0

Índice

Índice de ilustraciones

Índice de tablas

1. Introducción
Desde el primer momento en que dos computadoras fueron conectadas a través de una
misma red, nacía un nuevo riesgo que ha ido cobrando más y más relevancia cada lustro
que pasa, y a la par, han crecido las repercusiones negativas que puede tener el no prever
dicho riesgo. Este riesgo es representado por terceras personas, conocidos popularmente
como “hackers” (aunque siendo más precisa la palabra “crackers” para referirse a ellos),
quienes podrían intentar vulnerar los sistemas, provocando consecuencias negativas para
el dueño del equipo vulnerado.
Siendo qué, para poder evitar un ataque hay que pensar como un atacante, y el primer
paso debería de ser el conocimiento; por lo que es relevante para cualquier implicado en
el gobierno de las TI conocer dichos procedimientos, para poder entender cómo evitarlos.

1
2. Delitos informáticos
Los delitos informáticos o ciberdelitos son aquellas acciones que se realizan a través de
las nuevas tecnologías. También se consideran aquellos en los que las nuevas tecnologías
intervienen como medio, objeto o como bien jurídico protegido. Con ello, los criminales
cometen delitos aprovechando el gran potencial de las TIC superando barreras
territoriales.
Impacto de los Delitos Informáticos
Las víctimas pueden verse en situaciones como: robo de identidad, hackeo del perfil, robo
de información, infiltración a la privacidad, fraude, etcétera. Cada día, el uso de redes
sociales es muy cotidiano entre miles de usuarios de todas las edades. En la actualidad,
se han realizado esfuerzos para la prevención de delitos derivados del uso de estas
herramientas. Pero, aún con el paso del tiempo, algunos usuarios no tienen conciencia
sobre los peligros a los que están expuestos al publicar información de su vida cotidiana
en sus perfiles de redes sociales.
La proliferación de los delitos informáticos ha hecho que nuestra sociedad sea cada vez
más escéptica a la utilización de tecnologías de la información, las cuales pueden ser de
mucho beneficio para la sociedad en general. Este hecho puede obstaculizar el desarrollo
de nuevas formas de hacer negocios, por ejemplo el comercio electrónico puede verse
afectado por la falta de apoyo de la sociedad en general.
También se observa el grado de especialización técnica que adquieren los delincuentes
para cometer éste tipo de delitos, por lo que personas con conductas maliciosas cada vez
más están ideando planes y proyectos para la realización de actos delictivos, tanto a nivel
empresarial como a nivel global.
También se observa que las empresas que poseen activos informáticos importantes, son
cada vez más celosas y exigentes en la contratación de personal para trabajar en éstas
áreas, pudiendo afectar en forma positiva o negativa a la sociedad laboral de nuestros
tiempos
Prevenir delitos informáticos
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales (INAI) recomienda a todos los ciudadanos identificar los riesgos a los que se
exponen al proporcionar datos personales como el domicilio, teléfono, edad, correo
electrónico personal, entre otros, para prevenir el robo, divulgación no autorizada y
alteración o modificación de éstos.
También puntualiza que si bien, el uso de Internet nos ofrece ventajas y beneficios,
proporcionar datos personales por este medio implica también riesgos, ya que nuestro

2
nombre, dirección o cuenta de banco, entre otra información, puede cruzar fronteras en
cuestión de segundos y convertirse en una “llave” para cometer delitos.
el INAI emitió 10 recomendaciones para reforzar medidas de protección de los datos
personales en el entorno digital:

● Navega de forma segura. Accede a páginas de instituciones o empresas

reconocidas y verifica siempre que en la barra de herramientas se encuentre un
“candado verde” que acredite la autenticidad de la página.
● Configura tu privacidad en redes sociales. Las redes sociales cuentan con opciones
a través de las cuales puedes elegir quienes ven el contenido que publicas, es
recomendable verificar estos apartados y cerciorarte que cuentan con el nivel de
privacidad que elegiste.
● Protege el acceso a tus dispositivos y cuentas. Los dispositivos móviles ofrecen
opciones para establecer claves de acceso, es recomendable activarlos para
aumentar el nivel de seguridad.
● Administra tus dispositivos. Verifica que tus dispositivos cuenten con las
condiciones de seguridad para evitar que otras personas o sistemas puedan
acceder a tus datos personales.
● Descarga software y aplicaciones de los sitios oficiales. De esta forma podrás
verificar que cuentan con las condiciones de seguridad requeridas.
● Protégete del malware. Descarga un antivirus de desarrolladores reconocidos que
ofrezca protección.
● Mantén actualizado tu software y aplicaciones. Revisa que el sistema operativo
cuente con las actualizaciones y parches de seguridad más recientes.
● Respalda periódicamente tu información. Es recomendable contar con un archivo
digital o físico de tus datos, para protegerlos en caso de falla del sistema que los
contiene.
● Cifra tu información. Existen diversos programas que permiten “cifrar” la información
para evitar que otras personas puedan acceder a tus datos.
● Cuida tu entorno físico. Evita acceder a tus cuentas bancarias o realizar compras en
computadoras públicas.

3. Marco legal de los delitos informáticos

El Internet es la herramienta tecnológica más utilizada hoy en día y la mayor fuente de
consulta de información, lo que ha causado que un gran número de actividades ilegales se
realicen a través de este medio, al estar conectados a Internet, las personas están

3
expuestas a un sinfín de actividades por parte de terceros sin tener autorización, ya que la
mayoría de estos dispositivos electrónicos al estar conectados a Internet pueden realizar
distintas actividades a través de ellos: operaciones bancarias, publicación de información a
través de redes sociales, envío de correos electrónicos, entre muchas otras.
En México a partir de 1999 se publicó en el Diario Oficial de la Federación una reforma en
materia penal a nivel federal relacionada con delitos informáticos, la cual incluía dentro de
su marco jurídico distintas figuras delictivas que protegen la información contenida en los
sistemas y equipos de cómputo, sin embargo, este ordenamiento ha quedado superado
debido al crecimiento del uso de las tecnologías de información.

Código Penal Federal

En el Código Penal Federal se encuentran previstos entre otros, los delitos de Revelación
de Secretos, Acceso ilícito a equipos y sistemas de informática y los Delitos contra los
Derechos de Autor.
El Delito de revelación de secretos se tipifica cuando en perjuicio de alguien, sin justa
causa y sin consentimiento, se revele, divulgue o utilice algún secreto, comunicación,
información o imágenes, que hayan sido conocidas o recibidas con motivo de un empleo,
incluso por ser funcionario o empleado público.
Mientras que el de acceso ilícito a sistemas y equipos de informática, se tipifican como
conductas que pueden considerarse como hacking informático; mismas que consisten en
la modificación, destrucción, la provocación a perder, el conocer o copiar información que
esté contenida en sistemas o equipos de informática protegidos.
Por otra parte, se dispone que constituye un delito contra los Derechos de Autor, la
fabricación con fin de lucro de un dispositivo o sistema cuya finalidad sea desactivar los
dispositivos electrónicos de protección de un programa de computación; tipo penal que
puede ser considerado como cracking informático.
Por su parte, el artículo 426 prevé que se constituyen como ilícitos en materia de
Derechos de Autor, la fabricación, importación, venta o arrendamiento de dispositivos o
sistemas que descifren señales satelitales cifradas.
Otro ordenamiento en el que se prevé la protección de bienes jurídicos, frente a la
informática y sus avances, es la Ley Federal contra la Delincuencia Organizada que
establece sanciones que podrán ser aplicadas a quienes participen en la intervención de
comunicaciones privadas y a quienes con motivo de su empleo, cargo o público, revelen o
utilicen en forma indebida la información o imágenes obtenidas en el curso de una
intervención de comunicaciones privadas

4
La Ley de Seguridad Nacional establece que los datos personales otorgados a una
instancia por servidores públicos, así como los proporcionados al Estado Mexicano para
determinar o prevenir una amenaza a la Seguridad Nacional, son Información
gubernamental confidencial, es decir, que las autoridades, personal de las instancias de
Seguridad Nacional y servidores públicos que laboren en las instancias que integren el
Consejo Nacional de Seguridad Nacional o del Centro de Investigación y Seguridad
Nacional, deben guardar secreto y confidencialidad respecto a la información que
conozcan o tengan acceso.
En el ámbito financiero, el artículo 112 Bis de la Ley de Instituciones de Crédito es quien
regula y menciona los siguientes delitos, al que altere el medio de identificación electrónica
y acceda a los equipos electromagnéticos del sistema bancario y a quien obtenga o use
indebidamente la información sobre clientes u operaciones del sistema bancario, la Ley,
prevé que serán sancionados los servidores públicos de la Comisión Nacional Bancaria y
de Valores, los funcionarios o empleados de la institución de crédito alteren o modifiquen
registros con el propósito de ocultar hechos que probablemente puedan constituir delito.

Código penal para la Ciudad de México

El artículo 336 del Nuevo Código Penal del Distrito Federal, relativo a la Producción,
Impresión, Enajenación, Distribución, Alteración o Falsificación de Títulos al Portador,
Documentos de Crédito Públicos o Vales de Canje, quien acceda a los equipos
electromagnéticos de las instituciones emisoras de tarjetas, títulos o documentos para el
pago de bienes y servicios o para disposición de efectivo quien adquiera, utilice o posea
equipos electromagnéticos o electrónicos para sustraer la información contenida en la
cinta o banda magnética de tarjetas, títulos o documentos, para el pago de bienes o
servicios o para disposición de efectivo, así como a quien posea o utilice la información
sustraída, de esta forma ; y a quien utilice indebidamente información confidencial o
reservada de la institución o persona que legalmente esté facultada
Por otra parte, el artículo 355 del Nuevo Código Penal, al funcionario electoral que altere,
expida, sustituya, destruya o haga mal uso de documentos públicos electorales o archivos
oficiales computarizados o relativos al registro de electores que corresponda.

4. Sabotaje informático
Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de
computadora con intención de obstaculizar el funcionamiento normal del sistema. Las
técnicas que permiten cometer sabotajes informáticos son:
Bombas Lógicas (Logic Bombs), es una especie de bomba de tiempo que debe
producir daños posteriormente. Exige conocimientos especializados ya que requiere la
5
programación de la destrucción o modificación de datos en un momento dado del futuro.
Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de
detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales,
las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación
puede programarse para que cause el máximo de daño y para que tenga lugar mucho
tiempo después de que se haya marchado el delincuente. La bomba lógica puede
utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de
dar a conocer el lugar en donde se halla la bomba.
Gusanos. Se fabrica de forma análoga al virus con miras a infiltrarlo en programas
legítimos de procesamiento de datos o para modificar o destruir los datos, pero es
diferente del virus porque no puede regenerarse. En términos médicos podría decirse que
un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien,
las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de
un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar
instrucciones a un sistema informático de un banco para que transfiera continuamente
dinero a una cuenta ilícita.
Virus informáticos y malware, son elementos informáticos, que como los
microorganismos biológicos, tienden a reproducirse y a extenderse dentro del sistema al
que acceden, se contagian de un sistema a otro, exhiben diversos grados de malignidad y
son eventualmente, susceptibles de destrucción con el uso de ciertos antivirus, pero
algunos son capaces de desarrollar bastante resistencia a estos.
Impacto del sabotaje informático
Los ataques informáticos constituyen un problema cada vez más grave a escala mundial,
a grado tal que en los Estados Unidos han designado comisiones especiales destinadas a
calcular el daño que representan esos sabotajes.
Por estos delitos, el costo para las empresas en 2017 aumentó en 27.49 por ciento
respecto del 2016. Compañías de Francia, Alemania, Italia, Japón, Reino Unido y Estados
Unidos gastaron, en conjunto, 11 mil 700 millones de dólares en tratar de mitigar
ciberataques.
A escala regional, de acuerdo con un trabajo de Microsoft y la Organización de los
Estados Americanos (OEA), las pérdidas llegaron a 800 millones de dólares en Brasil, 300
millones en México y 460 millones en Colombia. Destaca el análisis que la industria
financiera es de las más expuestas; por tanto, de las que aumentaron inversión en
seguridad para prevenir.
caso de sabotaje
Uno de los casos más sonados del sabotaje informático sucedió en EEUU, en Omega
Engineering, donde un programador luego de ser despedido, decidió vengarse de la
6
compañía borrando todo su software mediante una bomba lógica activada diez días
después del despido, causando una pérdida de 10 millones de dólares

5. Robo de identidad
El robo de identidad es un delito en el que alguien se hace con su información personal,
normalmente con la intención de cometer un fraude. La definición de robo de identidad
engloba muchos tipos de información personal y fraudes perpetrados, desde el robo de
dinero hasta la utilización de los datos de la víctima con objeto de recibir un tratamiento
médico o solicitar un crédito.
Robar una identidad puede ser tan sencillo como hackear la cuenta de la red social de una
persona o tan complejo como presentar declaraciones fiscales en nombre de ella. Puesto
que muchas personas publican libremente información sobre sí mismas en Internet, el
robo de identidad es cada vez más frecuente.
A menudo, el robo de identidad se convierte en fraude de identidad, que se da cuando el
ladrón se hace pasar por la víctima o actúa en su nombre. Muchas víctimas de robo de
identidad y fraude pasan años tratando de resolver los delitos, sin garantía alguna de
recuperar totalmente sus pérdidas.
¿Cómo se comete el robo de identidad?
Con Internet es extremadamente fácil llevar a cabo estos tipos de delitos. Los usuarios no
tienen reparos en dar información, da igual que sea en una red social o en un sitio web de
comercio electrónico: ponen ciudad, trabajo, relaciones, fecha de nacimiento y mucho
más. Todos estos datos quedan expuestos en la esfera pública, esperando ser usados
contra nosotros.
Filtraciones de datos
Las filtraciones o «fugas» de datos suceden cuando los hackers roban datos
confidenciales de los servidores o las bases de datos de una empresa. Si los hackers
logran crackear el sistema de seguridad de una empresa y acceder a los datos de sus
usuarios o clientes (que, según la empresa de que se trate, pueden incluir números de la
seguridad social, otros números identificativos, contraseñas, direcciones, números de
pasaporte, datos de tarjetas de crédito, etc.), pueden vender estos datos a los ladrones de
identidad. Los corredores de datos, compañías que recopilan y venden información
personal de los usuarios, suelen ser blanco de los ataques de filtración de datos.

7
Ataques de phishing y pharming
Los ladrones de identidad también pueden perpetrar ataques de phishing y pharming en
un intento de que los usuarios faciliten, mediante engaños, información personal
confidencial. Los ataques de phishing consisten en atraer a la víctima con un señuelo,
como un correo electrónico engañoso que parece proceder de un contacto de confianza, o
con mensajes enviados desde una cuenta suplantada de una red social. Si responde, se
arriesga a revelar la información que el atacante necesita para robarle la identidad.
El pharming se parece al phishing, pero se lleva a cabo en una escala mucho mayor. En
vez de usar señuelos de phishing, los ataques de pharming redirigen a las víctimas
furtivamente a sitios web falsos cuyo aspecto es el mismo que el de los sitios web
legítimos en los que los usuarios confían. Una vez aquí, si intentan iniciar sesión o realizar
otras operaciones, se arriesgan a proporcionar datos personales al atacante.
Puesto que tanto en los ataques de phishing como en los de pharming se engaña y se
emplean trucos de ingeniería social, nuestro consejo es que adopte hábitos inteligentes de
uso seguro de los sitios web y del correo electrónico.
Malware
El malware o software malicioso es la herramienta favorita de muchos ciberdelincuentes,
incluidos los ladrones de identidad y datos. Algunos tipos de malware funcionan
especialmente bien en estas situaciones, como el spyware, que puede registrar en secreto
su comportamiento en línea y recopilar sus datos. Con el spyware, ni siquiera sabrá que
un hacker ha infectado su ordenador o teléfono para, de forma sigilosa, extraer de ellos
todos sus datos personales confidenciales.

¿Qué hacer en caso de robo de identidad?

El primer paso es denunciar de inmediato las señales de aviso ante las autoridades
competentes. Por ejemplo, si en el extracto de la tarjeta de crédito detecta cobros que no
le suenan, contacte con la entidad emisora de la tarjeta y comunique el incidente. Ellos
sabrán lo que hacer.
Lo siguiente es bloquear el resto de sus cuentas y, si puede, también el crédito. Así
impedirá al ladrón de identidades que ocasione más daño. Denuncie siempre los
ciberdelitos ante la entidad o el órgano competente de su país. Es importante recordar que
el robo de identidad y el fraude son ciberdelitos.
Después de presentar todas las denuncias, hay que poner manos a la obra para evitar que
vuelva a producirse un robo de identidad. Para ello, debe actualizar todas sus
contraseñas, que deben ser únicas y difíciles de crackear en todas sus cuentas. Tal vez
también deba sustituir sus documentos jurídicos o modificar expedientes personales, como

8
los antecedentes penales o la historia clínica, si han resultado afectados por el robo de
identidad.

6. Tecnología de seguridad
Los equipos de seguridad de la información y las infraestructuras deben adaptarse para
soportar los requerimientos de los negocios emergentes digitales, y al mismo tiempo hacer
frente a la situación de amenaza cada vez más avanzada, es por esto que se han
desarrollado las siguientes tecnologías.
Agentes de seguridad de acceso a la nube (CASB), que proporcionan a los
profesionales de la seguridad de información un punto de control crítico para la utilización
segura y compatible de los servicios en la nube a través de múltiples proveedores de
nube.
Detección endpoint y Respuesta (EDR), cuyo mercado se está expandiendo
rápidamente en respuesta a la necesidad de una protección más efectiva de los endpoint
y el imperativo emergente de detectar posibles infracciones y reaccionar de forma más
rápida.

Enfoques sin firma para la Prevención endpoint, teniendo en cuenta que los enfoques
basados ​en firmas para la prevención de malware son ineficaces contra los ataques
avanzados y específicos. Están surgiendo múltiples técnicas que aumentan los enfoques
tradicionales basados ​en firmas, incluyendo la protección de memoria y la prevención de
exploits que previenen de las formas más comunes en que el malware entra en los
sistemas, y la prevención de malware basado en el aprendizaje automático utilizando
modelos matemáticos como una alternativa a las firmas para la identificación de malware y
bloqueo.

Análisis del comportamiento del usuario y de las Entidades (UEBA), que proporciona
análisis centrados en el usuario alrededor de los comportamientos del usuario pero
también con otras entidades como endpoints, redes y aplicaciones, lo que hace que los
resultados del análisis sean más precisos y la detección de amenazas más eficaz.

Microsegmentación y flujo de visibilidad. los atacantes han encontrado un punto de

apoyo en los sistemas de la empresa, por lo general, pueden moverse sin obstáculos a
otros sistemas, por lo que hay una necesidad emergente de esta microsegmentación para
hacerles frente y varias de las soluciones proporcionan visibilidad y el control de los flujos
de comunicación. Las herramientas de visualización permiten a los administradores de
seguridad y operaciones entender los patrones de flujo, las políticas de segmentación
establecidos y controlar las desviaciones. Además, varios vendedores ofrecen encriptación

9
opcional del tráfico de red entre las cargas de trabajo para la protección de los datos en
movimiento, y proporcionan aislamiento criptográfico entre las cargas de trabajo.

7. Metodologías de Pruebas de Penetración

Las pruebas de penetración son un método para encontrar brechas en la seguridad de la
red. Los hackers éticos certificados u otros especialistas de seguridad de la información
realizan pruebas de penetración, generalmente fuera de la red, aunque a veces también
dentro de ésta. Las pruebas de penetración externa a menudo se realizan a ciegas, sin
conocimiento de las medidas y del monitoreo de seguridad de red. Si la prueba de
penetración externa infringe la red, esto también proporciona una idea de qué tan efectivas
y eficientes son las medidas de seguridad en el caso de un incumplimiento.
Por lo general las pruebas internas de penetración incluyen el conocimiento de las
medidas de seguridad interna, los evaluadores pueden tratar de violar la red de
computadoras de empleados o utilizar otros métodos para evaluar las posibles brechas en
la seguridad interna. También aquellos que monitorean la red deberían ser probados para
evaluar sus respuestas a dicha violación de seguridad.
Metodología OSSTMM
El Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, Open
Source Security Testing Methodology Manual) es uno de los estándares profesionales más
completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad
de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que
habría que realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso
entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí mediante
Internet. Se encuentra en constante evolución

8. RFC
La serie Request For Comments (RFC) es un conjunto de documentos que contienen
notas técnicas y organizacionales de la internet. La gestión de los RFC se realiza a través
de IETF (el consorcio de colaboración técnica más importante de Internet, Internet
Engineering Task Force) y son accesibles por cualquier persona debido a que son
publicadas online y sin restricciones..
Estas RFC sirven de referencia para la comunidad de Internet ya que describen,
especifican y asisten en la implementación, estandarización y discusión de la mayoría de

10
las normas, los estándares, las tecnologías y los protocolos relacionados con internet y las
redes en general.
Una RFC puede ser escrita por cualquier persona, pero el autor debe enviarla a la IETF
para que el documento pase por un proceso de evaluación para después ser aceptada o
denegada. Una vez aprobada la RFC, la metodología que se utiliza es asignarle a cada
una un número único que la identifique y que es el consecutivo de la última RFC
publicada. Una RFC ya publicada jamás puede modificarse, no existen varias versiones de
una RFC. Lo que se hace, en cambio, es escribir una nueva RFC que deje obsoleta o
complemente una RFC anterior.
Para crear una nueva RFC se encuentra el sitio RFC Editor, ahí se publica información
sobre el proceso de publicación, se envían las nuevas propuestas que eventualmente
podrán ser adoptadas como RFC y, si son de gran interés, convertirse en estándares.
También se pueden leer o descargar de ahí los RFC existentes o de igual forma en el sitio
web IETF Datatracker.

8.1. Protocolos de Redes y Seguridad

Los protocolos de comunicación y seguridad de red son un tipo de protocolo de red que
garantiza la seguridad e integridad de los datos en tránsito a través de una conexión de
red como Internet. Están diseñados principalmente para evitar que usuarios, aplicaciones,
servicios o dispositivos no autorizados accedan a los datos de la red. Esto se aplica a
prácticamente todos los tipos de datos, independientemente del medio de red utilizado.
8.1.1. Estado de un protocolo
El Internet Architecture Board (IAB) mantiene una lista de RFCs que describen la familia
de protocolos de internet. Cada uno de estos tiene asignado un estado y un status.
El estatus o estado determinado que se le puede asignar a los protocolos son:
Estándar
El IAB ha establecido esto como un protocolo oficial para Internet. Se separan en
dos grupos:
1. Protocolo IP y citados, protocolos aplicados enteramente a Internet.
2. Protocolos específicos de red, generalmente especificaciones de cómo hacer IP
sobre tipos particulares de redes.
Estándar Borrador

11
El IAB lo considera como un posible protocolo estándar. El IAB somete los comentarios y
resultados de pruebas. Existe una posibilidad que cambie, esos cambios serán hechos en
un borrador del protocolo antes de liberarlos como estándar.

Estándar Propuesto
Protocolos propuestos que debe considerar IAB para su estandarización en el futuro. Son
implementaciones deseables y comprobaciones de varios grupos. Es probable la revisión
del protocolo.
Experimental
Un sistema no debería implementar un protocolo experimental a no ser que esté
participando en el experimento y ha coordinado su uso del protocolo con el desarrollador
del protocolo.
Informativo
Los protocolos desarrollados por otras organizaciones, o vendedores, o que están por
otras razones fuera del alcance de IAB deben publicarse como RFCs por conveniencia de
la comunidad de Internet como protocolos informativos. Tales protocolos pueden en
algunos casos también estar recomendados para uso en Internet por IAB.
Histórico
Estos son protocolos que con poca probabilidad llegan a ser estándares en Internet
porque los han reemplazado los desarrolladores más tarde o por falta de interés.
Además, respecto a las definiciones de estado del protocolo se establecen las siguientes
aplicaciones:
Requerido. Un sistema debe implementar los protocolos requeridos.
Recomendado. Un sistema debe implementar los protocolos recomendados.
Electivo. Un sistema puede o no implementar un protocolo electivo. La noción general es
que si se va a hacer algo como esto, se debe hacer exactamente esto.
Uso limitado. Estos protocolos están para usar en circunstancias limitadas. Esto puede
ser debido a su estado experimental, naturaleza específica, funcionalidad limitada o
estado histórico.
No recomendado. Estos protocolos no se recomiendan para uso general. Esto se puede
deber a su funcionalidad limitada, naturaleza específica o estado experimental o histórico.
8.1.2. Protocolo estándar oficial

12
Cuando un protocolo alcanza el estado de estándar se le asigna un número estándar
(STD). El propósito de los números STD es indicar claramente qué RFCs describen los
estándares de Internet. Los números STD referencian múltiples RFCs cuando la
especificación de un estándar se divide en múltiples documentos. No como con los RFCs,
donde el número se refiere a un documento específico, los números STD no cambian
cuando un estándar se actualiza. Los números STD, sin embargo, no tienen número de
versión dado que todas las actualizaciones se realizan vía RFCs y los números de RFC
son únicos. De este modo, para especificar sin ambigüedad qué versión de un estándar
único se está refiriendo, se pondría de manifiesto el número estándar y todos los RFCs
que incluye.
La siguiente tabla contiene los protocolos de internet más utilizados y su correspondiente
RFC.
Tabla de protocolos más utilizados: RFC, estado y STD.

Especificación RFC Estado STD

Procolo UDP RFC768 Estándar, 6
(Protocolo de recomendado
datagrama de
usuario)
Protocolo IP RFC791 Estándar, requerido 5
Protocolo ICMP RFC792 Estándar, 5
(Protocolo de recomendado
mensajes de control
de Internet)
Protocolo TCP RFC793 Estándar, 7
(Protocolo de control recomendado
de transmisión)
Protocolo FTP RFC959 Estándar, 9
(Protocolo de recomendado
transferencia de
archivos)
Protocolo Telnet RFC854 Estándar, 8
recomendado
Netbios RFC1001 Estándar, electivo 19
MIB - II RFC1156 Estándar, 17
recomendado
MIME (Extensiones RFC2045, RFC2046 Borrador, electivo -

13
multipropósito de y RFC2047
correo Internet)
Protocolo SMTP RFC2821 Estándar, 10
(Protocolo simple de recomendado
transferencia de
correo)
SSH (El protocolo de RFC4253 Estándar, 1
capa de transporte, recomendado
Secure Shell)

8.1.3. Seguridad
Los protocolos de seguridad permiten el traspaso de información entre equipos de una
forma segura, independientemente de la vía que utilicemos para comunicarnos con otros
usuarios.
Existen diferentes protocolos de internet, estos tipos de protocolos establecen unas
condiciones distintas, para adaptarse al tipo de información que deben asegurar.
Protocolo TCP/IP
El protocolo TCP / IP es el protocolo de comunicación fundamental de Internet y consta de
dos protocolos, el TCP y el IP. El objetivo es que los ordenadores se comuniquen de una
forma sencilla y transmitan información a través de la red.
Protocolo HTTP
El protocolo HTTP (Protocolo de transferencia de hipertexto) se basa en www (World Wide
Web) que transmite mensajes por la red. Por ejemplo, cuando un usuario ingresa al
navegador, la URL transmite los mensajes por HTTP al servidor web que el usuario
solicitó. Luego, el servidor web responde y entrega los resultados de los criterios de
búsqueda que había solicitado.
Protocolo FTP
El protocolo FTP (protocolo de transferencia de archivos) se usa generalmente para
transferir archivos a través de Internet. FTP usa un cliente-servidor para compartir archivos
en una computadora remota. La forma en que funciona el FTP es como HTTP para enviar
páginas web desde
Protocolo SSH
El protocolo SSH (Secure Socket Shell) proporciona una forma segura de acceder a
internet a través de un ordenador remoto. SSH proporciona autenticación y encriptación

14
entre dos computadoras que se conectan a Internet. SSH es bien utilizado por las
administraciones de red para administrar sistemas por acceso remoto.

Protocolo DNS
El protocolo DNS (Sistema de nombres de dominio) mantiene un directorio de nombres de
dominio traducidos a direcciones IP. El DNS rastrea al usuario para ubicar la dirección web
en la dirección IP correspondiente. Por ejemplo, si un usuario ingresa la URL google.com,
el servidor web no está leyendo el nombre google.com está leyendo la dirección IP
NUMÉRICA que corresponde a google.com (208.65.155.84.).

9. War Room - Cuarto de Guerra

War room (cuarto de guerra) se emplea para describir una sala diseñada para la
visualización y monitoreo de riesgos o emergencias. En estos espacios básicamente se
reúnen especialistas, partes interesadas clave e incluso ejecutivos con el objetivo de
resolver un problema difícil o específico a través de una comunicación clara y flujos de
trabajo mejorados. Los cuartos de guerra pueden ser una herramienta útil en cualquier tipo
de gestión de proyectos.
Es importante aclarar que war room y una reunión no son lo mismo. Mientras que una
reunión puede tener uno o dos líderes que comparten información específica, los cuartos
de guerra deben alentar a todos los asistentes a hablar, moverse, hacer preguntas y
buscar soluciones.
Los objetivos de la técnica war room:
● Gestión diaria de la crisis.
● Aumento de productividad de todos los involucrados.
● Disminución del tiempo de espera de respuesta y decisión.
Sus funciones principales son:
● Compartir la información entre las diferentes entidades (colaboración).
● Brindar información pronta y oportuna que oriente la toma de decisiones correctas.
● Elaborar planes de respuesta y acción.
Así, la importancia estratégica de implementar un war room en las organizaciones concibe
muchos beneficios para las mismas, entre ellas están:
● Comunicación rápida y directa.
● Trabajo en equipo.
● Simplificación de transiciones.
● Tiempo de resolución de problemas rápido.

15
 ● Documentación para proyectos futuros.
Por ejemplo, a causa de la pandemia por el virus Covid-19, la institución financiera BBVA
optó por crear su war room. El rol del war room ha sido central en los últimos dos meses
para la gestión de la crisis, un equipo empoderado, con visión global de lo que está
sucediendo y con capacidad para tomar decisiones. El contacto ha sido y sigue siendo
continuo a través de teleconferencias y múltiples conversaciones diarias trabajando bajo
metodología ágil.
Otro ejemplo de utilización de un war room es por parte de la famosa compañía Facebook.
En 2018, después de afrontar una crisis legal, la empresa decidió establecer su war room
para solucionar los problemas y manejar una posible interferencia de quienes intentan
manipular la plataforma con fines ilícitos.

10. Footprinting y Reconnaissance

Footprinting es la primera fase del proceso de hacking ético. Esta fase consiste en la
obtención de información de forma pasiva o activa sobre un objetivo. El propósito es reunir
la mayor cantidad de información posible sobre un individuo potencial para así hacer
ataques posteriores más precisos.
Se recopila toda la información que puede ser útil, esta puede ser:
● Nombres de dominio.
● Bloques de red.
● IP específica de un dispositivo.
● Arquitectura de un sistema.
● Servicios activos.
● Dispositivos de Seguridad.
● Enumeración.
● Tráfico.
● Posibilidades de Remote Access.
● Extranets, puntos de conexión e información pública o privada.
Hay dos tipos de footprinting, el activo es cuando se interactúa directamente con el
objetivo y el pasivo involucra la recolección de toda la información posible pero sin entrar
en contacto directo con el objetivo.
Las herramientas más conocidas para realizar footprinting se manera pasiva son:
● Whois
● Netfcraft
● Way Back Machine
● Exploit-DB

16
 ● Dimitry
● Theharverster
Las herramientas más conocidas para realizar footprinting se manera activa son:
Advanced IP Scanner: Escáner de la red fiable y gratuito para analizar LAN. El programa
escanea todos los dispositivos de red, le da acceso a las carpetas compartidas y a los
servidores FTP, le proporciona control remoto de las computadoras (mediante RDP y
Radmin) e incluso puede apagar las computadoras de manera remota.
Zenmap: Herramienta gratuita utilizada para escanear los puertos. Se puede saber cuáles
están abiertos, para evitar problemas a la hora de usar algunos programas o acceder a un
servidor. Se trata de la interfaz gráfica del popular programa de código abierto Nmap, que
permite hacer un escaneo de puertos completo de cualquier equipo conectado.
Nmap: Programa de código abierto que sirve para efectuar rastreo de puertos escrito
originalmente por Gordon Lyon y cuyo desarrollo se encuentra hoy a cargo de una
comunidad. Fue creado originalmente para Linux aunque actualmente es multiplataforma.
De tal modo que se pueden listar algunas de las técnicas más famosas al momento de
utilizar footprinting:
● Footprinting a través del Motor de Búsqueda
● Footprinting a través de la Ingeniería Social
● Footprinting a través de sitios de Redes Sociales
● Footprinting de Sitio web
● Inteligencia competitiva (Competitive Intelligence)
● Footprinting de WHOIS
● Footprinting usando técnicas avanzadas Google Hacking
● Footprinting de correo electrónico (Email)
● Footprinting DNS
● Footprinting de Red
Por lo tanto, el footprinting es básicamente un proceso de exploración que nos ayuda a
conocer a nuestro enemigo. Para completar el proceso de penetración, uno debe recopilar
tanta información como sea posible.
El ejemplo más cercano que tenemos es Google. Google tiene habilitados unos comandos
llamados Footprints, unos filtros que permiten afinar al máximo los resultados que
devuelve en su buscador.
Otro ejemplo puede ser el evaluar el sitio web de una empresa con su permiso, es una
ilustración de footprinting pasivo pero tratar de acceder a la información sensible a través
de la ingeniería social es una forma de la recopilación (gathering) de información activa e
ilegal.

17
11. Scanning y Enumeration
El escaneo y la enumeración es la fase del hacking ético en la que el atacante comienza a
"tocar" los sistemas. Los atacantes escanean las redes para descubrir hosts en vivo y
puertos abiertos. Luego enumeran los hosts y puertos en vivo para descubrir servicios,
nombres de máquinas y otros recursos de red.
11.1. Scanning
El escaneo de puertos es una de las técnicas más populares que utiliza el atacante para
descubrir servicios que pueden explotar los sistemas. Todos los sistemas conectados a la
LAN o que acceden a la red a través de un módem que ejecuta servicios que escuchan
puertos conocidos.
Al utilizar el escaneo de puertos, se puede explorar información como: qué servicios se
están ejecutando, qué usuarios poseen esos servicios, si se admite el inicio de sesión
anónimo, si ciertos servicios de red requieren autenticación y otros detalles relacionados.
Hay varias técnicas de escaneo de puertos disponibles. Las herramientas conocidas como
Nmap y Nessus han automatizado el proceso de escaneo de puertos. La técnica de
escaneo incluye:
Escaneo del Protocolo de resolución de direcciones (ARP): En esta técnica, se envía
una serie de difusión ARP y el valor del campo de dirección IP de destino se incrementa
en cada paquete de difusión para descubrir dispositivos activos en el segmento de la red
local. Este escaneo nos ayuda a trazar el mapa de toda la red.
Escaneo de conexión de Vanilla TCP: Es la técnica de escaneo básica que utiliza la
llamada al sistema de conexión de un sistema operativo para abrir una conexión a todos
los puertos disponibles.
Escaneo TCP SYN (medio abierto): El análisis SYN es una técnica que utiliza un pirata
informático malintencionado para determinar el estado de un puerto de comunicaciones
sin establecer una conexión completa. Estos escaneos se denominan medio abiertos
porque el sistema atacante no cierra las conexiones abiertas.
Escaneo TCP FIN: Este análisis puede pasar desapercibido a través de la mayoría de los
firewalls, filtros de paquetes y otros programas de detección de análisis. Envía paquetes
FIN al sistema de destino y prepara un informe para la respuesta que recibió.
Exploración de identidad inversa de TCP: Este escaneo descubre el nombre de usuario
del propietario de cualquier proceso conectado TCP en el sistema de destino. Ayuda a un
atacante a utilizar el protocolo de identificación para descubrir quién es el propietario del
proceso al permitir la conexión a puertos abiertos.

18
Escaneo TCP XMAS: Se utiliza para identificar los puertos de escucha en el sistema de
destino. El escaneo manipula los indicadores URG, PSH y FIN del encabezado TCP.
Escaneo TCP ACK: Se utiliza para identificar sitios web activos que pueden no responder
a los pings ICMP estándar. El atacante utiliza este método para determinar el estado del
puerto mediante el reconocimiento recibido.
Escaneo de puertos UDP ICMP: Este escaneo se utiliza para encontrar un gran número
de puertos, especialmente en sistemas Solaris. El escaneo es lento y poco confiable.

11.2. Enumeration
La enumeración en seguridad de la información es el proceso de extraer nombres de
usuario, nombres de máquinas, recursos de red y otros servicios de un sistema. Toda la
información recopilada se utiliza para identificar las vulnerabilidades o puntos débiles en la
seguridad del sistema y luego intenta explotarla.
Hay muchas formas de recopilar datos, como ya se mencionó antes, mediante el
footprinting.
11.3. Prevención
Todos los servidores de acceso público son vulnerables a los escaneos de puertos. No
existe una forma segura de anular el escaneo de puertos, aunque podemos evitarlo.
Una forma de limitar la información obtenida de los escaneos de puertos es cerrar los
servicios innecesarios en los sistemas de destino. Otra forma de limitar la información
proporcionada a los escáneres de puertos es emplear envoltorios TCP, cuando
corresponda. Considerando que, TCP Wrapper le da flexibilidad al administrador para
permitir o denegar el acceso a los servicios basándose en direcciones IP o nombres de
dominio.
Además, otra forma de limitar la pérdida de información a través del escaneo de puertos
es monitorear los escaneos de puertos que se hacen a los sistemas, así se detectan las
solicitudes de conexión en varios puertos seleccionados. Además, de esta forma el
administrador puede seleccionar qué puertos escuchará para las solicitudes de conexión y
una serie de solicitudes no válidas. El administrador enumerará los puertos que su sistema
no admite.
Otra manera es realizando un análisis y mapeo de vulnerabilidades. El análisis de
vulnerabilidades, también conocido como evaluación de vulnerabilidades, es un proceso
que define las vulnerabilidades en un sistema informático, programa o infraestructura de
red. La evaluación de vulnerabilidades se utiliza para evaluar la efectividad real del
sistema.

19
El mapeo de vulnerabilidades es el proceso en el que podemos escanear todo el lugar de
trabajo para proporcionar un mapa detallado que muestre dónde se encuentran los
dispositivos de red vulnerables y qué ataques basados ​en cifrado podrían piratearlos. Una
vez que se han descubierto estos dispositivos perimetrales vulnerables, se pueden reparar
o reemplazar fácilmente según el vector de ataque antes de provocar una violación de la
seguridad de los datos.

12. Troyanos y Backdoors

Un caballo de Troya o troyano es un tipo de malware que a menudo se disfraza de
software legítimo pero que, al ejecutarlo, le brinda al atacante acceso remoto al equipo
infectado. Generalmente, los usuarios son engañados por alguna forma de ingeniería
social para que carguen y ejecuten troyanos en sus sistemas.
La misión de un troyano es crear una puerta trasera (backdoor) que dé acceso al sistema
a un atacante no autorizado. Un troyano backdoor ofrece a los usuarios maliciosos control
a distancia de la computadora infectada. Permiten que el autor haga cualquier cosa que
desee en la computadora infectada, como enviar, recibir, ejecutar y borrar archivos,
mostrar datos y reiniciar la computadora. Los troyanos backdoor a menudo se usan para
crear un grupo de computadoras víctimas y formar una red botnet o zombi que puede
usarse para fines delictivos.
Una vez activados, los troyanos permiten a los cibercriminales las siguientes acciones:
● Espionaje
● Robo de información confidencial
● Eliminar datos
● Bloquear datos
● Modificar datos
● Copiar datos
● Interrumpir el funcionamiento de computadoras o redes de computadoras
A diferencia de los virus y gusanos, los troyanos no son capaces de autorreplicarse.
12.1. Prevención
Las recomendaciones ante este tipo de malware son:
● Instalación de un antimalware eficaz
● Instalación de protección contra troyanos en tiempo-real
● Actualización de programas antivirus
● Realización de escaneos diarios
● Hacer caso omiso de vínculos en correos electrónicos o adjuntos desconocidos
● Navegación web inteligente

20
13. Malware
Malware, o software malicioso, es un término general para cualquier tipo de software con
intenciones maliciosas. La mayoría de las amenazas online son algún tipo de malware y
por consiguiente hay muchos tipos de malware y cada uno busca sus objetivos de un
modo diferente. Sin embargo, todas las variantes comparten dos rasgos definitorios: son
subrepticios y trabajan activamente en contra de los intereses de la persona atacada.
Sea cual sea su tipo, todo malware sigue el mismo patrón básico: El usuario descarga o
instala involuntariamente el malware, que infecta el dispositivo.
La mayoría de las infecciones se producen cuando se realiza sin saberlo una acción que
provoca la descarga del malware. Esta acción podría ser un clic en el enlace de un correo
electrónico o la visita a un sitio web malicioso. En otros casos, los hackers extienden el
malware mediante servicios peer-to-peer (punto a punto) de compartición de archivos y
paquetes de descarga de software gratuito. Insertar malware en un torrent o una descarga
popular es una manera efectiva de extenderlo por una base de usuarios más amplia. Los
dispositivos móviles también pueden infectarse mediante mensajes de texto.
Otra técnica es cargar malware en el firmware de una unidad USB o flash. Como el
malware está cargado en el hardware interno del dispositivo (y no en el almacenamiento
de archivos), es improbable que el dispositivo lo detecte.
Una vez instalado, el malware infecta el dispositivo y comienza a trabajar para cumplir los
objetivos del hacker. La forma de hacerlo es lo que distingue los distintos tipos de
malware.
13.1. Tipos de malware
La mayoría del malware puede entrar en las siguientes categorías básicas, dependiendo
de su funcionamiento:
Ransomware: Es la versión malware de la nota de rescate de un secuestrador. Suele
funcionar bloqueando o denegando el acceso a su dispositivo y sus archivos hasta que
pague un rescate al hacker. Cualquier persona o grupo que guarde información esencial
en sus dispositivos corre peligro frente a la amenaza del ransomware.
Spyware: Recaba información sobre un dispositivo o red para luego enviársela al atacante.
Los hackers suelen utilizar spyware para supervisar la actividad en Internet de una
persona y recopilar datos personales, incluidas credenciales de inicio de sesión, números
de tarjeta de crédito o información financiera, con el propósito de cometer fraude o robo de
identidad.
Virus o Gusanos (worms): Están diseñados con un objetivo en mente: proliferar. Un
gusano infecta un equipo y después se replica y se extiende a dispositivos adicionales,

21
permaneciendo activo en todas las máquinas afectadas. Algunos gusanos actúan como
mensajeros para instalar malware adicional. Otros están diseñados solo para extenderse y
no causan daño intencionadamente a las máquinas anfitrionas, aunque siguen atestando
las redes con sus demandas de ancho de banda.
Adware: Su función es crear ingresos para el desarrollador sometiendo a la víctima a
publicidad no deseada. Algunos tipos comunes de adware son los juegos gratuitos y las
barras de herramientas para el navegador. Recaban datos personales acerca de la víctima
y después los emplean para personalizar los anuncios que muestran.
Troyanos: Como ya se mencionó anteriormente, el malware troyano se infiltra en el
dispositivo de una víctima presentándose como software legítimo. Una vez instalado, el
troyano se activa y, en ocasiones, llega incluso a descargar malware adicional.
Redes de robots (botnets): Una red de robots no es un tipo de malware, sino una red de
equipos o de código informático que puede desarrollar o ejecutar malware. Los atacantes
infectan un grupo de equipos con software malicioso conocido como “robots” (o “bots”),
capaz de recibir órdenes desde su controlador. A continuación, estos equipos forman una
red que proporciona al controlador acceso a una capacidad de procesamiento sustancial.
Dicha capacidad puede emplearse para coordinar ataques, enviar spam, robar datos y
crear anuncios falsos en su navegador.
Es importante aclarar la diferencia entre un virus y malware, mientras que todos los virus
informáticos son malware, no todo el malware son virus. Los virus son solo un tipo de
malware. Mucha gente emplea los dos términos como sinónimos, pero, desde un punto de
vista técnico, virus y malware no son lo mismo.
Un virus o gusano es un programa de software malicioso que puede replicarse a sí mismo
en ordenadores o a través de redes de ordenadores sin que el usuario se de cuenta de
que el equipo está infectado. Como cada copia del virus o gusano informático también
puede reproducirse, las infecciones pueden propagarse de forma muy rápida. Existen
muchos tipos diferentes de virus y gusanos informáticos, y muchos de ellos pueden
provocar grandes niveles de destrucción.
La subclase de virus y gusanos de los programas de software malicioso incluyen los
siguientes:
● Email-Worm
● IM-Worm
● IRC-Worm
● Net-Worm
● P2P-Worm
● Virus
● Gusanos informáticos

22
La mayoría de los gusanos informáticos conocidos se propagan de una de las formas
siguientes:
● Archivos enviados como archivos adjuntos a correos electrónicos
● A través de un enlace a un recurso web o FTP
● A través de un enlace enviado en un mensaje ICQ o IRC
● A través de redes de uso compartido de archivos P2P (punto a punto, del inglés
"peer-to-peer")
● Algunos gusanos se propagan como paquetes de red que se introducen
directamente en la memoria del ordenador para, a continuación, activar el código
del gusano.
13.2. Prevención
La mejor protección contra el malware es un potente programa antivirus de un proveedor
de confianza, pero además se deben aplicar acciones como:
● Actualizaciones regulares.
● Cuidado con fuentes de datos desconocidas.
● Precaución con archivos desconocidos de internet.
● Cuidado al instalar un software nuevo, se debe conocer su precedencia.
● Copias de seguridad regulares.
● Uso de contraseñas seguras.
13.3. Manejo y respuesta
En la mayoría de los casos, es posible eliminar el malware y devolver el dispositivo a su
estado normal.
Los pasos generales serían:
1. Cortar la conexión a Internet.
2. No ejecutar ningún programa.
3. Asegurar la copia de seguridad.
4. Realizar un análisis del sistema.
5. Intentar eliminar el virus.
Si algún malware es muy difícil de eliminar una vez que se engancha al sistema. Una
herramienta de eliminación de malware es el modo más sencillo y fiable de garantizar la
erradicación de este software malicioso. Están especialmente diseñadas para detectar el
malware de forma automática y eliminarlo de su dispositivo.

23
14. Interceptar el Tráfico de Red
Esto es el análisis de los datos en tiempo real o para un análisis posterior que circulan
dentro de una red, o bien pueden entrar y salir de esta, en donde se puede detectar
gracias a este análisis posibles fugas de información no deseada o bien la entrada de
algún ataque dirigido a la red de la organización. Esto normalmente se hace con
programas especializados, comúnmente denominados “sniffers”. Existen los más sencillos
que utilizan la línea de comandos del sistema operativo o bien algunos más complejos con
interfaz gráfica.
¿Cómo afecta?
Esto es una medida de seguridad que las organizaciones implementan para mejorar la
seguridad, que en realidad no es afectable a la organización como tal, a lo mucho podría
únicamente una caída en la velocidad de la red tan minúscula que es indetectable para los
usuarios de la red.
Aunque bien estos programas tienen la mala fama de ser utilizados por personas con
intenciones maliciosas, es también una realidad que pueden ser utilizados para maximizar
la seguridad de las redes.
Lo anterior responde por sí solo a la pregunta de la prevención, pues esto en lugar de
prevenirse, debe de implementarse.
Los ejemplos de estos programas podrían ser claramente Wireshark que es utilizado
para realizar análisis y solucionar problemas en las redes de comunicaciones
para desarrollo de software y protocolos y en algunos casos, como una
“herramienta didáctica” para la educación. Ofrece una interfaz gráfica de
usuario, muestra filtros y herramientas integradas de edición de paquetes,
soporta una amplia lista de protocolos diferentes y trabaja en casi cualquier red
y sistema operativo.
Si hemos de mencionar un ejemplo menos específico, podríamos poner como
ejemplo los bancos, ya que pueden, en caso de requerirse, analizar los
movimientos de sus clientes y todo lo relacionado a sus cuentas bancarias.

24
15. Filtración y Análisis de Paquetes Explotación de la Vulnerabilidad de
Root Remoto
El root remoto es en esencia el inicio de sesión en un servidor interno de una organización
por medio de internet, NO desde la red interna, sino desde un punto fuera de esta. Esto
involucra tener que utilizar algún recurso para entrar en la red privada, lo que a su vez,
significa que los datos internos se ven expuestos al tener que salir de la red privada hacia.
Esto es un caso de vulnerabilidad grave, ya que la persona que entra al root remoto puede
hacer uso de la información como la prefiera.
Debido a esto es que la mejor forma de prevenirlo es dar el privilegio de estos accesos a
personas de verdadera confianza para la compañía, que pueden ser altos mandos o
personal que lleve mucho tiempo trabajando, o bien, dar privilegios de acceso diferentes
dependiendo del usuario que vaya a acceder, lo que sobretodo se ha tenido que
implementar de manera apresurada y masiva debido a la pandemia global.
Además de estos aspectos en donde está involucrada una persona interna, también
existen situaciones en donde a los servidores se les puede atacar de manera remota por
el root remoto, ya que de no tener los elementos necesarios de seguridad, pueden ser
atacados por randsoomware e infectar los datos que en el residan.
Para prevenir estos ataques lo primero que habría que hacer es valorar si es realmente
necesario utilizar un escritorio remoto, ya que cualquier sitio público en internet supone un
riesgo añadido a la seguridad.
Entre otras acciones a tomar está:
● Sistemas actualizados
● Redes Privadas Virtuales (VPN)
● Nombres de usuario y contraseñas robustas
● Doble factor de autenticación

16. Sniffers en el entorno Alambre – Inalámbrico

Los Sniffers son programas que se utilizan para controlar el tráfico en la red, analizar los
datos que viajan en ella o que entran y salen de esta.
Este tema es abordado en el punto 14 de este documento y al ser dos temas iguales, uno
una herramienta del otro, podría ser redundante.

25
17. Ingeniería Social, Email Phishing
Los estafadores usan mensajes de correo electrónico o mensajes de texto para engañar y
lograr que los usuarios otorguen voluntariamente su información personal. Pueden tratar
de robar contraseñas, números de cuenta o números de Seguro Social. Si consiguen esa
información, podrían acceder a cuentas de correo, banco u otras cosas más sensibles.
Todos los días, los estafadores lanzan miles de ataques de phishing como estos, y suelen
tener éxito.
Si algún usuario de la red cae en el phishing se puede correr un gran riesgo para la
organización, ya que se entiende que las contraseñas de la compañía están en manos de
una persona no autorizada para acceder a la información.
Los métodos de prevención son saber identificar los correos de phishing para ignorarlos y
eliminarlos inmediatamente. Pero hablando en el ámbito organizacional lo mejor sería
evitar la entrada de publicidad de cualquier tipo a los correos de la compañía o bien, todo
correo que no exista en el dominio de esta, lo que significa que el riesgo de phishing es
nulo, además de capacitar a los miembros de la organización para ignorar cualquier correo
publicitario.
En el caso de caer en estas trampas, lo mejor sería cambiar todas las contraseñas
inmediatamente de enterarse que han sido vulnerados
El Internet Crime Complaint Center del FBI reportó que la gente perdió $30 millones de
dólares en un año con esquemas de phishing.
El 5 de mayo de 2017 muchos usuarios reportaron que estaban recibiendo un correo
sospechoso a través de Gmail donde se incluía un archivo de texto de Google Docs. Bajo
el título "[un contacto que conoces] te ha compartido un documento en Google Docs", la
estafa era demasiado convincente, lo que llevó a que millones de personas hicieran clic
para que el ataque se propagara rápidamente en todo el mundo.

18. Esteganografía y Criptografía

La principal diferencia entre criptografía y esteganografía es que la primera cifra archivos
conservando el archivo auténtico visible. Sin embargo, al abrirlo permitirá leerlo siempre y
cuando se conozca la clave. La estenografía, en cambio, implica toda una serie de
técnicas (propias del área de seguridad informática) para ocultar objetos dentro de otros y
que estos pasen desapercibidos. Es decir, que mientras que la criptografía codifica
información para que sea difícil de ver por intrusos (quienes conocen su existencia), la
esteganografía la oculta por completo.

26
Dado que la esteganografía supone un nivel de seguridad más elevado, también
representa un riesgo menor de decodificación; al contrario que la criptografía, para la cual
bastará diseñar una clave super elaborada. Un claro ejemplo de la utilización de
esteganografía en la actualidad es la firma digital, así como en el caso de la criptografía
son los nuevos softwares de encriptación tales como Steganos Safe ó AxCrypt.

19. Firewall y Honeypots

El honeypot es un sistema que se puede configurar en cualquier red con el objetivo de
registrar los ataques que reciben y que sirven como una alerta temprana para prevenir
otros ataques en la red. Por otro lado, nos permite tener la procedencia de las amenazas
que existan y las técnicas con las cuales se pueden enfrentar.
Un honeypot es un señuelo en la red, por lo tanto, no existe una razón legítima para que
los usuarios de una organización intenten acceder a él. La idea es implementar el sistema
es hacer creer que si están apuntando a un sistema real, sin embargo se estarán
desplegando las actividades maliciosas en un ambiente controlado por uno mismo.
Es importante tenerlos perfectamente aislados del resto de la red para impedir que un
ataque sea exitoso y acceda a nuestra red. La información se genera en este sistema es
extremadamente detallada, como difícil de que un atacante pueda darse cuenta de que
está siendo engañado.
Esta herramienta es poderosa para un administrador de red o encargado de seguridad
porque pueden implementar para descubrir posibles amenazas, capturar muestras y
generar una alerta temprano sobre un ataque y para conocer las técnicas que los
atacantes pueden utilizar contra la organización.

20. IDS y IPS (Sistema de Detección de Intrusiones - Prevención de

Intrusiones)
IPS
Un Sistema de Prevención de Intrusos es un dispositivo de seguridad, fundamentalmente
para redes, que se encarga de monitorear actividades a nivel de la capa 3 (red) y/o a nivel
de la capa 7 (aplicación) del Modelo OSI, con el fin de identificar comportamientos
maliciosos, sospechosos e indebidos, a fin de reaccionar ante ellos en tiempo real
mediante una acción de contingencia.
Los Sistemas de Detección de Intrusos tienen como ventaja respecto de los firewalls
tradicionales, el que toman decisiones de control de acceso basados en los contenidos del
tráfico, en lugar de hacerlo basados en direcciones o puertos IP.

27
El contraste entre un IPS y un IDS radica en que este último es reactivo, pues alerta ante
la detección de un posible intruso, mientras que el primero es proactivo, pues establece
políticas de seguridad para proteger el equipo o la red de un posible ataque.

Clasificación de los IPS.

Clasificación de acuerdo al método de detección:

● IPS basado en firmas o signaturas: cuentan con una base de datos de “firmas”,
en la cual se reflejan patrones conocidos de ataques a la seguridad de un
dispositivo o una red.
● IPS basado en anomalías: esta funcionalidad intenta identificar un comportamiento
diferente que se desvíe de lo que, de alguna forma, se ha predefinido como una
“actuación normal” de un dispositivo o una red.
● IPS basado en políticas: El IPS reconoce el tráfico definido por el perfil
establecido, permitiendo o descartando paquetes de datos, por lo que su manera de
actuar ocurre de forma muy similar al funcionamiento de un firewall.
● IPS basados en detección por Honey Pot (Pote de Miel): funciona usando un
equipo configurado para que, a primera vista, parezca ser vulnerable e interesante
para un ataque, de forma tal, que al ocurrir estos, se deja evidencia de la forma de
actuar

Clasificación de acuerdo a su tecnología:

● IPS basado en host: monitorea las características de un dispositivo de un abonado

de la red en particular, para detectar actividades dentro del mismo. Entre las
características que supervisa se encuentran: el tráfico de red cableada o
inalámbrica, registros del sistema, acceso de los usuarios
● IPS basado en la red: Su funcionamiento se caracteriza por el análisis en tiempo
real de los paquetes de datos del tráfico (cableado o inalámbrico), en busca de
patrones que puedan suponer algún tipo de ataque. Una solución recomendada
para la detección de intrusos que proceden de redes no fiables, es que el sistema
IPS resida junto con el firewall en el mismo dispositivo.

Funcionamiento

El procesamiento de un IPS está basado en un conjunto de instrucciones altamente

especializadas, que permiten inspeccionar de forma total cada bit de un paquete de datos
intercambiado. El tráfico de datos es clasificado e inspeccionado en su totalidad por todos
los filtros relevantes antes de que se permita su salida, lo que se realiza analizando la

28
información del encabezamiento de cada paquete, como puertos y direcciones IP de
fuente y destino, y los campos de aplicación.
Cada filtro consta de un conjunto de reglas que definen las condiciones que deben
cumplirse para llegar a saber si un paquete o flujo es malicioso o no. A fin de impedir que
un ataque alcance su objetivo, en el instante en que se determina que un flujo es
malicioso, se detiene el avance de los paquetes, así como de aquellos que lleguen
posteriormente y que pertenezcan a dicho flujo.

Puede ocurrir, además, un ataque multiflujo, dirigido a desactivar una red inundándose de
paquetes, por lo que se requieren filtros que realicen estadísticas e identifiquen anomalías
en varios flujos agregados.
Los IPS más avanzados, combinan procesamiento masivo de paquetes en paralelo, para
realizar chequeos simultáneamente. El procesamiento en paralelo generalmente se
implementa sobre hardware, porque las soluciones de software convencionales,
disminuyen por lo general el rendimiento.

Ejemplos de IPS:
1. SolarWinds Log & Event Manager (PRUEBA GRATUITA)
2. Splunk
3. Sagan
4. OSSEC
IPv4: ¿Cuál es la diferencia entre Unicast, Broadcast y Multicast?
5. Abrir WIPS-NG
6. Fail2Ban
7. Bro Monitor de seguridad de red

IDS
Un Sistema de Detección de Intrusos (IDS: Intrusion Detection System) es un componente
dentro del modelo de seguridad informática de una organización. Consiste en detectar
actividades inapropiadas, incorrectas o anómalas, desde el exterior o interior de un
dispositivo o una infraestructura de red.
Un modelo IDS intenta crear patrones de comportamiento de usuarios respecto al uso de
programas, archivos y dispositivos, tanto a corto como a mediano y largo plazo, para hacer

29
la detección efectiva; además, utiliza un sistema de reglas predefinidas (“firmas o
signaturas”) para la representación de violaciones conocidas.
Funcionamiento
El funcionamiento de un Sistema de Detección de Intrusos se basa en el análisis
pormenorizado del tráfico de red o el uso de los dispositivos. Para la evaluación se
compara la situación con firmas de ataques conocidos, o comportamientos sospechosos.
La mayoría de los IDS suelen disponer de una base de datos de “firmas” de ataques
conocidos, que le permiten distinguir entre el uso normal de un dispositivo y el uso
fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un
ataque o intento del mismo.
Normalmente un IDS es integrado con un firewall, de preferencia en un dispositivo que
funcione como puerta de enlace de una red. Esta asociación es muy poderosa, ya que se
une la inteligencia del IDS y el poder de bloqueo del firewall, en el punto donde
forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la
red.
Detección de Anomalías
De forma general, la mayoría de las actividades intrusivas resultan de la suma de otras
actividades individuales que por sí solas no constituyen un comportamiento intrusivo; así
las intrusiones pueden clasificarse en:

● Intrusivas pero no anómalas: denominados Falsos Negativos (el sistema

erróneamente indica ausencia de intrusión). En este caso la actividad es intrusiva
pero como no es anómala no es detectada. No son deseables, porque dan una
falsa sensación de seguridad del sistema.
● No intrusivas pero anómalas: denominados Falsos Positivos (el sistema
erróneamente indica la existencia de intrusión). En este caso la actividad es no
intrusiva, pero como es anómala el sistema "decide" que es intrusiva. Deben
intentar minimizarse, ya que en caso contrario se ignorarán los avisos del sistema,
incluso cuando sean acertados.
● No intrusiva ni anómala: son Negativos Verdaderos, la actividad es no intrusiva y
se indica como tal.
● Intrusiva y anómala: se denominan Positivos Verdaderos, la actividad es intrusiva
y es detectada.
Los detectores de intrusiones anómalas requieren realizar muchas estimaciones de varias
métricas estadísticas, para determinar cuánto se aleja el usuario de lo que se considera
comportamiento normal.

30
Ejemplos de IDS:
1. Cisco NGIPS
2. Corelight y Zeek
3. Fidelis Network
4. FireEye Intrusion Prevention System
5. Hillstone S-Series
6. McAfee Network Security Platform
7. OSSEC
8. Snort
9. Trend Micro TippingPoint
10. Vectra Cognito

21. Secuestro de SesiónSPAM

Secuestro de Sesión
El secuestro de sesión es la explotación de una sesión de computadora para obtener
acceso no autorizado a su información o servicios en un sistema. A través del robo de los
cookies del sistema, se puede autenticar a un usuario en un servidor remoto y darle
acceso al servidor. Tras el robo exitoso de las cookies, un atacante podría usar la técnica
“Pass the Cookie” para realizar el secuestro de sesión. Las ID de sesión son una delicia
para los hackers maliciosos. Con una ID de sesión, puede obtener acceso no autorizado a
una aplicación web y suplantar a un usuario válido.
HIJACKING
Los secuestradores de navegador son malwares, por norma general poco peligrosos, que
pueden redirigirnos a otras páginas web que roben información o puedan estafar al
usuario. En el momento que un equipo se ve atacado por estos secuestradores del
navegador, la página inicial del motor de búsqueda se altera, impidiendo además que el
usuario pueda cambiarla.
Otra de las acciones que suele ocurrir en estos ataques es mostrar publicidad mediante
pop-ups, la instalación de barras de herramientas o bloquear el acceso a algunas páginas
web, aunque en los casos más graves incluso pueden falsear las búsquedas que se hagan
en Google.

31
Aunque este es el hijacking más común, lo cierto es que podemos encontrar multitud de
ataques y secuestros relacionados con los elementos de Internet.
Afectaciones.
De dominios
El dominio se toma de manera ilegal. En esta estafa, los autores tienen acceso al registro
de dominios a través del robo de identidad. Es decir, el secuestrador emplea la identidad
del propietario legítimo para poder modificar la información del registro y reasignar el
dominio a sí mismo y robarlo.
De contenido
El secuestro de contenido se basa en publicar contenido de otras webs como propio. Es
decir, se trata de contenido publicado que será detectado por los motores de búsqueda.
Por otro lado, se puede emplear una versión del contenido existente en tu web de manera
condensada y que está automatizado.
De URL
La página se elimina del ranking del motor de búsqueda y se reemplaza por otra página
que se vincule a ésta.
De sesión
Este tipo de secuestro explota una sesión válida mediante el que se roba una ID de
sesión. Esto puede realizarse mediante una escucha pasiva en el momento en el que se
envía a otro servidor a través de cookies. Si el ID de sesión es válido, el atacante tiene el
control de la sesión y puede usarla siempre que quiera.
De motores de búsqueda
Este tipo de secuestros se dan cuando los navegadores ofrecen campos separados para
los motores de búsqueda. Es decir, un motor de búsqueda puede ser cambiado a otro con
otra URL.
Cómo identificar un hijacker
Uno de los principales síntomas que presenta este secuestro es el cambio de pantalla de
inicio del navegador ya que, por norma general, en este tipo de amenazas se cambia el
motor de búsqueda predeterminado para que puedan ajustarlo según sus necesidades.
Otra de las formas de detectarlo es que, pasado un periodo de tiempo tras haber sido
infectados, podemos ver cómo el navegador abre ciertas páginas de forma automática.
Prevenir el hijacking

32
Una de las precauciones principales que debemos de tener en cuenta para evitar este tipo
de ataque es prestar especial atención a todo lo que instalamos en nuestro ordenador y
qué sitios de internet estamos visitando.
Aunque una de las formas más fáciles en cuanto a páginas web para prevenir estos
ataques es registrar el dominio en una página web que proporcione protección contra
secuestro. Hoy en día podemos encontrar multitud de servicios de hosting en los que
podemos registrar un dominio seguro mediante unos pasos muy sencillos.
Otra forma de evitar estos secuestros es emplear software antivirus con controles de red.
Así, cuando el software detecte que la URL se dirige a una IP que sea sospechosa, se
bloqueará la web alertando al usuario. Podemos encontrar ciertas herramientas como
Kaspersky o Eset, que analizan todas las IP que se quieren conectar.

22. Denegación de Servicio DOS y otros ataques

Un ataque de denegación de servicio, tiene como objetivo inhabilitar el uso de un sistema,
una aplicación o una máquina, con el fin de bloquear el servicio para el que está
destinado. Este ataque puede afectar, tanto a la fuente que ofrece la información como
puede ser una aplicación o el canal de transmisión, como la red informática.
Existen dos técnicas de este tipo de ataques: la denegación de servicio o DoS (por sus
siglas en inglés Denial of Service) y la denegación de servicio distribuido o DDoS (por sus
siglas en inglés Distributed Denial of Service). La diferencia entre ambos es el número de
ordenadores o IP´s que realizan el ataque.
En los ataques DoS se generan una cantidad masiva de peticiones al servicio desde una
misma máquina o dirección IP, consumiendo así los recursos que ofrece el servicio hasta
que llega un momento en que no tiene capacidad de respuesta y comienza a rechazar
peticiones, esto es cuando se materializa la denegación del servicio.

En el caso de los ataques DDoS, se realizan peticiones o conexiones empleando un gran

número de ordenadores o direcciones IP. Estas peticiones se realizan todas al mismo
tiempo y hacia el mismo servicio objeto del ataque. Un ataque DDoS es más difícil de
detectar, ya que el número de peticiones provienen desde diferentes IP´s y el
administrador no puede bloquear la IP que está realizando las peticiones, como sí ocurre
en el ataque DoS.
Afectaciones.

33
El objetivo de los ciberdelincuentes es provocar un perjuicio, tanto a los usuarios que se
abastecen del servicio, como al administrador que lo ofrece, inhabilitando su funcionalidad
y provocando pérdidas, tanto económicas, como de prestigio.
Prevención
Como usuarios debemos revisar la configuración de nuestros routers y firewalls para
detectar IP´s inválidas o falsas, que provengan de posibles atacantes. Normalmente,
nuestro Proveedor de Servicios de Internet (ISP) se encarga de que nuestro router esté al
día con esta configuración.
Por otro lado, las Organizaciones y empresas que proveen estos servicios, deben proteger
tanto su red, como toda su infraestructura para poder evitar que estos ataques puedan
afectar al desempeño de su trabajo y como consecuencia derivada de ello, a sus clientes.
Si una empresa se ve afectada por un ataque de denegación de servicio (DoS) perderá la
confianza de sus clientes y descartaron la contratación de sus servicios.
Ejemplo
1. UDP Flood (Saturación UDP).
Este ataque DDoS aprovecha el protocolo UDP (User Datagram Protocol), un protocolo de
red que no necesita una sesión iniciada en el equipo remoto. Este tipo de ataque inunda
puertos aleatorios dicho host remoto con numerosos paquetes UDP , causando que el
equipo víctima compruebe ante cada petición a cada puerto, si hay alguna aplicación
escuchando en destino; y en caso de no haberla responde con un paquete ICMP (Internet
Control Message Protocol) de error de destino. Al ser el número de paquetes enviados
enormemente exagerado, este proceso agota los recursos del servidor o equipo, y en
última instancia puede conducir a la inaccesibilidad.

2. ICMP Flood (Saturación por Ping).

Similar en principio al ataque de inundación UDP, este en particular satura el recurso de
destino con solicitud de paquetes “eco” ICMP (más conocido como ping), básicamente se
trata de enviar paquetes de solicitud sin esperar los paquetes de respuesta. Este tipo de
ataque puede consumir tanto ancho de banda saliente y entrante , ya que las solicitudes
intentarán ser respondidas con paquetes ICMP mientras no paran de llegar nuevos
paquetes, dando como resultado una significativa desaceleración general del sistema,
hasta lograr la caída del servicio o el reinicio de la máquina. Los ataques mediante ICMP
flood pueden ser detenidos gracias a la configuración de Listas de Control de Acceso
(ACL’s) en routers y switches.

34
3. Service Port Flood (Ataque sobre Puertos de Servicio).
Así como en los ataques UDP Flood se atacaban puertos aleatoriamente, en este tipo de
ataques las peticiones irán dirigidas hacia los puertos estándar en los que se conoce que
habrá más volumen de tráfico (el puerto TCP 80, por ejemplo) tanto entrante como
saliente. Estamos ante un tipo de ataque considerado de los más complejos para evitarlos
o detenerlos. Por lo que deberemos implementar herramientas específicas para esta tarea
o derivar todas nuestras comunicaciones por un mitigador o analizador de tráfico que
detecte estos ataques.

4. HTTP Flood (Saturación HTTP).

En los ataques por HTTP DoS, como atacantes haremos uso de peticiones GET o POST
en apariencia válidas para atacar servidores o aplicaciones web . Aquí no usaremos
paquetes con tamaños abusivos ni nada por el estilo. Este ataque hace uso de muchísimo
menos ancho de banda para inhabilitar a nuestra víctima, o incluso tomar el control. Uno
de los usos más habituales de este ataque, es el de usar la máquina que acabamos de
atacar para usar sus recursos y atacar a otros servidores o aplicaciones web; o dicho de
otra forma para comenzar a crear una botnet o seguir ampliando la que ya tenemos.

5. SYN Flood.
Así funciona la secuencia de conexión de tres pasos del protocolo SYN. Nosotros
enviamos una petición SYN para iniciar la conexión TCP que el host al que conectamos
debe responder con un paquete SYN-ACK para confirmarlo con una respuesta ACK. El
ataque comienza cuando ignoramos la petición ACK por parte de nuestro objetivo, este
mantiene las conexiones abiertas a la espera de respuesta y nosotros continuamos
enviando paquetes SYN, lo que provoca que dicha máquina siga enviando peticiones
SYN-ACK; saturando así el tráfico saliente y entrante del host . Los ataques SYN flood
pueden ser detenidos fácilmente con la implementación de firewalls, tanto de tipo
hardware como software.

23. Ataques de Privilege Escalation

Es una situación que ocurre cuando un usuario malicioso explota una vulnerabilidad. Esta
puede consistir en un bug o un fallo en el diseño de la aplicación. También puede tratarse

35
de cierto error de configuración de la aplicación o del sistema operativo en el cual está
operando el usuario.
Básicamente, lo que sucede es que el que está realizando el ataque, termina obteniendo
acceso privilegiado a recursos que, de acuerdo a sus permisos por defecto, no debería
tenerlos. Dichos privilegios de acceso le darán la posibilidad de robar datos confidenciales
y/o de carácter sensible, ejecutar comandos con permisos de administrador.
Prevención
Si eres responsable de la administración de los usuarios en una organización, lo primero
que debes reforzar es la protección a aquellos que tienen menor cantidad de privilegios o
permisos:
Reforzar las políticas de contraseñas:
Se promueve el hecho de utilizar contraseñas con mayor complejidad de lo usual, ya
permite que las contraseñas sean seguras al incluir: caracteres especiales, números, que
no contenga información directa relacionada al usuario, etc.
Creación de usuarios especiales y grupos de usuarios con mínimos privilegios:
Esto mitiga en gran medida el riesgo de vulneraciones por parte de usuarios que hayan
sido comprometidos por circunstancias maliciosas. Recuerda aplicar todo tipo de
privilegios a los usuarios de acuerdo a lo que realmente necesitan, de acuerdo a sus
funciones y requerimientos.
Evitar los típicos errores de programación de aplicaciones: Esta es una de las
prácticas más importantes. Promoviendo la puesta en marcha de las mismas dentro del
equipo de desarrollo, garantizará que las aplicaciones sean verdaderamente de alta
calidad.
Mantener la seguridad de las bases de datos y filtros de ingreso de datos de
usuarios: Las bases de datos son uno de los objetivos más atractivos para los
cibercriminales. Especialmente porque cualquier dato relacionado a aplicaciones web u
otros recursos relacionados se encuentra almacenado en estos. Es importante protegerlos
especialmente de ataques muy peligrosos como la inyección SQL.

24. Hackear listas de Control de Acceso basadas en IPHackear

Servidores Web y Aplicaciones WebHackear con archivos de imagen

Hackear Servidores Web y Aplicaciones Web

Clickjacking

36
Este ataque consiste en engañar al usuario para que pulse en un enlace, botón o imagen
malicioso que estará de forma oculta o transparente y sobrepuesto en una zona específica
del sitio web (por ejemplo, el menú);
Cross-site Request Forgery (CSRF)
Este ataque consiste en engañar al usuario para que realice una acción determinada
sobre una aplicación web vulnerable y sin que la víctima se percate de ello.
Cross Site Scripting (XSS)
Esta vulnerabilidad permite que un atacante pueda ejecutar código en el navegador del
cliente (víctima), pudiendo este conseguir, credenciales o cookies de sesión, redirigir
conexiones a sitios con contenido malicioso, realizar ataques de phishing utilizando el
servidor, e incluso lanzar ataques de denegación de servicio sobre el navegador del
usuario.
Inyección SQL (SQL Injection)
Un ataque de inyección de código SQL trata de la manipulación de un parámetro de
entrada que introduce el cliente hacia la aplicación web. Mediante una cadena de texto
especialmente manipulada, se podría modificar la consulta SQL que realiza la aplicación
contra el backend y recuperar consultas arbitrarias, pudiendo descargar y obtener
información crítica de la base de datos, subir ficheros (Shell reversa) o evadir sistemas de
autenticación sin el uso de credenciales legítimas.
Hackear con archivos de imagen
FakeImageExploiter almacena todos los archivos en apache2, crea un archivo, inicia los
servicios de apache2 y Metasploit y proporciona una URL que se enviará al dispositivo
objetivo, mencionan los expertos en forense digital. Tan pronto como el usuario ejecuta el
archivo, la imagen se cargará y abrirá en el visor de imágenes predeterminado, luego se
ejecutará la información maliciosa y se iniciará una sesión activa de meterpreter.
La herramienta también almacena el agente en la carpeta FakeImageExploiter/output en
caso de que el usuario desee usar agent.jpg.exe en otra variante de ataque. Además,
FakeImageExploiter también crea un archivo cleaner.rc para eliminar las cargas útiles que
quedan en el host de destino.

Prevención:

37
1. Mantén tu software actualizado: Actualizar tu sistema constantemente es importante,
algunos programas se van quedando obsoletos, por ende, con los nuevos y actualizados
que van saliendo es más fácil entrar a tu base de datos.
2. Manejo de usuarios y contraseñas: El nombre de usuario más común es admin y la
contraseña más común es contraseña, es importante escoger palabras complicadas,
sabemos que si combinas mayúsculas, minúsculas y signos de escritura lo termines
olvidando todo al día siguiente pero siempre todo anotado en un papel guardado en un
lugar seguro te puede evitar muchos dolores de cabeza.
3. Usa plugins confiables y actualizados
Los plugins son upgrades para CMS como WordPress, que se le pueden hacer a tu sitio
para que tenga mejor apariencia o funcionamiento. Instalar uno que refuerce la seguridad
de tu página también es muy recomendable. Para esto te aconsejamos que preguntes a tu
desarrollador de páginas web o proveedor de hosting. Solo utiliza plugins autorizados y
reconocidos (buen rating) y que estén actualizados frecuentemente. Tu tarea es estar
actualizando estos con frecuencia, así como la versión de tu CMS.
4. Utiliza las herramientas Webmaster Tools de Google (ahora search engine
console)
Google ofrece herramientas que te ayudan a manejar toda la cuestión de seguridad, por
ejemplo, monitorea constantemente tu sitio y los motores de búsqueda, si existe algo
inusual lo reporta de inmediato.

25. Rompiendo bases de datos con ataques avanzados de Inyección de

SQL y Prevención
Una vulnerabilidad de inyección SQL proporciona a un atacante un acceso completo a la
base de datos de su aplicación mediante el uso de sentencias SQL maliciosas.
Tipos de ataques con inyección de SQL
Inyección SQL en banda
La inyección SQL en banda es la forma más simple de inyección SQL. En este proceso, el
atacante es capaz de utilizar el mismo canal para insertar el código SQL malicioso en la
aplicación, así como para recoger los resultados. Discutiremos dos formas de ataques de
inyección SQL en banda:

Ataque basado en errores

38
Un atacante utiliza una técnica de inyección SQL basada en errores durante las fases
iniciales de su ataque. La idea detrás de una inyección SQL basada en errores es obtener
más información sobre la estructura de la base de datos y los nombres de las tablas que
sigue la aplicación web. Por ejemplo, un mensaje de error puede contener el nombre de la
tabla incluido en la consulta y los nombres de las columnas de la tabla. Estos datos
pueden ser utilizados para crear nuevos ataques.

Ataque basado en la Unión

En este método, un atacante que utiliza la unión SQL se une para mostrar los resultados
de una tabla diferente. Por ejemplo, si un atacante está en una página de búsqueda,
puede añadir los resultados de otra tabla.
Inyección SQL Inferencial (Blind SQL Injection)
En esta forma de inyección SQL, el atacante envía varias consultas a la base de datos
para evaluar cómo la aplicación analiza estas respuestas. Una inyección SQL inferencial
es a veces también conocida como inyección SQL ciega.
Inyección SQL fuera de banda
Si un atacante no puede obtener los resultados de una inyección SQL a través del mismo
canal. Las técnicas de inyección SQL fuera de banda pueden utilizarse como alternativa a
las técnicas de inyección SQL inferencial.
¿Cómo prevenir este tipo de ataques?
Entradas Escape del usuario
En términos generales, es una tarea difícil determinar si una cadena de usuario es
maliciosa o no. Por lo tanto, la mejor manera de hacerlo es escapar de los caracteres
especiales en la entrada del usuario.
Este proceso le ahorra un ataque de inyección SQL. Puede escapar una cadena antes de
construir la consulta en PHP usando la función mysql_escape_string(). También puedes
escapar una cadena en MySQL usando la función mysqli_real_escape_string().
Usar declaraciones preparadas
Alternativamente, puede usar sentencias preparadas para evitar las inyecciones de SQL.
Una sentencia preparada es una plantilla de una consulta SQL, en la que se especifican
los parámetros en una etapa posterior para ejecutarla.

39
26. Ataques de Cross Site Scripting y Prevención
Una secuencia de comandos en sitios cruzados o Cross-site scripting (XSS por sus siglas
en idioma inglés) es un tipo de vulnerabilidad informática o agujero de seguridad típico de
las aplicaciones Web, que puede permitir a una tercera persona inyectar en páginas web
visitadas por el usuario código JavaScript o en otro lenguaje similar.
Esta situación es habitualmente causada al no validar correctamente los datos de entrada
que son usados en cierta aplicación, o no sanear la salida adecuadamente para su
presentación como página web.
Esta vulnerabilidad puede estar presente de las siguientes formas:
● Directa (también llamada Persistente): este tipo de XSS comúnmente filtrado, y
consiste en insertar código HTML peligroso en sitios que lo permitan; incluyendo así
etiquetas como <script> o <iframe>.
● Indirecta (también llamada Reflejada): este tipo de XSS consiste en modificar
valores que la aplicación web utiliza para pasar variables entre dos páginas, sin
usar sesiones y sucede cuando hay un mensaje o una ruta en la URL del
navegador, en una cookie, o cualquier otra cabecera HTTP (en algunos
navegadores y aplicaciones web, esto podría extenderse al DOM del navegador).

27. Ataques de Buffer Overflow y Prevención

Un desbordamiento de búfer (del inglés buffer overflow o buffer overrun) es un error de
software que se produce cuando un programa no controla adecuadamente la cantidad de
datos que se copian sobre un área de memoria reservada a tal efecto (buffer): Si dicha
cantidad es superior a la capacidad preasignada, los bytes sobrantes se almacenan en
zonas de memoria adyacentes, sobrescribiendo su contenido original, que probablemente
pertenecían a datos o código almacenados en memoria. Esto constituye un fallo de
programación.
La capacidad de los procesadores modernos para marcar zonas de memoria como
protegidas puede usarse para aminorar el problema. Si se produce un intento de escritura
en una zona de memoria protegida se genera una excepción del sistema de acceso a
memoria (segfault), seguido de la terminación del programa. Por desgracia para que esta
técnica sea efectiva los programadores han de indicar al sistema operativo las zonas que
se necesita proteger, programa a programa y rutina a rutina, lo que supone un problema
para todo el código heredado.

40
29. Ataques día 0 Ataques de VoIP
Un Ataque de día cero (en inglés zero-day attack o 0-day attack) es un ataque contra una
aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al
conocimiento de vulnerabilidades que son desconocidas para los usuarios y para el
fabricante del producto. Esto supone que aún no han sido arregladas. Es frecuente la
venta en el mercado negro de exploits que aprovechan estas vulnerabilidades. Su precio
se establece con base en su impacto y el número de dispositivos vulnerables. Un ataque
de día cero se considera uno de los más peligrosos instrumentos de una guerra
informática.
Los que se dedican al malware son capaces de aprovecharse de estas vulnerabilidades
mediante diferentes vías de ataque. Por ejemplo, códigos en webs que revelan
vulnerabilidades en navegadores. Los navegadores son un objetivo especial debido a su
amplia distribución y uso. Otra forma de aprovechar estos fallos es utilizar aplicaciones
que abren ciertos documentos que revelan los fallos. Los exploits que pueden mejorar el
software se revelan en bases de datos como US-CERT. Se puede diseñar malware para
aprovecharse de estos exploits y conseguir información confidencial como credenciales
bancarias.

30. TCP Fuzzing con Scapy

Scapy es un módulo de Python utilizado para análisis y elaboración de paquetes. Con
Scapy puedes crear cualquier tipo de paquete, transmitirla a un objetivo, capturar la
respuesta y responder de nuevo en consecuencia. Es una excelente herramienta para el
fuzzing en protocolos de red. Sin embargo, requiere un poco de trabajo “fuzzear”
protocolos TCP porque se necesita rastrear la secuencia y reconocer ciertos números.

31. Metodologías Defensivas

32. Gestión de Logs Administración de Parches y Configuración

Los sistemas registran la actividad de los usuarios y de sus procesos internos

(login/logout,

origen, tiempo de actividad, acciones, conexiones) en registros de eventos o logs. La

información de estos registros es esencial para elaborar informes de gestión y para

41
monitorización.

Entre los eventos que los distintos sistemas registran están, por ejemplo: el inicio/fin de

sesión, el acceso y modificación de ficheros y directorios, cambios en las configuraciones

principales, lanzamientos de programas, etc.

Los registros de actividad de los distintos sistemas y equipos son los datos a partir de los

cuales es posible no sólo detectar fallos de rendimiento o mal funcionamiento, sino

también

detectar errores e intrusiones. Con ellos se alimentan sistemas de monitorización que

convenientemente configurados pueden generar alertas en tiempo real. Por otra parte,

facilitan el análisis forense para el diagnóstico de las causas que originan los incidentes.

Por último, son necesarios para verificar el cumplimiento de ciertos requisitos legales o

contractuales durante las auditorías.

Checklist

A continuación se incluyen una serie de controles para revisar el cumplimiento de la

política

de seguridad en lo relativo a la gestión de logs.

Los controles se clasifican en dos niveles de complejidad:

● Básico (B): el esfuerzo y los recursos necesarios para implantarlo son asumibles.
Se puede aplicar a través del uso de funcionalidades sencillas ya incorporadas en
las aplicaciones más comunes. Se previenen ataques mediante la instalación de
herramientas de seguridad elementales.
● Avanzado (A): el esfuerzo y los recursos necesarios para implantarlo son
considerables. Se necesitan programas que requieren configuraciones complejas.
Se pueden precisar mecanismos de recuperación ante fallos.

Los controles podrán tener el siguiente alcance:

● Procesos (PRO): aplica a la dirección o al personal de gestión.

● Tecnología (TEC): aplica al personal técnico especializado.

42
 ● Personas (PER): aplica a todo el personal

Tabla de controles.

NIVEL ALCANCE CONTROL

B PRO Qué actividad debe ser registrada

Analizar qué eventos producidos en tus sistemas de
información necesitas registrar.

B PRO Información relevante incluida en el registro

Determinar para cada tipo de suceso la información más
significativa que se debe almacenar.

B PRO Formato de la información registrada

Detallar el formato de tus logs para facilitar su posterior
análisis.

A TEC Elección del mecanismo de registro

Seleccionar el sistema de registro más apropiado para tu
empresa.

B TEC Protección y almacenamiento

Proteger convenientemente la información registrada en los
logs.

B TEC Sincronización del reloj

Revisar la correcta sincronización temporal de todos los
dispositivos.

B TEC Sistemas de monitorización y alerta

Configurar los sistemas de monitorización de eventos para
generar en tiempo real alertas ante posibles errores y
comportamientos anómalos

Puntos clave

Los puntos clave de esta política son:

43
● Qué actividad debe ser registrada. Para obtener la información crítica sobre el
funcionamiento de nuestros activos de información, analizaremos la actividad
relevante que nos interesa registrar. Podríamos considerar registrar, entre otros, los
siguientes eventos:
● acceso, creación, borrado y actualización de información confidencial.
● inicio y fin de conexión en la red corporativa.
● inicio y fin de ejecución de aplicaciones y sistemas.
● inicio y fin de sesión de usuario en aplicaciones y sistemas; intentos de inicio de
sesión fallidos.
● cambios en las configuraciones de los sistemas y aplicativos más importantes.
● modificaciones en los permisos de acceso.
● funcionamiento o finalización anómalos de aplicativos.
● aproximación a los límites de uso de ciertos recursos físicos:
○ capacidad de disco.
○ memoria.
○ ancho de banda de red.
○ uso de CPU;
● indicios de actividad sospechosa detectada por antivirus.
● Sistemas de Detección de Intrusos (IDS), etc.
● transacciones relevantes dentro de los aplicativos.
● Información relevante incluida en el registro. Los más habituales son:
○ identificador del usuario que realiza la acción.
○ identificación del elemento sobre el que se realiza la acción (ficheros, bases
de datos, equipos, etc.)
○ identificación de dispositivos, ya sea a través de sus direcciones IP,
direcciones MAC, etc.
○ identificación de protocolos.
○ fecha y hora de ocurrencia del evento.
○ tipología del evento.
● Formato de la información registrada.

Conviene tener un formato de registro que ayude en la medida de lo posible a

posteriores lecturas y análisis.

● Elección del mecanismo de registro.

Tendremos que elegir un sistema de gestión de logs apropiado a nuestra política.

Posteriormente será necesario disponer y configurar las herramientas de
monitorización y registro adecuadas para implantarlo.

44
 ● Protección y almacenamiento. Nos aseguraremos de que la información de registro
está convenientemente almacenada para protegerla de accesos indebidos.

Es conveniente incorporar esta información a nuestros sistemas de copia de

seguridad para poder recuperarla en caso de pérdida.

● Sincronización del reloj.

Debemos asegurarnos de que todos nuestros sistemas están sincronizados

correctamente, de este modo garantizamos el correcto registro temporal de los
eventos más relevantes.

● Sistemas de monitorización y alerta.

Paralelamente al registro de los eventos más significativos, utilizaremos los

sistemas de monitorización para que nos alerten en tiempo real de posibles errores
y comportamientos anómalos, tales como:

● proximidad de alcanzar los límites en la utilización de los recursos físicos

hardware.
● finalización o comportamientos anómalos de programas.
● comportamientos anómalos en la red.
● Cambios en configuraciones críticas.
● picos de rendimiento anómalos en los sistemas y redes.

¿Qué es la administración de parches?

La administración de parches es el proceso de aplicar actualizaciones al software,

controladores y firmware para protegerlos contra vulnerabilidades. Una administración de
parches eficaz también ayuda a garantizar el mejor desempeño operativo de los sistemas,
lo que mejora la productividad.

Ya sea se trate de una computadora portátil para empleados o una PC sin usuario, como
un kiosco o señalización digital, es necesario proteger todos los sistemas. Entre los
riesgos que pueden haber de ignorar la administración de parches se encuentran la

45
exposición de su empresa a fugas y vulneraciones, pérdida de productividad y pérdida de
reputación.

Beneficios: ¿Por qué es importante la administración de parches?

La meta principal de la administración de parches es proteger sus puntos finales contra

piratas informáticos y mantener sus sistemas funcionando en óptimas condiciones. Sin
embargo, la administración de parches también ofrece varios otros beneficios:

● Promueve la productividad dentro de la organización. Una idea errónea común que

se tiene es considerar que la administración de parches es un sacrificio en bien de
la productividad.Un software que está bien administrado y con sus parches
actualizados funciona mejor y puede elevar la productividad de los empleados.
● Ayuda a disminuir el costo de la administración y la reparación de dispositivos. Las
herramientas de administración remota son parte integral de la administración de
parches. Estas herramientas amplían las capacidades de los departamentos de TI,
de manera que los administradores pueden reparar dispositivos de forma remota,
reducir la frecuencia y el costo de las visitas en persona y extender el ciclo de vida
de los dispositivos. Esto es especialmente valioso para las empresas que necesitan
asistencia para trabajadores remotos.
● Ayuda a cumplir con leyes, reglamentos y normas de cumplimiento. Muchas
empresas deben cumplir con reglamentos locales o federales con respecto a la
protección de datos. Entre estos, se incluyen la Ley de Transferencia y
Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability
Act, HIPAA por sus siglas en inglés) para registros de pacientes, el Reglamento
General de Protección de Datos (RGPD) para información personal recopilada
durante las interacciones con los clientes, y otros similares.

“Un software que está bien administrado y con sus parches actualizados funciona mejor y
puede elevar la productividad de los empleados.”

Prácticas recomendadas sobre la administración de parches

Estas son algunas medidas que pueden tomar los administradores de TI llevar a cabo
prácticas recomendadas sobre administración de parches en su organización:

● Tenga en cuenta que la administración de parches es más que solo una

actualización del sistema operativo (SO) y de las aplicaciones. La administración de
parches se extiende a la actualización del firmware y los controladores del
hardware. Las amenazas a la totalidad de la pila informática sí existen, e Intel está
desempeñando un papel activo en lo que respecta a ayudar a mitigar estas

46
 vulnerabilidades. El liderazgo en la industria es clave, ya que Intel trabaja
directamente con OEMs, proveedores de software y socios de sistema operativo
para asegurarse de que se incorporen actualizaciones de firmware a
implementaciones de parches de software de mayor tamaño.
● Convertir la administración de parches en una rutina. Haga que sus ciclos de
administración de parches sean conocidos y previsibles para toda la organización.
Si hay una cadencia establecida, los usuarios pueden prepararse debidamente para
un ciclo de parches y así reducir el impacto que tiene en su productividad.
● Aplicar parches por lotes. Esto también se conoce como la realización de un
"lanzamiento suave" o "pruebas de espacio aislado". Se considera que una buena
práctica es lanzar un parche a un pequeño segmento de usuarios (alrededor del 5
%) y evaluar los efectos antes de un lanzamiento a escala amplia para toda la base
de usuarios.
● Comprender quién es el responsable de la administración de parches.
Comúnmente, la aplicación de parches para una vulnerabilidad conocida es de
responsabilidad del proveedor del software o del sistema. Los administradores de TI
deben garantizar que los parches proporcionados por los OEMs y los proveedores
de software se implementen en la red empresarial de los sistemas y los
dispositivos. En empresas más pequeñas, la administración de parches suele estar
en manos del usuario individual. La mayoría de los software está programado para
notificar a un usuario que es necesario actualizarlo. Incluso puede tener la
capacidad de actualizarse automáticamente a una hora preprogramada.
● Escalar las implementaciones con sistemas de administración de parches. Un
sistema de administración de parches es un software diseñado específicamente
para ayudar a los departamentos de TI a organizar y realizar un seguimiento de las
versiones y las implementaciones de parches en una red.

La administración de parches es esencial para la TI

La administración de parches es más un beneficio que una carga. Un mayor acceso y un

mayor control sobre sus dispositivos, con la capacidad de aplicar parches y hacer
reparaciones de forma remota, a la larga entregan flexibilidad a su departamento de TI y a
su empresa. Aunque hay muchos peligros ahí fuera en forma de piratas informáticos y
ladrones de datos, la administración de parches puede ayudar a mantener una empresa
funcionando sin problemas.

47
33. Ingeniería Inversa

La ingeniería inversa, traducida del inglés, reverse engineering, es el proceso de descubrir

los principios tecnológicos de un objeto, herramienta, dispositivo o sistema, mediante el
razonamiento abductivo (haciendo conjeturas) de su estructura, función y operación.

Dicho de otra manera, se trata de tomar algo, por ejemplo un dispositivo mecánico o
electrónico, para analizar su funcionamiento en detalle, con el objetivo de crear un
dispositivo que haga la misma tarea o una similar sin copiar los detalles del original.

La ingeniería inversa en el mundo del ‘software’ y ‘hardware’

Como decíamos anteriormente, la ingeniería inversa aplicada al software implica la

reversión de un programa que está codificado en lenguaje máquina (lenguaje de bajo
nivel) al código fuente de alto nivel en el que fue escrito originalmente.

La ingeniería inversa en el software tiene como objetivo recuperar el código fuente de un

programa que necesita ser corregido, mejorado o estudiado para ser nuevamente escrito y
que no cuenta con su código fuente original.

Hay que dejar en claro que la ingeniería inversa de software que tiene como objetivo el
duplicado o el estudio con proposito comercial, como el empleo de aplicar ingeniería
inversa a un producto para estudiarlo y hacer en base a este un producto de competencia,
puede ser considerado como una violación a las leyes de copyright e incluso en muchos
casos, el uso de un programa bajo licencia prohíbe esta práctica.

En el caso de la ingeniería inversa de hardware, se recurre al desmontaje de un

dispositivo con la intención de comprobar cómo es que funciona, pero al igual que sucede
en la ingeniería inversa de software, aquí también está prohibido hacer esto con la
intención de fabricar un producto similar.

Usos

La ingeniería inversa tiene muchas aplicaciones en el mundo actual y es aplicada por todo
tipo de empresas, de todos los ámbitos tecnológicos. Algunos de los usos principales son:

● Investigar, analizar y comprender la tecnología utilizada por otras naciones o por

otras empresas
● .Analizar los productos de la competencia para analizar si infringe alguna patente
de otra empresa.
● Desarrollar productos que sean compatibles con otros productos, sin tener acceso a
los detalles técnicos de estos últimos.
48
 ● Comprobar la seguridad de un producto, en informática por ejemplo, para conocer
las brechas de seguridad que puede tener un programa.

División

Actualmente la ingeniería inversa se divide en dos grandes vertientes: ingeniería inversa

de producto e ingeniería inversa de software; en la primera entran todos aquellos
productos físicos tales como máquinas, componentes electrónicos, dispositivos, etc., y en
la segunda protocolos, códigos de programación, aplicaciones digitales, etc. No es una
definición completamente establecida pero es la más aceptada actualmente.

34. HoaxXploit

Un hoax (engaño o bulo) es un mensaje de correo electrónico con contenido falso o

engañoso y normalmente distribuido en cadena.

El Hoax informático puede tener consecuencias desastrosas para una empresa. Conseguir
un determinado estatus y posicionamiento de la marca en el mercado es un proceso que
requiere un gran esfuerzo e inversión económica, y muchas veces son necesarios muchos
años de trabajo para lograrlo.

Algunos informan sobre virus desastrosos, otros apelan a la solidaridad con un niño
enfermo o cualquier otra noble causa, otros contienen fórmulas para hacerse millonario o
crean cadenas de la suerte como las que existen por correo postal.

Es importante que entidades y empresas se tomen en serio la lucha contra este tipo de
ataques y dispongan de los métodos adecuados para poder contrarrestarlos. Las
principales acciones que puede hacer una empresa son:

Monitorización

Estar atento a noticias o información relacionada con tu propia organización es la mejor

forma de detectar una FakeNews y poder reaccionar de forma inmediata para
neutralizarla. Para ello hay que monitorizar los distintos canales digitales, por lo que se
suelen difundir como las distintas redes sociales, páginas de noticias digitales, foros y blog
de opinión, y similares.

Uso de addons para el navegador

Los distintos navegadores como Google Chrome o Mozilla Firefox disponen de

complementos que se integran de forma sencilla y que permiten contextualizar los

49
contenidos a los que se accede, facilitando la detección de noticias falsas. Dentro de estos
complementos podemos encontrar distintos tipos que realizan acciones como:

● Búsqueda inversa de imágenes.

● Para detectar imágenes falsas retocadas digitalmente.
● Detección de webs que no son fiables o que suelen publicar contenido falso.

Dentro de este tipo de complementos se pueden destacar Fake News Detector, Fact
Checker, RevEye Reverse Image Search, Maldito bulo o B.S. Detector.

Analizadores de imágenes

La verificación de fotos e imágenes es otra de las acciones que se pueden realizar para
detectar Hoax informáticos. Con herramientas de búsqueda inversa como Tineye o Google
Imágenes se puede encontrar el origen de una fotografía y detectar si se ha utilizado en un
contexto correcto o ha sido sutilmente modificada.

A veces las imágenes que se utilizan para las noticias falsas son fotogramas sacados de
vídeos. Para poder detectar estas imágenes es necesario recurrir a herramientas
específicas como InVid o YouTube Data Viewer.

Búsqueda de metadatos

Los metadatos se utilizan en los sitios web para aportar información extra sobre los datos,
y son muy útiles para mostrar información a los usuarios (en resultados de búsqueda de
Google o en publicaciones de Facebook, por ejemplo).

Los metadatos son utilizados para ayudar a la difusión de noticias falsas, por lo que es
importante poder detectar esa información que contienen sitios web, aparentemente
ocultos. YouTube Data Viewer y FOCA ( Fingerprinting Organizations with Collected
Archives) son dos herramientas para detectar metadatos e información oculta que se
encuentran en páginas web.

Con el mismo fin de evitar la propagación de noticias falsas, algunas redes sociales han
tomado medidas como impedir editar los metadatos al compartir la publicación.

Estrategias Social Media

Las redes sociales son quizás el lugar donde más bulos y noticias falsas se difunden, por
lo que es importante que la empresa disponga de personas cualificadas que estén atentas
a cualquier Hoax Informático que pueda perjudicar a la empresa.

50
Es indispensable disponer de un protocolo de actuación cuando se detecte cualquier tipo
de bulo en las redes sociales, ya que se conseguirá evitar la difusión masiva y eliminar o
minimizar las consecuencias negativas de los mismos.

Dentro de las estrategias de social media del marketing digital, las empresas deben tener
en cuenta la reacción y forma de actuar ante Fake News.

La detección de perfiles falsos. Es importante contar con herramientas que permitan

detectar perfiles falsos de las distintas redes sociales como Twitter o Facebook. Desde
este tipo se suelen difundir los Hoax informáticos, así como opiniones negativas falsas
contra personas y empresas.

Las FakeNews y Hoax informáticos son un problema serio que están afectando a la
sociedad actual. Muchas personas son engañadas y se creen este tipo de noticias falsas,
fundiéndose en sus redes sociales y ayudando a crear un estado de desinformación que
puede ser muy perjudicial para empresas, marcas y personas.

Las empresas deben luchar contra los Hoax informáticos utilizando las herramientas
necesarias para detectar esos bulos que afecten a sus intereses de forma negativa,
pudiendo tomar las medidas necesarias para detenerlos, desmentirlos e incluso tomar
medidas legales contra los responsables.

Tener disponible un protocolo de actuación de la empresa ante un ataque de difamación

con el uso de FakeNews es la mejor forma de protegerse, permitiendo una reacción
inmediata que permita evitar o minimizar sus consecuencias.

35. Reconocimiento de intrusos

Mantener tu red a salvo de intrusiones es una de las partes más vitales de la

administración y seguridad de sistemas y redes.

Si un atacante malintencionado penetra en tu red, puede provocar pérdidas masivas para

tu empresa, incluidos posibles tiempos de inactividad, violaciones de datos y pérdida de la
confianza del cliente.

¿Qué es un sistema de detección de intrusos?

Los sistemas de detección de intrusos suelen formar parte de otros sistemas o software de
seguridad, junto con la intención de proteger los sistemas de información.

51
La seguridad IDS funciona en combinación con medidas de autenticación y control de
acceso de autorización, como una doble línea de defensa contra la intrusión.

Los firewalls y el software antivirus o de malware generalmente se configuran en cada

dispositivo individual en una red, pero a medida que las empresas crecen, entran y salen
dispositivos más desconocidos o nuevos, como teléfonos celulares y USB. Los firewalls y
el software antimalware por sí solo no son suficientes para proteger una red completa de
ataques. Actúan como una pequeña parte de todo un sistema de seguridad.

El uso de un IDS completo como parte de tu sistema de seguridad es vital y está destinado
a aplicarse en toda tu red de diferentes maneras.

Un IDS puede capturar instantáneas de todo tu sistema y luego usar la inteligencia

recopilada de patrones preestablecidos para determinar cuándo se produce un ataque o
proporcionar información y análisis sobre cómo ocurrió un ataque.

Esencialmente, hay varios componentes para la preparación de intrusiones:

● conocimiento de intrusiones potenciales

● prevención de intrusiones potenciales
● conocimiento de intrusiones activas y pasadas
● respuesta a la intrusión.

Si bien puede parecer “demasiado tarde” una vez que ya ha ocurrido un ataque, saber qué
intrusiones han sucedido o se han intentado en el pasado puede ser una herramienta vital
para prevenir futuros ataques. Conocer el alcance de la intrusión de un ataque también es
importante para determinar su respuesta y responsabilidades ante las partes interesadas
que dependen de la seguridad de sus sistemas.

TIPOS

Históricamente, los sistemas de detección de intrusos se clasificaron como pasivos o

activos.

Un IDS pasivo que detectara actividad maliciosa generaría alertas o entradas de registro,
pero no tomaría medidas.

Un IDS activo, a veces llamado sistema de detección y prevención de intrusos (IDPS),

generaría alertas y entradas de registro, pero también podría configurarse para tomar
medidas, como bloquear direcciones IP o cerrar el acceso a recursos restringidos.

52
En la actualidad existen distintos tipos de software de detección de intrusiones.

Sistema de detección de intrusos en la red (NIDS)

Un Sistema de detección de intrusiones en la red (NIDS) generalmente se implementa o

coloca en puntos estratégicos de la red, destinado a cubrir aquellos lugares donde el
tráfico es más vulnerable a los ataques.

En general, se aplica a subredes completas e intenta hacer coincidir el tráfico que pasa
con una biblioteca de ataques conocidos.

Examina pasivamente el tráfico de red que llega a través de los puntos de la red en la que
se implementa.

Pueden ser relativamente fáciles de asegurar y dificultar la detección de intrusos. Esto

significa que un intruso puede no darse cuenta de que el NIDS está detectando su posible
ataque.

El software del sistema de detección de intrusos basado en la red analiza una gran
cantidad de tráfico de red, lo que significa que a veces tienen poca especificidad. Esto
significa que a veces pueden perder un ataque o no detectar algo que sucede en el tráfico
encriptado.

En algunos casos, pueden necesitar una mayor participación manual de un administrador

para asegurarse de que estén configurados correctamente.

HIDS

Un sistema de detección de intrusos (HIDS) se ejecuta en todas las computadoras o

dispositivos en la red con acceso directo tanto a Internet como a la red interna de la
empresa.

Un HIDS tiene una ventaja sobre un NIDS y es que puede detectar paquetes de red
anómalos que se originan dentro de la organización o tráfico malicioso que un NIDS no ha
podido detectar.

Un HIDS también puede identificar el tráfico malicioso que se origina en el propio host,
como cuando el host ha sido infectado con malware y está intentando propagarse a otros
sistemas.

53
SIDS

Un sistema de detección de intrusos basado en firmas (SIDS) monitoriza todos los

paquetes que atraviesan la red y los compara con una base de datos de firmas de ataque
o atributos de amenazas maliciosas conocidas, al igual que el software antivirus.

SIDA

Un sistema de detección de intrusiones (SIDA) basado en anomalías monitoriza el tráfico

de la red y lo compara con una línea de base establecida para determinar lo que se
considera normal para la red con respecto al ancho de banda, protocolos, puertos y otros
dispositivos.

Este tipo a menudo utiliza el aprendizaje automático para establecer una línea de base y
una política de seguridad que la acompañe. Luego alerta a los equipos de TI sobre
actividades sospechosas y violaciones de políticas.

Al detectar amenazas utilizando un modelo amplio en lugar de firmas y atributos

específicos, el método de detección basado en anomalías mejora las limitaciones de los
métodos basados ​en firmas, especialmente en la detección de nuevas amenazas.

IDS basados ​en firma

Este tipo de IDS se centra en la búsqueda de una firma, patrones, o una identidad
conocida, de una intrusión o evento de intrusión específico. La mayoría de los IDS son de
este tipo.

Necesita actualizaciones periódicas de qué firmas o identidades son comunes en este

momento para garantizar que su base de datos de intrusos esté actualizada. Esto significa
que los IDS basados ​en firmas son tan buenos como la actualización de su base de datos
en un momento dado.

Los atacantes pueden sortear los IDS basados ​en firmas cambiando con frecuencia
pequeñas cosas sobre cómo se produce el ataque, por lo que las bases de datos no
pueden seguir el ritmo.

Además, significa que un tipo de ataque completamente nuevo puede no ser detectado en
absoluto por IDS basados ​en firmas porque la firma no existe en la base de datos. Cuanto
más grande sea la base de datos, mayor será la carga de procesamiento para que el
sistema analice cada conexión y la compare con la base de datos.

IDS basados ​en anomalías

54
A diferencia de los IDS basados ​en firmas, los IDS basados ​en anomalías buscan los tipos
de ataques desconocidos que los IDS basados ​en firmas encuentran difíciles de detectar.

Debido al rápido crecimiento del malware y los tipos de ataque, los IDS basados ​en
anomalías utilizan enfoques de aprendizaje automático para comparar modelos de
comportamiento confiable con comportamiento nuevo. Como resultado, se marcarán
anomalías o comportamientos de aspecto extraño o inusual.

Sin embargo, el comportamiento previamente desconocido pero legítimo también puede

marcarse accidentalmente y, dependiendo de la respuesta, esto puede causar algunos
problemas.

Además, los IDS basados ​en anomalías suponen que el comportamiento de la red siempre
es predecible y puede ser simple distinguir el buen tráfico del mal.

Pero el IDS basado en anomalías observa el comportamiento del tráfico, no la carga útil, y
si una red se ejecuta en una configuración no estándar, el IDS puede tener problemas
para determinar qué tráfico marcar.

Los IDS basados ​en anomalías son buenos para determinar cuándo alguien está
sondeando o barriendo una red antes del ataque. Incluso estos barridos o sondas crean
señales en la red que los IDS basados ​en anomalías detectarán.

Este tipo de IDS debe estar más distribuido en la red, y los procesos de aprendizaje
automático deben ser guiados y capacitados por un administrador.

Capacidades

Los sistemas de detección de intrusos monitorizan el tráfico de red para detectar cuándo
un ataque está siendo llevado a cabo por entidades no autorizadas.

Los IDS proporcionan algunas o todas estas funciones a los profesionales de seguridad:

● Supervisar el funcionamiento de enrutadores, cortafuegos, servidores de

administración de claves y archivos que necesitan otros controles de seguridad
destinados a detectar, prevenir o recuperarse de ataques cibernéticos.
● Brindar a los administradores una forma de ajustar, organizar y comprender los
registros de auditoría relevantes del sistema operativo y otros registros que de otro
modo serían difíciles de rastrear o analizar.

55
 ● Proporcionar una interfaz fácil de usar para que miembros del personal no expertos
puedan ayudar con la gestión de la seguridad del sistema.
● Incluir una extensa base de datos de firmas de ataques contra la cual se puede
comparar la información del sistema.
● Reconocer e informar cuando el IDS detecta que los archivos de datos han sido
alterados.
● Reaccionar a los intrusos bloqueándolos o bloqueando el servido.

36. Conclusión
Vivimos en un mundo globalizado y competitivo en el que las compañías se encuentran
diariamente con nuevos desafíos. Por ello cada vez es más importante gestionar la
seguridad de la información en la empresa y así evitar la pérdida de su activo más valioso
hoy en día: los datos.
Tanto los Sistemas de Gestión de Seguridad de la Información como las redes de trabajo
de cualquier organización se ven constantemente afectados por amenazas de seguridad,
por ciberataques y por fraudes informáticos. Además, se enfrentan continuamente a
sabotajes o virus con el consiguiente riesgo de eliminación y pérdida de la información.
La clave está en que la organización invierta recursos en aplicar herramientas que
mejoren la seguridad.
La responsabilidad final en las empresas recae casi siempre en la parte del empresario y
subsidiariamente en el CIO y hemos de ser conscientes de ello. Las principales amenazas
para la seguridad informática de la empresa pueden venir tanto del exterior como desde
dentro. Para las amenazas externas, casi siempre hay medidas de seguridad.
¿Soluciones para las amenazas internas? Auditorías periódicas, alertas y la puesta en
marcha de sistemas para control, sobre todo en el área económica y financiera para evitar
casos de duplicidades de pagos o transferencias no deseadas.

56
37. Organizadores gráficos

57
58
59
60
61
organizador 21

38. Bibliografía
CONACYT, «DELITOS INFORMÁTICOS,» [En línea]. Available:
https://www.gphlegal.mx/2020/10/20/delitos-informaticos-previstos-y-sancionados-en-el-or
denamiento-juridico-mexicano/. [Último acceso: 16 10 2021].
UNIVERSIA, 3 12 2015. [En línea]. Available:
https://www.universia.net/mx/actualidad/habilidades/leyes-que-regulan-redes-sociales-mexi
co-995340.html. [Último acceso: 16 10 2021].
S. castro, «ibest.cloud,» 19 6 2012. [En línea]. Available:
https://www.inbest.cloud/comunidad/que-es-el-sabotaje-informatico. [Último acceso: 16 10
2021].

62
justicia mexico, «justicia mexico,» [En línea]. Available:
https://mexico.justia.com/derecho-penal/delitos-informaticos/preguntas-y-respuestas-sobre
-delitos-informaticos/#q2. [Último acceso: 16 10 2021].
https://www.incibe.es/protege-tu-empresa/blog/seguro-tu-escritorio-remoto
NFON. (s. f.). Request for Comments (RFC). NFON AG. Recuperado 17 de octubre de
2021, de
https://www.nfon.com/es/servicio/base-de-conocimiento/base-de-conocimiento-destacar/re
quest-for-comments-rfc#c934
Cinvestav. (s. f.). Request For Comments (- RFC -Petición de Comentarios). Maestría y
Doctorado en Ciencias en Ingenieria y Tecnologias Computacionales. Recuperado 17 de
octubre de 2021, de https://www.tamps.cinvestav.mx/~vjsosa/clases/redes/RFCs.pdf
https://www.xataka.com/seguridad/el-sofisticado-ataque-masivo-de-phishing-que-se-propa
go-como-polvora-en-gmail-y-google-docs
https://www.consumidor.ftc.gov/articulos/como-reconocer-y-evitar-las-estafas-de-phishing
IETF. (s. f.). RFCs. Recuperado 17 de octubre de 2021, de
https://www.ietf.org/standards/rfcs/
https://www.welivesecurity.com/la-es/2020/07/31/que-es-honeypot-como-implementarlo-nu
estra-red/
López Jurado, C. (2021, 8 febrero). ¿Qué son las RFC en redes? CCM. Recuperado 17 de
octubre de 2021, de https://es.ccm.net/contents/276-rfc-peticion-de-comentarios
RFC. (s. f.). » RFC Editor. RFC Editor. Recuperado 17 de octubre de 2021, de
https://www.rfc-editor.org/
I.E.T.F. (s. f.). IETF Datatracker. IETF DATATRACKER. Recuperado 17 de octubre de
2021, de https://datatracker.ietf.org/
Marqués, F. L. (2021, 16 septiembre). Cuáles son los protocolos de seguridad de la
información. Clinic Cloud. Recuperado 17 de octubre de 2021, de
https://clinic-cloud.com/blog/protocolos-de-seguridad-de-la-informacion/
Kidd, C. (2019, 4 agosto). What Is An “IT War Room”? BMC Blogs. Recuperado 17 de
octubre de 2021, de https://www.bmc.com/blogs/it-war-roRomero, S. (2020, 9 junio). El
‘war room’, clave en BBVA para la gestión operativa de la crisis del COVID-19. BBVA
NOTICIAS. Recuperado 17 de octubre de 2021, de
https://www.bbva.com/es/el-war-room-clave-en-bbva-para-la-gestion-operativa-de-la-crisis-
del-covid-19/om/#

63
Frenkel, S., & Isaac, M. (2018, 19 septiembre). Inside Facebook’s Election ‘War Room’.
The New York Times. Recuperado 17 de octubre de 2021, de
https://www.nytimes.com/2018/09/19/technology/facebook-election-war-room.html
ESGEEKS. (2020, 25 julio). Footprinting: Una Guía para Principiantes. Recuperado 17 de
octubre de 2021, de https://esgeeks.com/footprinting-una-guia-para-principiantes/
Shakeel, I. (2021, 30 agosto). Process: Scanning and enumeration. Infosec Resources.
Recuperado 17 de octubre de 2021, de
https://resources.infosecinstitute.com/topic/process-scanning-and-enumeration/
KirstenS. Cross Site Scripting (XSS). OWASP Sitio web:
https://owasp.org/www-community/attacks/xss/
Buffer Overflow. OWASP Sitio web:
https://owasp.org/www-community/vulnerabilities/Buffer_Overflow
Scapy Sitio web: https://scapy.readthedocs.io/
Gómez Blanco, A. (2017, 17 mayo). ¿Qué son, cómo actúan y cómo evitar troyanos en tu
equipo? BBVA NOTICIAS. Recuperado 17 de octubre de 2021, de
https://www.bbva.com/es/actuan-evitar-troyanos-equipo/
Kaspersky. (2021, 13 enero). ¿Qué es un virus troyano? latam.kaspersky.com.
Recuperado 17 de octubre de 2021, de
https://latam.kaspersky.com/resource-center/threats/trojans
Kaspersky. (2021b, octubre 5). ¿Qué es un troyano y qué daño puede causar?
www.kaspersky.es. Recuperado 17 de octubre de 2021, de
https://www.kaspersky.es/resource-center/threats/trojans
Kaspersky. (2021a, enero 13). ¿Qué es un virus informático o un gusano informático?
www.kaspersky.es. Recuperado 17 de octubre de 2021, de
https://www.kaspersky.es/resource-center/threats/viruses-worms
Malwarebytes. (2019, 8 mayo). ¿Qué es el malware? Recuperado 17 de octubre de 2021,
de https://es.malwarebytes.com/malware/
Avast. (s. f.). ¿Qué es el malware? Recuperado 17 de octubre de 2021, de
https://www.avast.com/es-es/c-malware
CARLOS ALBERTO ANGULO, SANDRA MILENA OCAMPO, LUIS HERNANDO
BLANDON (Diciembre de 2007). «UNA MIRADA A LA ESTEGANOGRAFÍA»

64