independiente firmas. Como la

clave de firma nunca se almacena en servidores de producción, incluso alguien que
comprometa con éxito el servidor web no podría falsificar y firmar correctamente una
versión de troyano. Si bien numerosas aplicaciones pueden verificar firmas PGP,
recomiendo GNU Privacy Guard (GPG) .
Los lanzamientos de Nmap se firman con una clave especial de firma de proyectos
de Nmap, que se puede obtener de los principales servidores de claves o
https://svn.nmap.org/nmap/docs/nmap_gpgkeys.txt . Mi clave también está incluida en ese
archivo. Las claves se pueden importar con el comando gpg --import nmap_gpgkeys.txt .
Solo necesita hacer esto una vez, luego puede verificar todas las versiones futuras de Nmap
desde esa máquina. Antes de confiar en las claves, verifique que las huellas digitales
coincidan con los valores que se muestran en el Ejemplo 2.2 .
Ejemplo 2.2. Verificación de las huellas dactilares de la clave PGP de Nmap y

Fyodor
azotar ~> gpg --fingerprint nmap fyodor

38
pub 1024D / 33599B5F 2005-04-24
Huella digital de la llave = BB61 D057 C0D7 DCEF E730 996C 1AF6 EC50 3359
9B5F
uid Fyodor <fyodor@insecure.org>
sub 2048g / D3C2241C 2005-04-24
pub 1024D / 6B9355D0 2005-04-24
Huella digital de la llave = 436D 66AB 9A79 8425 FDA0 E3F8 01AF
9F03 6B93 55D0
uid Clave de firma del proyecto Nmap (http://insecure.org/)
sub 2048g / A50A6A94 2005-04-24
Para cada archivo de descarga de paquete de Nmap (por ejemplo, nmap-

4.76.tar.bz2y nmap-4.76-win32.zip), hay un archivo correspondiente en el sigsdirectorio
con un .ascapéndice al nombre (por ejemplo nmap-4.76.tar.bz2.asc). Este es el archivo de
firma separado.
Con la clave PGP adecuada en su llavero y el archivo de firma separado

descargado, la verificación de una versión de Nmap requiere un solo comando GPG, como
se muestra en el Ejemplo 2.3 . Ese ejemplo asume que el archivo verificado se puede
encontrar en el mismo directorio simplemente eliminando “ .asc ” del nombre del archivo
de firma. Cuando ese no sea el caso, simplemente pase el nombre del archivo de destino
como argumento final a GPG. Si el archivo ha sido manipulado, los resultados se verán
como en el ejemplo 2.4 .
Ejemplo 2.3. Verificación de huellas digitales de la clave PGP (correcto)
azotar> gpg --verify nmap-4.76.tar.bz2.asc

39
gpg: Firma realizada el viernes 12 de septiembre de 2008 a las 02:03:59 a.m. PDT
con el ID de clave DSA 6B9355D0
gpg: Buena firma de "Nmap Project Signing Key (http://www.insecure.org/)"
Ejemplo 2.4. Detectando un archivo falso
azotar> gpg --verify nmap-4.76.tar.bz2.asc nmap-4.76-hacked.tar.bz2
gpg: Firma realizada el viernes 12 de septiembre de 2008 a las 02:03:59 a.m. PDT
con el ID de clave DSA 6B9355D0
gpg: firma MALA de "Nmap Project Signing Key (http://www.insecure.org/)"
Si bien las firmas PGP son la técnica de validación recomendada, los hash SHA2,
SHA1 y MD5 (entre otros) están disponibles para una validación más informal. Un
atacante que pueda manipular su tráfico de Internet en tiempo real (y sea extremadamente
hábil) o que comprometa Nmap.Org y reemplace tanto el archivo de distribución como el
archivo de resumen, podría vencer esta prueba. Sin embargo, puede ser útil verificar los
hash autorizados de Nmap.Org si obtiene Nmap de un tercero o cree que podría haber sido
dañado accidentalmente. Para cada archivo de descarga de paquete de Nmap, hay un
archivo correspondiente en el sigsdirectorio que se .digest.txtadjunta al nombre (por
ejemplo nmap-4.76.tar.bz2.digest.txt). En el ejemplo 2.5 se muestra un ejemplo. Este es el
archivo de firma separado. Los hash del archivo de resumen se pueden verificar utilizando
herramientas comunes como gpg , sha1sum o md5sum, como se muestra en el Ejemplo
2.6, “Verificación de hashes de Nmap” .
Ejemplo 2.5. Un archivo de resumen de versión típico de Nmap
azotar> cat sigs/nmap-4.76.tgz.digest.txt
nmap-4.76.tgz: MD5 = 54 B5 C9 E3 F4 4C 1A DD E1 7D F6 81 70 EB 7C FE
nmap-4.76.tgz: SHA1 = 4374 CF9C A882 2C28 5DE9 D00E 8F67 06D0 BCFA
A403
40
nmap-4.76.tgz: RMD160 = AE7B 80EF 4CE6 DBAA 6E65 76F9 CA38 4A22
3B89 BD3A
nmap-4.76.tgz: SHA224 = 524D479E 717D98D0 2FB0A42B 9A4E6E52

4027C9B6 1D843F95
D419F87F
nmap-4.76.tgz: SHA256 = 0E960E05 53EB7647 0C8517A0 038092A3 969DB65C

BE23C03F
D6DAEF1A CDCC9658
nmap-4.76.tgz: SHA384 = D52917FD 9EE6EE62 F5F456BF E245675D

B6EEEBC5 0A287B27
3CAA4F50 B171DC23 FE7808A8 C5E3A49A 4A78ACBE

A5AEED33
nmap-4.76.tgz: SHA512 = 826CD89F 7930A765 C9FE9B41 1DAFD113

2C883857 2A3A9503
E4C1E690 20A37FC8 37564DC3 45FF0C97 EF45ABE6

6CEA49FF
E262B403 A52F4ECE C23333A0 48DEDA66
Ejemplo 2.6. Verificación de hashes de Nmap
azotar> gpg --print-md sha256 nmap-4.76.tgz
nmap-4.76.tgz: 0E960E05 53EB7647 0C8517A0 038092A3 969DB65C

BE23C03F D6DAEF1A
CDCC9658
azotar> sha1sum nmap-4.76.tgz

41
4374cf9ca8822c285de9d00e8f6706d0bcfaa403 nmap-4.76.tgz
azotar> md5sum nmap-4.76.tgz
54b5c9e3f44c1adde17df68170eb7cfe nmap-4.76.tgz
Si bien las versiones de Nmap.Org se firman como se describe en esta sección,

ciertos complementos, interfaces y binarios específicos de la plataforma de Nmap son
desarrollados y distribuidos por otras partes. Disponen de diferentes mecanismos para
establecer la autenticidad de sus descargas.
Obtención de Nmap del repositorio de Subversion (SVN)
Además de las versiones estables y de desarrollo regulares, el último código fuente

de Nmap siempre está disponible usando el sistema de control de revisión de Subversion
(SVN) . Esto ofrece nuevas funciones y actualizaciones de la base de datos de detección de
versiones / SO inmediatamente a medida que se desarrollan. La desventaja es que las
revisiones principales de SVN no siempre son tan estables como los lanzamientos
oficiales. Por lo tanto, SVN es más útil para los desarrolladores y usuarios de Nmap que
necesitan una solución que aún no se ha lanzado formalmente.
El acceso de escritura de SVN está estrictamente limitado a los principales

desarrolladores de Nmap, pero todos tienen acceso de lectura al repositorio. Consulte el
código más reciente con el comando svn co https://svn.nmap.org/nmap . Luego, puede
actualizar más tarde su código fuente escribiendo svn up en su directorio de trabajo.
Aunque la mayoría de los usuarios sólo siguen el /nmap directorio en el SVN, hay
otro directorio interesante: /nmap-exp. Este directorio contiene ramas experimentales de
Nmap que los desarrolladores de Nmap crean cuando desean probar cosas nuevas sin
desestabilizar Nmap propiamente dicho. Cuando los desarrolladores sienten que una rama
experimental está lista para pruebas a mayor escala, generalmente enviarán la ubicación
por correo electrónico a la lista de correo nmap-dev .
Una vez que se comprueba Nmap, puede compilarlo a partir del código fuente tal
como lo haría con el tarball de Nmap (descrito más adelante en este capítulo).
42
Si desea recibir notificaciones en tiempo real (o digeridas) y obtener diferencias por

correo electrónico cuando se realicen cambios en Nmap, regístrese en la lista de correo
nmap-svn en https://nmap.org/mailman/listinfo/svn .
3.4. ¿Què es Nessus?
Nessus es la solución de evaluación de vulnerabilidades estándar de la industria de

facto para profesionales de la seguridad. La inteligencia más reciente, actualizaciones
rápidas, una interfaz fácil de usar.
 Cubre más de 58.000 vulnerabilidades líderes en la industria
 Escaneos ilimitados sin costo adicional
 Cumple con PCI, HIPAA, GLBA, CIS, NIST y más
Fácil de usar
La creación de políticas es simple y solo requiere unos pocos clics para escanear
una red corporativa completa.
Visibilidad precisa en sus redes
Nessus identifica las vulnerabilidades que necesitan atención con un escaneo

preciso y de alta velocidad y un mínimo de falsos positivos.
La detección avanzada significa más protección
Más de 58.000 CVE, la mayor cantidad de la industria. Nessus analiza más

tecnologías y descubre más vulnerabilidades que las soluciones de la competencia.
Los complementos brindan protección oportuna
Los investigadores de Tenable aprovechan amplias fuentes de información,

proporcionando complementos que brindan protección oportuna contra las últimas
amenazas.
43
Rentable para empresas de cualquier tamaño
Rentable para cualquier consultor o equipo, Nessus proporciona un escaneo

completo de vulnerabilidades con evaluaciones ilimitadas por un precio bajo.
Adapte el crecimiento y la escala de forma segura
Migra fácilmente a Tenable.io u otras soluciones de Tenable a medida que

aumentan tus necesidades de gestión de vulnerabilidades.
Construido por practicantes
La forma rápida y sencilla de encontrar vulnerabilidades antes que los atacantes.
 Los 10 principales informes
Comprenda rápidamente y comunique fácilmente las 10 vulnerabilidades más

importantes, críticas y más frecuentes, todas encontradas en un análisis. Estos 10 informes
principales utilizan la clasificación de prioridad de vulnerabilidad de Tenable para
comprender qué vulnerabilidades representan el mayor riesgo.
 Principales amenazas de VPR
Cree una lista de las principales amenazas de su análisis, basada en VPR.

Proporcione recomendaciones sobre qué vulnerabilidades representan el mayor riesgo para
enfocar sus esfuerzos de remediación.
 Políticas y plantillas prediseñadas
Se incluyen plantillas preconfiguradas listas para usar para una variedad de activos
móviles y de TI, desde auditorías de configuración hasta la efectividad de la administración
de parches, para ayudarlo a comprender rápidamente dónde tiene vulnerabilidades. Nessus
incluye más de 450 plantillas de configuración y cumplimiento para auditar el
44
cumplimiento de la configuración con los puntos de referencia de CIS y otras mejores

prácticas.
 Informes personalizables
Cree fácilmente informes basados en vistas personalizadas, incluidos tipos de

vulnerabilidad específicos, vulnerabilidades por host o por complemento. Cree informes en
una variedad de formatos (HTML, csv y .nessus XML) y personalice fácilmente los
informes por equipo o cliente, que se pueden enviar por correo electrónico con cada
escaneo.
 Resultados en vivo
Live Results realiza automáticamente una evaluación de vulnerabilidades fuera de

línea con cada actualización de complemento, mostrándole dónde puede tener
vulnerabilidades en función de su historial de análisis. Desde aquí, puede ejecutar
fácilmente un análisis para validar la presencia de la vulnerabilidad, lo que acelera la
detección precisa y la priorización de problemas.
 Vista agrupada
Los problemas o categorías de vulnerabilidades similares se agrupan y se presentan

en un solo hilo, lo que simplifica el tiempo para investigar y priorizar los problemas para
solucionarlos. Posponer le permite seleccionar problemas específicos para que
desaparezcan de la vista durante un período de tiempo específico. Así que solo te
concentras en los temas que importan en ese momento.
3.5. ¿Qué es Wireshark?
Wireshark es el analizador de protocolos de red más importante y más utilizado del

mundo. Le permite ver lo que está sucediendo en su red a un nivel microscópico y es el
estándar de facto (y a menudo de jure) en muchas empresas comerciales y sin fines de
lucro, agencias gubernamentales e instituciones educativas. El desarrollo de Wireshark
45
prospera gracias a las contribuciones voluntarias de expertos en redes de todo el mundo y

es la continuación de un proyecto iniciado por Gerald Combs en 1998.
Wireshark tiene un rico conjunto de funciones que incluye lo siguiente:
Inspección profunda de cientos de protocolos, y se agregan más todo el tiempo.
Captura en vivo y análisis fuera de línea
Navegador de paquetes estándar de tres paneles
Multiplataforma: se ejecuta en Windows, Linux, macOS, Solaris, FreeBSD,

NetBSD y muchos otros
Los datos de red capturados se pueden navegar a través de una GUI o mediante la
utilidad TShark en modo TTY
Los filtros de pantalla más potentes de la industria
Análisis completo de VoIP
Leer / escribir muchos formatos de archivo de captura diferentes: tcpdump

(libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network
Monitor, Network General Sniffer® (comprimido y sin comprimir), Sniffer® Pro y
NetXray®, Network Instruments Observer , NetScreen snoop, Novell LANalyzer,
RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual
Networks Visual UpTime, WildPackets EtherPeek / TokenPeek / AiroPeek y muchos otros
Los archivos de captura comprimidos con gzip se pueden descomprimir sobre la

marcha
Los datos en vivo se pueden leer desde Ethernet, IEEE 802.11, PPP / HDLC, ATM,
Bluetooth, USB, Token Ring, Frame Relay, FDDI y otros (según su plataforma)
Soporte de descifrado para muchos protocolos, incluidos IPsec, ISAKMP,

Kerberos, SNMPv3, SSL / TLS, WEP y WPA / WPA2
46
Las reglas de coloración se pueden aplicar a la lista de paquetes para un análisis

rápido e intuitivo
La salida se puede exportar a XML, PostScript®, CSV o texto sin formato.
Cómo usar Wireshark para capturar, filtrar y analizar paquetes
Este tutorial de Wireshark te ayudará a actualizar los conceptos básicos para

capturar paquetes, filtrarlos e inspeccionarlos. Puedes usar Wireshark para analizar el
tráfico de red de un programa sospechoso, analizar el flujo de tráfico en tu red o solucionar
problemas de red.
Wireshark, es una herramienta de análisis paquetes de red, que captura los paquetes
en tiempo real y los visualiza en formato legible. Wireshark incluye filtros, codificación de
colores y otras características que te permiten profundizar en el tráfico de red e
inspeccionar paquetes individualmente.
Descargar Wireshark
Puede descargar Wireshark para Windows o Mac OS X desde su sitio web

oficial. Escoge según el sistema operativo que uses
Imagen 4
47
Si está utilizando Linux u otro sistema similar a UNIX, probablemente encontrarás

Wireshark en sus repositorios de paquetes. Por ejemplo, si está utilizando Ubuntu,
encontrarás Wireshark en el Centro del software de Ubuntu.
Imagen 5
Sólo una advertencia rápida: Muchas organizaciones no permiten Analyzer

Wireshark y herramientas similares en sus redes. No utilice esta herramienta en el trabajo a
menos que tengas permiso.
Cómo usar Wireshark para capturar paquetes
Después de descargar e instalar Wireshark, puedes iniciarlo y hacer clic en el

nombre de una interfaz, en Lista de interfaces, para comenzar a capturar paquetes en esa
interfaz. Por ejemplo, si deseas capturar el tráfico en la red inalámbrica, haz doble clic en
la interfaz Conexión de red inalámbrica.
48
Imagen 6
Tan pronto como hagas clic en el nombre de la interfaz, verás que los paquetes
empiezan a aparecer en tiempo real. Wireshark captura cada paquete enviado hacia o desde
tu sistema. Si estás haciendo capturas en una interfaz inalámbrica y tienes el modo
promiscuo activado en sus opciones de captura(el cual esta habilitado por defecto),
también verá los paquetes de los otros paquetes de la red.
49
Imagen 7
Haz clic en el botón detener captura (Boton Rojo cuadrado #2) cerca de la esquina
superior izquierda de la ventana cuando desees detener la captura de tráfico.
Imagen 8
Dejamos una pequeña guía de los controles de Wireshark, enumerando desde abajo
hacia arriba del 1 al 15.
50
Imagen 9
Codificación de color en Wireshark
Probablemente verá paquetes resaltados en verde, azul y negro. Wireshark utiliza

colores para ayudarle a identificar los tipos de tráfico de un vistazo. De forma
predeterminada, el verde es el tráfico TCP, el azul es el tráfico DNS, el azul claro es el
tráfico UDP y el negro identifica los paquetes TCP con problemas; por ejemplo, podrían
haber sido entregados dañados.
51
Imagen 10
Para ver exactamente lo que significan los códigos de color, haga clic en View>
Coloring rules. También puede personalizar y modificar las reglas de coloración de aquí, si
lo desea(solo debe hacer doble clic sobre alguno de ellos y escoge el color que quiera).
Imagen 11
52
Capturas de ejemplo
Luego de que haya presionado el botón Detener captura usted puede guardar esa
captura para examinarla posteriormente, presionando Ctrl+Shift+S, o simplemente vaya
ha File>Save as , y coloca un nombre de su preferencia, como por ejemplo
PrimeraCaptura. Luego presiona Guardar.
Si no hay nada interesante en tu propia red para inspeccionar, Wireshark te tiene la

solución. La página web de Wireshark contiene una página de archivos de captura de
ejemplo que puede cargar e inspeccionar.
Imagen 12
Abrir un archivo de captura es fácil; Simplemente, después de que tengas guardado

cualquier paquete, cierre wireshark y vuélvalo a abrir, aparecerá de inmediato el paquete
que capturo anteriormente, haz doble clic en el archivo y este se abrirá en la pantalla
principal de Wireshark automáticamente, sino también puedes desde el menú de Wireshark
File -> Open. También puedes guardar tus propias capturas en Wireshark y abrirlas más
tarde.
53
Cómo usar Wireshark para filtrar paquetes
Si está intentando inspeccionar algo específico, como el tráfico que envía un

programa al llamar a casa, ayude a cerrar todas las demás aplicaciones que utilizan la red
para reducir el tráfico. Sin embargo, es probable que tenga una gran cantidad de paquetes
para filtrar. Ahí es donde entran los filtros de Wireshark.
La forma más básica de aplicar un filtro es escribiéndola en el cuadro de filtro en la

parte superior de la ventana y haciendo clic en Aplicar (o presionando Enter). Por ejemplo,
escriba dns y verá sólo paquetes DNS. Cuando comience a escribir, Wireshark te ayudará a
completar tu filtro automáticamente, luego también puedes darle clic en la flecha azul de la
imagen de abajo para enfocarte en lo que buscas.
Imagen 13
54
CAPITULO IV
4.1 LA APLICACIÓN DE TÉCNICAS DE MACHINE LEARNING AL

HACKING
La creciente demanda tecnológica experimentada en las últimas décadas ha

favorecido el desarrollo de la disciplina científica del aprendizaje automático o aprendizaje
de máquinas (del inglés “Machine Learning”), que es usado en ámbitos tan diversos como
los motores de búsqueda, el diagnóstico médico, el análisis de mercado o la robótica.
El Machine Learning es una rama de la inteligencia artificial cuyo objetivo es

desarrollar técnicas que permitan a las computadoras aprender, y generalizar
comportamientos a partir de una información suministrada en forma de ejemplos.
Concretamente puede ser usada en seguridad informática para la detección de

amenazas avanzadas, y presentan la ventaja de poder identificar ataques nunca vistos,
dónde los sistemas tradicionales fallan al basar la detección únicamente en firmas o
patrones conocidos.
4.2 OBJETIVOS DE TÉCNICAS DE MACHINE LEARNING AL HACKING
• Exponer la utilidad del aprendizaje automático, y particularmente su

aplicación a la seguridad.
• Estudiar herramientas de aprendizaje automático.
• Comparar la precisión de diferentes algoritmos para un caso particular.
• Realizar un tratamiento de los datos con el fin de optimizar el proceso de
aprendizaje.
• Optimizar los parámetros de entrenamiento y del modelo para conseguir la
máxima precisión.
• Obtener un script que permita realizar todo el proceso automáticamente con
los mejores resultados posibles.
55
4.3 RECURSOS DE SOFTWARE
En cuanto al Software instalado en el equipo, se destaca el sistema operativo Linux

(Ubuntu 17.10 artful) con GNOME 3.26.1, con python 2.7 y java 1.8, sobre los cuales se
han instalado las herramientas específicas para tratamiento de datos y Machine Learning
que se exponen a continuación.
4.3.1 SCIKIT-LEARN
Scikit-learn (anteriormente scikits.learn) es una biblioteca de aprendizaje de

máquinas de software libre para el lenguaje de programación Python. Cuenta con varios
algoritmos de clasificación, regresión y agrupación, incluyendo máquinas de vectores de
soporte, bosques aleatorios, aumento de gradiente, k-means y DBSCAN, y está diseñado
para interoperar con las bibliotecas numéricas y científicas de Python, NumPy y SciPy.
Imagen 14
4.3.2 PANDAS
Pandas es una biblioteca de software escrita como extensión de NumPy para

manipulación y análisis de datos para el lenguaje de programación Python. En particular,
ofrece estructuras de datos y operaciones para manipular tablas numéricas y series
temporales. Es un software libre distribuido bajo la licencia BSD.
56
Imagen 15
4.3.3 NUMPY
NumPy es una extensión open source de Python, que le agrega mayor soporte para
vectores y matrices, constituyendo una biblioteca de funciones matemáticas de alto nivel
para operar con esos vectores o matrices.
Imagen 16
4.3.4 MATPLOTLIB
Matplotlib es una biblioteca para la generación de gráficos a partir de datos

contenidos en listas o arrays en el lenguaje de programación Python y su extensión
matemática NumPy. Proporciona una API, pylab, diseñada para recordar a la de
MATLAB.
57
Imagen 17
4.3.5 WEKA
Weka (Waikato Environment for Knowledge Analysis, en español «entorno para

análisis del conocimiento de la Universidad de Waikato») es una plataforma de software
para el aprendizaje automático y la minería de datos escrito en Java y desarrollado en la
Universidad de Waikato. Weka es software libre distribuido bajo la licencia GNU-GPL.
El paquete Weka contiene una colección de herramientas de visualización y

algoritmos para análisis de datos y modelado predictivo, unidos a una interfaz gráfica de
usuario para acceder fácilmente a sus funcionalidades.
Todo el software usado para el proyecto se puede obtener gratuitamente en internet

por lo que no se ha realizado gasto alguno en términos de software.
58
Imagen 18
MACHINE LEARNING A LA SEGURIDAD INFORMATICA
El aprendizaje de máquinas es usado en seguridad en diversos ámbitos, como

pueden ser la identificación de comportamientos o entidades maliciosas, ya sea hackers,
malware, o simplemente comportamientos no deseados de un usuario.
Los sistemas tradicionales, basados en firmas, se emplean especialmente para

detectar ataques conocidos, como por ejemplo un virus que contiene un determinado
fichero o un ataque de SQL Injection que contiene una determinada cadena de texto
conocida, sin embargo los sistemas de Machine Learning basados en detección de
anomalías identifican patrones de comportamiento que representen una desviación de la
“normalidad”, siendo más potentes que los basados en firmas al permitir detectar ataques
desconocidos por el sistema.
Además los sistemas basados en firmas requieren que éstas sean actualizadas
constantemente, y por supuesto no pueden detectar ataques no conocidos (zero-day
attacks). Otra importante ventaja es que la “normalidad” se define para cada sistema,
dificultando a los atacantes la preparación de herramientas que pasen desapercibidas por el
IDS.
Existen también sistemas híbridos que combinan la detección basada en firmas con
la detección basada en anomalías. En la práctica apenas existen sistemas basados en
detección de anomalías puros.
59
Para encontrar anomalías se debe primero definir qué es normal, para lo cual no se
puede utilizar simplemente la estadística, ya que se pueden dar muchas anomalías a nivel
estadístico que rara vez representan un ataque, como por ejemplo un aumento en el tráfico
de la red.
Para resolver este problema se utilizan algoritmos que aprendan a distinguir las
anomalías ya sea a partir de ejemplos ya etiquetados (aprendizaje supervisado) o buscando
patrones en entradas sin etiquetar que permitan indentificar posteriormente nuevas entradas
(aprendizaje no supervisado).
A continuación podemos ver una figura que explica el funcionamiento básico del
proceso de Machine Learning
Imagen 19
60
DIAGRAMA DE BLOQUES
Como se puede ver en el siguiente diagrama de bloques, se parte del set de datos, y
se realizan las modificaciones necesarias para aumentar la precisión y el rendimiento,
dividiéndolo posteriormente en dos partes, una para entrenar el algoritmo propuesto, y la
otra para realizar tests con el mismo una vez entrenado y comprobar su precisión
prediciendo ataques.
61
DATASET
1 . Selección
2 . Transformación
3 . Normalización
Modificaciones
DATASET
MODIFICADO
División
DATASET DATASET
TRAIN TEST
ALGORITMO Entrenamiento
ALGORITMO
RESULTADO
ENTRENADO
Imagen 20
62
CONJUNTO DE DATOS (DATASET)
Un conjunto de datos (conocido también por el anglicismo: dataset) es una

colección de datos habitualmente tabulada.
En general un conjunto de datos corresponde a los contenidos de una única tabla de

base de datos o una única matriz de datos estadística, donde cada columna de la tabla
representa una variable en particular, y cada fila representa a un miembro determinado del
conjunto de datos en cuestión.
a) Descripción del dataset
En el presente proyecto se utilizará el dataset KDDCUP’99, utilizado ampliamente

para la evaluación de sistemas de detección de anomalías. El dataset se obtiene del
programa de evaluación de IDS DARPA’98, que consiste en una captura durante 7
semanas de tráfico de red, concretamente unos 5 millones de conexiones capturadas en
4GB de datos tcpdump.
El dataset de KDD consiste en aproximadamente 4.900.000 de vectores de

conexiones, cada uno con 41 atributos, y etiquetados como “normal” o como un ataque
determinado.
b) Descripción de los ataques
El dataset contiene un total de 22 ataques, agrupados en 4 grandes categorías:
1.- DoS (Denegación de Servicio): El atacante intenta prevenir a usuarios

auténticos que puedan usar un servicio, ya sea mediante una sobrecarga de los recursos, o
un desbordamiento de buffer. Las etiquetas relativas a estos ataques son: Neptune, Smurf,
Pod, Teardrop, Land.
63
Imagen 21
2.- Probing: Los ataques de Probing o Surveillance, tienen la finalidad de obtener

información acerca de la configuracion de una computadora o una red, que le permita
posteriormente atacar el equipo. Las etiquetas relativas a estos ataques son: ipsweep, nmap,
satan, portsweep.
Imagen 22
3.- R2L: El ataque Remote-to-local consiste en el envío de paquetes de forma

remota de un intruso a una maquina local en una red, sin que este tenga una cuenta en esa
máquina, para mediante alguna vulnerabilidad ganar acceso local. Las etiquetas relativas a
estos ataques son: warezclient, guess_passwd, warezmaster, ftp_write, imap, multihop, phf,
spy.
64
Imagen 23
4.- U2R: El ataque User-to-root, es un intento de un usuario no autorizado de ganar

privilegios de administrador. El atacante empieza con un acceso normal a una cuenta de
usuario del sistema y trata de explotar una vulnerabilidad para ganar acceso root. Las
etiquetas relativas a estos ataques son: perl, buffer_overflow, rootkit, loadmodule.
Imagen 24
c) Descripción de los atributos
Llamamos atributos a aquellas características que describen cada una de las

instancias del conjunto de datos. Las denominaciones se usan indistintamente en función
del autor y del contexto. Por ejemplo en el caso de un coche hablaríamos de su marca, su
color, su cilindrada, etc. Si visualizáramos los datos en una hoja de cálculo, los atributos
serían las columnas.
65
En el dataset KDD99 existen un total de 41 atributos que están divididos en cuatro

grupos que exponemos a continuación:
Imagen 25
66
CAPITULO V
5.1 LOS FUNDAMENTOS DE LA CIBERSEGURIDAD OFENSIVA
La Seguridad defensiva es la rama de la ciberseguridad que tiene la finalidad de

proteger la organización bajo cualquier concepto, desde el estudio de la red actual, hasta el
completo bastionado de la infraestructura de red de la organización diseñando un plan de
seguridad que permita garantizar la efectividad de los controles de seguridad desplegados.
5.2 DETECCIÓN Y RESPUESTA SOBRE ATAQUES
5.1.1 DIRIGIDOS Y MALWARE AVANZADO
Los Endpoints tradicionales han dejado de ser efectivos contra las nuevas
amenazas, nunca fueron diseñados para hacer frente a ataques sofisticados o Amenazas
Persistentes Avanzadas (ATP’s).
Auditech apuesta por combinar lo mejor de los productos de seguridad

tradicionales añadiendo una capa de Threat Intelligence, dado que la solución que más
efectiva debe analizar y responder a todo tipo de amenazas. Hacemos uso de la tecnología
FireEye para la protección de los puestos de trabajo.
La tecnología Endpoint de FireEye utiliza un motor de plataforma de protección del

Endpoint (EPP) basado en firmas, en caso de que no existan firmas conocidas de la
amenaza, MalwareGuard utiliza aprendizaje automático (machine learning) alimentado con
bases de datos de inteligencia en tiempo real.
Para lidiar con amenazas avanzadas (APT’s) se hace uso de un motor detección y
respuesta basado en comportamiento (heurística), el cual permite detectar un
comportamiento anómalo en el software en ejecución del equipo y dar una respuesta al
posible incidente.
Por último, se hace uso de un motor de indicadores de riesgo (Indicator Of

Compromise, IOC) en tiempo real basado en inteligencia y actualizada para encontrar
amenazas ocultas.
67
Imagen 26
5.1.2 SEGURIDAD EN EMAIL
El vector de ataque más usado hoy en día por los ciberdelincuentes es el correo
electrónico. Existen numerosas amenazas; malware, APT’s (Amenazas Avanzadas
Persistentes), llegando en forma de URL’s vinculadas a sitios fraudulentos con el objetivo
de captar información de acceso, infectar el equipo y propagarse por la red de la
organización.
Auditech apuesta por FireEye Email Security Cloud Edition. Integrable con los
proveedores de email cloud más demandados como Office 365 y G-Suite.
Imagen 27
5.1.3 LA SOLUCIÓN EMAIL SECURITY DE FIREEYE OFRECE
Seguridad completa para correos Entrantes y Salientes

68
Consolida la pila de seguridad del correo electrónico con una solución completa de
un proveedor único
Se integra sobre cualquier proveedor de correo electrónico de terceros
Proporciona información extensa de los ataques y atacantes a partir del centro de

Threat Intelligence de FireEye
5.1.4 FIREWALLS
Un Firewall, es un dispositivo de seguridad perimetral que se instala en la red y

ofrece múltiples funciones de seguridad en un único appliance, físico o virtual.
En Auditech apostamos por Fortinet por ser líder mundial en seguridad de red e
incorpora en su plataforma:
Imagen 28
5.2 CONTROL DE ACCESO A LA RED
Las soluciones NAC o “Network Access Control” permiten definir política que
deben cumplir todos los dispositivos antes de conectarse a la red corporativa. Los
dispositivos (fijos y móviles) que no cumplen las políticas establecidas no podrán
69
interactuar con la red. De esta forma aislamos estos dispositivos de forma preventiva hasta
la resolución del incumplimiento.
Imagen 29
Las soluciones NAC son complementarias a los Firewalls, debido a que, una vez
traspasada la barrera de seguridad perimetral, el NAC actúa como un control de acceso
propio del dispositivo a la red.
De este modo se dispone de un control de todos los elementos que acceden a la red
independientemente de su naturaleza y detección en tiempo real.
70
Imagen 30
LA CIBERSEGURIDAD EN LA ACTUALIDAD
La ciberseguridad es un concepto muy amplio que engloba muchas disciplinas

como pueden ser la Criptografía, Ciberinteligencia, el Análisis de Malware o el
Reversing. Debido a la transformación digital y a la especialización de los
ciberdelincuentes, la seguridad informática no deja de crecer y expandirse y por ello nacen
nuevas técnicas como la Seguridad Ofensiva.
¿En qué consiste la Seguridad Ofensiva? ¿Quieres saber por qué las empresas están
dando el salto a la seguridad activa? ¡Continúa leyendo y descúbrelo!
¿Qué es la Seguridad activa o también llamada Seguridad Ofensiva?
Debido a los múltiples ciberataques recibidos, las empresas han cambiado el chip
en lo que se refiere a la forma de afrontar la seguridad de la información. Ese es el motivo
por el que han pasado de una seguridad reactiva a procesos en los que la propia
organización debe ser proactiva e implementar medidas activas para defenderse.
71
La Seguridad Ofensiva analiza el nivel de preparación que se tiene ante un ataque,

sin embargo, no hay que olvidar que la seguridad pasiva y la seguridad activa son
complementarias
La Seguridad Ofensiva o Seguridad Activa es un conjunto de herramientas o

soluciones que tienen como objetivo identificar en tiempo real el grado de exposición que
tiene una organización y cómo afectaría en cualquier incidente que se produjera.
Imagen 31
Dicho con otras palabras, la Seguridad Ofensiva analiza el nivel de preparación que
se tiene ante un ataque, sin embargo, no hay que olvidar que la seguridad pasiva y la
seguridad activa son complementarias, es decir van de la mano y una no tiene sentido sin la
otra.
Uno de los retos a los que se enfrentan las organizaciones es la demanda de nuevos
perfiles tecnológicos que lleven a cabo este tipo de medidas. Estos profesionales reúnen
información para prevenir futuros ataques y para ello se sirven del conocimiento y la
experiencia sobre el entorno externo y las redes internas.
En esta ocasión se amontonan conceptos como pentester, pruebas de penetración,

evaluación de riesgos, fallos de seguridad, auditorías, defensa activa… A todos ellos les
72
daré luz mediante los invitados para descubrir así porque la seguridad ofensiva es una baza
que todos deberíamos poner en práctica para estar preparados ante un ataque, tanto los
particulares como especialmente las empresas.
Y es que ante los ataques entra en juego, y por tanto en riesgo, el principal activo
que tenemos: la información, algo que ya salió a relucir en su día con el ciberdebate
dedicado a OSINT y hacking con buscadores por eso todos debemos proteger la
información de la mejor manera posible pues controlarla nos va a aportar mayor privacidad
a los usuarios y un valor añadido a las empresas que lo hagan.
73
RECOMENDACIONES
 Vivimos en un mundo donde la tecnología está avanzando a pasos agigantados y

que la información de una empresa es muy importante por lo tanto la seguridad
informática debe ser algo normal que se debe prestar mucha atención a este tema.
 Se debería contratar a una empresa especializada en seguridad de información para

que ellos puedan auditar y verificar cuales son los puntos vulnerables de la
empresa.
 A medida que los datos son importantes y valiosos los hackers pondrán el ojo en
dicha empresa para poder hacer sus fechorías
 Muchas empresas en el mercado no le dan mucha importancia a la seguridad de sus

sistemas de información talvez porque nunca han sido atacados o tal vez porque sus
datos no son tan importantes, pero eso no significa deben mantenerse en esa línea
debería prevenir con la seguridad de información ya que dependiendo del valor que
tengan sus datos más caros le saldrá recuperar sus datos cuando sean interceptados
por hackers maliciosos.
 Hoy en día la computación en la nube es un servicio que muchas empresas están

mudándose a estas, ya que estas empresas utilizan servicios en la nube de acuerdo a
las características que tiene tu empresa pueden solicitar así sus datos estarán más
resguardadas.
 Se debe tomar las medidas necesarias para que la información sea controlada por
personas autorizadas al sistema, y al mismo tiempo debe estar disponible cuando
sea necesario utilizarla y de esta manera la información que se dispone no sea
comprometida por terceras personas.
 Usar la criptografía para proteger la información almacenada en las computadoras

de la visualización y manipulación no autorizada.
 Debería prevenir antes de lamentar porque la recuperación de los datos puede

salirle más caro de lo esperado.
74
CONCLUSIÓN
 Hay que realizar pruebas con diferentes algoritmos y con los mismos datos
de entrenamiento. Una vez valorados los resultados se elegirá el algoritmo
que mejor se haya comportado.
 Es importante conocer cómo funcionan los algoritmos para poder ajustar sus
parámetros y mejorar la creación del modelo, su complejidad y tasa se
aciertos.
 Todas las empresas deberían poner en práctica la seguridad de su sistema de
información ya que hoy en día nuestros datos informáticos son muy
importantes.
 La computación en la nube es una alternativa para que muchas empresas
puedan migrar y así resguardar sus datos y ahora hay servicios de acuerdo a
las necesidades de las empresas.
 La seguridad informática es un conjunto de técnicas encaminadas a obtener
altos niveles de seguridad en los sistemas informáticos.
 La seguridad informática puede ser definida básicamente, como la
preservación de la confidencialidad, la integridad y la disponibilidad de los
sistemas de información.
75
REFERENCIAS
 https://es.wikipedia.org/wiki/Wikipedia:Portada
 https://comofriki.com/como-usar-wireshark-capturar-filtrar-analizar-
paquetes/
 https://hackingymas.com/las-5-mejores-herramientas-de-pentesting-
2021/
 https://www.redeszone.net/app/uploads-
redeszone.net/2020/10/procesos-windows.jpg

Trabajo Final de Seguridad Informatica

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Trabajo Final de Seguridad Informatica

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL MICAELA BASTIDAS DE APURÍMAC

ESCUELA ACADÉMICA PROFESIONAL DE INGENIERÍA DE

Administración de Tecnología de Información

ELVIO TINTAYA ZEGARRA

 Sergio Elías Enciso Ortiz Cod:172144

CAPITULO l – Las técnicas de Hacking más relevantes de la actualidad.....................3

1.1. ¿Qué es Keylogger?.......................................................................................3

1.2. Cómo detectar Keylogger en Windows.........................................................4

Usar el administrador de tareas...............................................................................4

Detectar amenazas con el antivirus.........................................................................5

Usar la línea de comandos......................................................................................6

Ver aplicaciones sospechosas instaladas................................................................6

CAPITULO II - ¿Qué son los ataques DDoS?...............................................................7

2.2. ¿Cómo funciona un ataque DDoS?.....................................................................8

Uso de una "red zombi" de botnet para lanzar un ataque ddos...............................8

La naturaleza de las amenazas DDoS en la actualidad...........................................9

CAPITULO III - Ataque watering hole........................................................................10

¿A quién suelen estar dirigidos?...........................................................................11

¿Cuál es el objetivo de los ciberdelincuentes?......................................................11

¿Por qué son peligrosos los ataques de abrevadero?............................................12

¿Cómo evitar los watering hole attacks?..............................................................14

3.2. ¿QUÈ ES PISHING?.....................................................................................16

Cómo reconocer y evitar las estafas de phishing..................................................17

Cómo reconocer el phishing.................................................................................17

Cómo protegerse de los ataques de phishing........................................................18

Qué hacer si sospecha un ataque de phishing.......................................................19

Qué hacer si respondió a un email de tipo phishing.............................................20

Cómo reportar el phishing....................................................................................20

3.3. Las principales herramientas de Hacking.....................................................20

Probando si Nmap ya está instalado.....................................................................34

Interfaces gráficas y de línea de comandos...........................................................35

4.1 La aplicación de técnicas de Machine Learning al Hacking...................................53

4.3 RECURSOS DE SOFTWARE...........................................................................54

MACHINE LEARNING A LA SEGURIDAD INFORMATICA.......................57

Conjunto de datos (dataset)...................................................................................60

5.1 Los fundamentos de la Ciberseguridad ofensiva....................................................64

5.2 DETECCIÓN Y RESPUESTA SOBRE ATAQUES.........................................64

5.1.1 DIRIGIDOS Y MALWARE AVANZADO................................................64

5.1.2 Seguridad en Email......................................................................................65

5.1.3 LA SOLUCIÓN EMAIL SECURITY DE FIREEYE OFRECE.................65

5.2 Control de Acceso a la Red.............................................................................66

Nosotros los estudiantes de la Universidad Nacional Micaela Bastidas de Apurímac de

A nuestros docentes, por ser un apoyo muy importante en el desarrollo de nuestra

Este trabajo monográfico de investigación es uno de los trabajos sumamente

Finalmente debemos entender que la ciberseguridad es un tema en la que todos

Los piratas ya no tienen un parche en su ojo ni un garfio en reemplazo de la mano.

Los medios de comunicación masivos prefieren tildarlos de delincuentes que

El avance de la era informática ha introducido nuevos términos en el vocabulario

CAPITULO L – LAS TÉCNICAS DE HACKING MÁS RELEVANTES DE

1.1. ¿QUÉ ES KEYLOGGER?

Un Keylogger es un software malicioso que ha sido diseñado para recopilar

Puede infectarnos de maneras muy diversas. Por ejemplo, podemos recibir un

Por tanto, podemos decir que un keylogger es un software creado de forma

1.2. CÓMO DETECTAR KEYLOGGER EN WINDOWS

USAR EL ADMINISTRADOR DE TAREAS

DETECTAR AMENAZAS CON EL ANTIVIRUS

Otra opción clásica es la de utilizar algún antivirus para detectar amenazas. Ya

USAR LA LÍNEA DE COMANDOS

También tenemos la posibilidad de utilizar la línea de comandos de Windows para

VER APLICACIONES SOSPECHOSAS INSTALADAS

CAPITULO II - ¿QUÉ SON LOS ATAQUES DDOS?

Los ataques de red distribuidos a menudo se conocen como ataques de denegación

Entre los objetivos más comunes de los ataques DDoS se incluyen:

 Sitios de compra por Internet