“Informaciones relativas a datos para próxima

presentación, mandato asignación, investigar sobre

BOT NETS, SOCIAL ENGINIERING Y SQL INJECTIONS.
Y Preparar PPT”.

BOT NETS
Botnet es un término que hace referencia a un conjunto o red de robots
informáticos o bots, que se ejecutan de manera autónoma y automática.1 El
artífice de la botnet puede controlar todos los ordenadores/servidores
infectados de forma remota.
En los sistemas Windows y macOS la forma más habitual de expansión de los
"bots" suele ser en la distribución de software ilícito, pese a que se puede
expandir mediante cualquier software sospechoso. Este tipo de software suele
contener malware el cual, una vez el programa se ejecuta, puede escanear su
red de área local, disco duro, puede intentar propagarse usando
vulnerabilidades conocidas de Windows, etc.

En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de

ataque a servidores para construir y expandir una Botnet es por telnet o SSH
por medio del sistema prueba-error: probando usuarios comunes y contraseñas
al azar contra todas las Ipsi que se pueda de forma sistemática o bien mediante
ataques a bugs muy conocidos, que los administradores pueden haber dejado
sin enmendar.

Usando una Bot net para enviar Spam.

1.El operador de la botnet manda virus/gusanos/etc. a los usuarios.
2.Los PC entran en el IRC o se usa otro medio de comunicación.
3.El Spammer le compra acceso al operador de la Botnet.
4.El Spammer manda instrucciones vía un servidor de IRC u otro canal a los
PC infectados...
5... causando que éstos envíen Spam a los servidores de correo.
Las Bot nets normalmente usan servicios gratuitos de DNS para IP's dinámicas
como DynDns.org, No-IP.com, & Afraid.org para apuntar a un subdominio al
cual el creador puede conectarse en caso que le cierren el servidor de IRC.[cita
requerida] En muchas ocasiones basta con avisar a estos proveedores para
que cancelen su cuenta y de esta manera desarticular la Botnet completa.

1
Afortunadamente la estructura de servidores de la botnet tiene vulnerabilidades
inherentes a su arquitectura. Por ejemplo, si se encuentra el servidor de IRC y
el canal, se tiene acceso a la botnet completa, con lo cual al servidor de IRC le
basta con cerrar el canal o poner una g-line o k-line a las ips que intenten entrar
a dicho canal.

No obstante, existen construcciones más refinadas de estas botones que

tienen una lista de servidores alternativos en caso que pase esto. Otras veces,
en cambio, los bots están configurados con un dominio, el cual puede cambiar
fácilmente de destinación (IP) para guiar al botnet al server preferido en ese
momento, sin depender de configuraciones anteriores.

El control de la botnet se hacía normalmente a través del IRC, pero nuevas

versiones de estas botones han evolucionado hacia control mediante HTTP,
con lo que la detección de estas redes es más compleja. Esto hace que las
redes de empresas sean más vulnerables también, ya que el tráfico de IRC
queda bloqueado.2

Adicionalmente algunos spammers tienen su propio servidor de IRC donde son

los dueños y, posiblemente, haga falta ser operador de la red para ver los
canales, hacer whois, o ver alguna información útil. Cabe decir que en muchos
casos estos servidores suelen funcionar en el equipo de una de las víctimas,
pero teniendo el control total el atacante.

Bot nets p2p

Otros tipos de botnet poco comunes crean una red p2p descentralizada entre
las víctimas, las cuales normalmente utilizan una comunicación cifrada y de
esta manera posibilita al dueño la capacidad de controlarlas libremente. [cita
requerida] Al no tener un servidor central la eliminación de esta se vuelve
mucho más difícil de controlar.

Usos habituales de las botones

Estas redes son usadas en general para generar dinero a través de usos que
generan dinero a sus controladores.3 Entre los usos más comunes están:

Ataques de denegación de servicio distribuidos

(DDoS): Si se recibe un ataque de tipo DDoS desde una Botnet, dada la

2
dispersión geográfica de los ordenadores que la componen, es casi imposible
encontrar un patrón de las máquinas que están atacando y dado el alto número
de ellas que lo estarán haciendo al mismo tiempo, no se puede contemplar el
filtrado de paquetes como una solución real que funcione. No obstante, puede
ayudar a mitigar el problema hacer un escaneo pasivo de los paquetes para
reconfigurar y adaptar el firewall.

Envío de Spam: Lo más frecuente es que una botnet se utilice para enviar
spam a direcciones de correo electrónico. Normalmente los creadores de estas
Bot nets venden sus servicios a los spammers. Por lo menos en un caso una
investigación (la red Rustock) consiguió averiguar que un solo hacker había
conseguido el control de un millón de ordenadores, utilizándolos como
plataforma para sus ataques, con los que era capaz de enviar 30 billones de
spam por día.4

Minería de Bitcoins: Con la aparición de criptomonedas, ya en 2011 había

reportes de un nuevo uso para las botones: usar el procesamiento de los
computadores para generar bitcoins.5 De esta forma los criminales pueden
obtener recursos sin gastar en hardware ni en consumo de energía.6 Se
espera que este uso siga aumentando en el futuro.7 Un ejemplo de estas redes
es Zero Access botnet.

Robo de Bitcoins: Una variante adicional es el robo de bitcoins usando

botones. Es el caso de la red Pony, que robaba información de los equipos
infectados. Se estima que con esta red se obtuvieron credenciales
(usuario/password) de al menos 2 millones de equipos.1

Fraudes publicitarios. Normalmente, los servicios de anuncios en Internet

pagan a los administradores de las webs donde figuran en función de varios
factores, entre los que se incluye la visualización del anuncio y el hacer clic en
el mismo. Los ciberdelincuentes ordenan a los bots que visiten sus propios
sitios web y hagan clic en los anuncios para generar beneficios económicos de
manera fraudulenta.8https
Fuente://es.wikipedia.org/wiki/Botnet
Para PPT
A) CONCEPTO DE BOT NETS
B) TIPOS DE BOT NETS
C) USOS DE LOS BOT NETS

3
SOCIAL ENGINIERING (INGENIERIA SOCIAL) Ingeniería
social (seguridad informática)
La ingeniería social es la práctica de obtener información confidencial a través
de la manipulación de usuarios legítimos. Es una técnica que pueden usar
ciertas personas para obtener información, acceso o permisos en sistemas de
información1 que les permitan realizar daños a la persona u organismo
comprometidos. El principio que sustenta la ingeniería social es el de que, en
cualquier sistema, los usuarios son el «eslabón débil».

Técnicas y términos
En la práctica, un ingeniero social usará comúnmente el teléfono o Internet
para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún
banco o alguna otra empresa, un compañero de trabajo, un técnico o un
cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de
renovación de permisos de acceso a páginas web o correos electrónicos falsos
que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar
sus credenciales de acceso o información sensible, confidencial o crítica.

Con este método, los ingenieros sociales aprovechan la tendencia natural de la

gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo,
proporcionando detalles financieros a un aparente funcionario de un banco– en
lugar de tener que encontrar agujeros de seguridad en los sistemas
informáticos.

La ingeniería Social está definida como un ataque basado en engañar a un

usuario o administrador de un sitio en la internet, para poder ver la información
que ellos quieren.
Se hace para obtener acceso a sistemas o información útil.
Los objetivos de la ingeniería social son fraude, intrusión de una red.

Pretextos
El pretexto es la creación de un escenario inventado para llevar a la víctima a
revelar información personal o a actuar de una forma que sería poco común en
circunstancias normales. Una mentira elaborada implica a menudo una
investigación previa de la víctima para conseguir la información necesaria, y así
llevar a cabo la suplantación (por ejemplo, la fecha de nacimiento, el número de
la Seguridad Social, datos bancarios, etc.) y hacerle creer que es legítimo.

El pretexto también se puede utilizar para suplantar a compañeros de trabajo, a

la policía, al banco, a autoridades fiscales o cualquier otra persona que podría

4
haber percibido el derecho a la información en la mente de la víctima. El
"pretexter" simplemente debe preparar respuestas a preguntas que se puede
plantear la víctima. En algunos casos, todo lo que necesita es una voz que
inspire autoridad, un tono serio y la capacidad de improvisar para crear un
escenario pretextual.

Redes sociales
Uno de los factores más peligrosos, es la creciente tendencia por parte de los
usuarios, principalmente los más jóvenes, a colocar información personal y
sensible en forma constante. Desde imágenes de toda su familia, los lugares
que frecuentan, gustos personales y relaciones amorosas. Las redes sociales
proveen de mucha información a un delincuente para que realice un ataque,
como para robar tu identidad o en el menor de los casos ser convincente para
tener empatía.

Phishing
Artículo principal: Phishing
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario
llevándolo a pensar que un administrador del sistema está solicitando una
contraseña para varios propósitos legítimos. Los usuarios de sistemas de
Internet frecuentemente reciben mensajes que solicitan contraseñas o
información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar
una configuración", u otra operación benigna; a este tipo de ataques se los
llama phishing (se pronuncia igual que fishing, pesca). Los usuarios de estos
sistemas deberían ser advertidos temprana y frecuentemente para que no
divulguen contraseñas u otra información sensible a personas que dicen ser
administradores.

Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de

archivos adjuntos en correos electrónicos, ofreciendo, por ejemplo, fotos
"íntimas" de alguna persona famosa o algún programa "gratis" (a menudo
aparentemente provenientes de alguna persona conocida) pero que ejecutan
código malicioso (por ejemplo, usar la máquina de la víctima para enviar
cantidades masivas de spam). Ahora, después de que los primeros correos
electrónicos maliciosos llevaran a los proveedores de software a deshabilitar la
ejecución automática de archivos adjuntos, los usuarios deben activar esos
archivos de forma explícita para que ocurra una acción maliciosa. Muchos
usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto
recibido, concretando de esta forma el ataque.

5
La ingeniería social también se aplica al acto de manipulación cara a cara para
obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento
sobre la víctima, a través de la introducción de contraseñas habituales, lógicas
típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué
contraseña introduciría yo si fuese la víctima?

La principal defensa contra la ingeniería social es educar y entrenar a los

usuarios en el uso de políticas de seguridad y asegurarse de que estas sean
seguidas.

Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin
Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro
principios:

Todos queremos ayudar.

El primer movimiento es siempre de confianza hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.

Vishing
El vishing consiste en realizar llamadas telefónicas encubiertas bajo encuestas
con las que también se podría sacar información personal de forma que la
víctima no sospeche.2

Por este motivo debemos tener cuidado y no proporcionar información

personal, aunque se trate de nuestra compañía de móvil, electricidad o agua
(entre otras), ya que podría ser un hacker que haya elegido casualmente la
nuestra.

Baiting
Artículo principal: Baiting
En este caso se utiliza un dispositivo de almacenamiento extraíble (CD, DVD,
USB) infectado con un software malicioso, dejándolo en un lugar en el cual sea
fácil de encontrar (por ejemplo, baños públicos, ascensores, aceras, etc.).
Cuando la víctima encuentre dicho dispositivo y lo introduzca en su ordenador,
el software se instalará y permitirá que el hacker obtenga todos los datos
personales del usuario.

6
Quid pro quo
Quid pro quo significa "algo por algo". El atacante llama a números aleatorios
en una empresa, alegando estar llamando de nuevo desde el soporte técnico.
Esta persona informará a alguien de un problema legítimo y se ofrecerá a
ayudarle, durante el proceso conseguirá los datos de acceso y lanzará un
malware.

En una encuesta de seguridad de la información de 2003, el 90% de los

trabajadores de una oficina dieron a los atacantes lo que ellos afirmaban ser su
contraseña en respuesta a una pregunta de la encuesta a cambio de una
pluma. Estudios similares en años posteriores obtuvieron resultados similares
utilizando chocolates y otros señuelos baratos, aunque no intentaron validar las
contraseñas.
Fuente: https://es.wikipedia.org/wiki/Ingenier
%C3%ADa_social_(seguridad_inform%C3%A1tica)

Para PPT

A) QUE ES LA INGENIERIA SOCIAL

B) ARGUMENTOS MODUS OPERANDI
C) PRINCIPALES ESQUEMAS.

SQL INJECTIONS
Inyección SQL
Ir a la navegación Ir a la búsqueda
Inyección SQL es un método de infiltración de código intruso que se vale de
una vulnerabilidad informática presente en una aplicación en el nivel de
validación de las entradas para realizar operaciones sobre una base de datos.
El origen de la vulnerabilidad radica en la incorrecta comprobación o filtrado de
las variables utilizadas en un programa que contiene, o bien genera, código
SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que
puede ocurrir en cualquier lenguaje de programación o script que esté
embebido dentro de otro.

7
Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al
método de infiltración, al hecho de incrustar código SQL intruso y a la porción
de código incrustado.
Se dice que existe o se produjo una inyección SQL cuando, de alguna manera,
se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a
fin de alterar el funcionamiento normal del programa y lograr así que se ejecute
la porción de código "invasor" incrustado, en la base de datos.

Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía,

por tanto es un problema de seguridad informática, y debe ser tomado en
cuenta por el programador de la aplicación para poder prevenirlo. Un programa
elaborado con descuido, displicencia o con ignorancia del problema, podrá
resultar ser vulnerable, y la seguridad del sistema (base de datos) podrá
quedar eventualmente comprometida.

La intrusión ocurre durante la ejecución del programa vulnerable, ya sea, en

computadores de escritorio o bien en sitios Web, en este último caso
obviamente ejecutándose en el servidor que los aloja.

La vulnerabilidad se puede producir automáticamente cuando un programa

"arma descuidadamente" una sentencia SQL en tiempo de ejecución, o bien
durante la fase de desarrollo, cuando el programador explicita la sentencia SQL
a ejecutar en forma desprotegida. En cualquier caso, siempre que el
programador necesite y haga uso de parámetros a ingresar por parte del
usuario, a efectos de consultar una base de datos; ya que, justamente, dentro
de los parámetros es donde se puede incorporar el código SQL intruso.

Al ejecutarse la consulta en la base de datos, el código SQL inyectado también

se ejecutará y podría hacer un sinnúmero de cosas, como insertar registros,
modificar o eliminar datos, autorizar accesos e, incluso, ejecutar otro tipo de
código malicioso en el computador.
Por ejemplo, asumiendo que el siguiente código reside en una aplicación web y
que existe un parámetro "nombreUsuario" que contiene el nombre de usuario a
consultar, una inyección SQL se podría provocar de la siguiente forma:

El código SQL original y vulnerable es:

consulta: = "SELECT * FROM usuarios WHERE nombre = '" + nombre Usuario
+ "';"

8
Si el operador escribe un nombre, por ejemplo "Pepe", nada anormal sucederá,
la aplicación generaría una sentencia SQL similar a la siguiente, que es
perfectamente correcta, en donde se seleccionarían todos los registros con el
nombre "Pepe" en la base de datos:

SELECT * FROM usuarios WHERE nombre = 'Pepe';

Pero si un operador malintencionado escribe como nombre de usuario a
consultar:

Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE
'%
, se generaría la siguiente consulta SQL, (el color verde es lo que pretende el
programador, el azul es el dato, y el rojo, el código SQL inyectado):

SELECT * FROM usuarios WHERE nombre = 'Alicia';

DROP TABLE usuarios;
SELECT * FROM datos WHERE nombre LIKE '%';
En la base de datos se ejecutaría la consulta en el orden dado, se
seleccionarían todos los registros con el nombre 'Alicia', se borraría la tabla
'usuarios' y finalmente se seleccionaría toda la tabla "datos", que no debería
estar disponible para los usuarios web comunes.

En resumen, cualquier dato de la base de datos puede quedar disponible para

ser leído o modificado por un usuario malintencionado.

Nótese por qué se llama "Inyección" SQL. Si se observa el código malicioso, de

color rojo, se notará que está insertado en el medio del código bueno, el verde.
Así, el código rojo ha sido "inyectado" dentro del verde.

La inyección SQL es fácil de evitar, por parte del programador, en la mayoría

de los lenguajes de programación que permiten desarrollar aplicaciones web.
En la siguiente sección se trata brevemente ese tema.

Blind SQL injection

'Ataque a ciegas por inyección SQL', en inglés, Blind SQL injection, es una
función y una técnica de ataque que utiliza la inyección SQL. Se evidencia

9
cuando en una página web, por un fallo de seguridad, no se muestran
mensajes de error al no producirse resultados correctos ante una consulta a la
base de datos, mostrándose siempre el mismo contenido (es decir, solo hay
respuesta si el resultado es correcto).

Sentencias condicionales con el tipo "Or 1=1" o "having 1=1" ofrecen

respuestas siempre correctas (true o verdadero) por lo cual suelen ser usadas
por los programadores como formas de comprobación. El problema para la
seguridad de la página radica en que esta técnica es utilizada en combinación
con diccionarios o fuerza bruta para la búsqueda, carácter por carácter, de una
contraseña, un nombre de usuario, un número de teléfono o cualquier otra
información que albergue la base de datos atacada; para ello se utiliza código
SQL específico que "va probando" cada carácter consiguiendo un resultado
positivo acumulable cuando hay una coincidencia. De esta manera se puede
saber, por ejemplo, que una contraseña comienza por "F...", luego continúa con
".i...", y luego "..r...", etc (acumula Fir...), hasta dar con la palabra completa.

Existen programas que automatizan este proceso de "tanteos" letra por letra en
el resultado de la consulta SQL, que un intruso podría enviar inyectado.

Algunas formas de evitar la Inyección SQL

Ruby on Rails
En el framework Ruby on Rails (RoR), las consultas son verificadas
automáticamente por cualquiera de los métodos de búsqueda incluidos. Por
ejemplo:
Project.find consulta := "SELECT * FROM usuarios WHERE nombre = '" +
nombreUsuario + "';"
# o bien
Project.find(:all, :conditions => {:name => params[:name]})
La única forma de que un usuario mal intencionado pueda usar una inyección
de SQL en RoR es que mediante código se transforme la variable a tipo string y
se utilice como argumento de la búsqueda directamente.
Fuente: https://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL

Para PPT
A) CONCEPTO DE SQL INYECTIONS
B) EN QUE CONSISTE
C) COMO EVITARLO

10