Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Libro Ciberseguridad
Libro Ciberseguridad
Los propietarios del © tienen reservados todos los derechos. Cualquier reproducción, total o parcial de este
texto, por cualquier medio, o soporte sonoro, visual o informático, así como su utilización fuera del ámbito
estricto de la información del alumno comprador, sin la conformidad expresa por escrito de los propietarios
de los derechos, será perseguida con todo el rigor que prevé la ley y se exigirán las responsabilidades civiles
y penales, así como las reparaciones procedentes.
Ciberseguridad
D.L.: Z-333-2019
ISBN: 978-84-16951-94-9
ÍNDICE GENERAL
1. Ciberinteligencia.............................................................................................................................................. 7
ÍNDICE........................................................................................................................ 9
OBJETIVOS.................................................................................................................................................................. 11
INTRODUCCIÓN......................................................................................................................................................... 12
1.1. Ciberseguridad. Definición.................................................................................................................................... 13
1.2. Fases de la ciberseguridad................................................................................................................................... 14
1.3. Inteligencia: ciberinteligencia............................................................................................................................... 19
1.4. Fases de la ciberinteligencia................................................................................................................................ 21
1.5. Fuentes de inteligencia......................................................................................................................................... 23
1.6. Uso de la ciberinteligencia para potenciar la ciberseguridad............................................................................ 26
RESUMEN..................................................................................................................................................................... 27
3
Índice General
4
Ciberseguridad
5
1
Ciberseguridad
1
DIDÁCTICA
UNIDAD
1. Ciberinteligencia
1. Ciberinteligencia
ÍNDICE
OBJETIVOS.................................................................................................................................................................. 11
INTRODUCCIÓN......................................................................................................................................................... 12
1.1. Ciberseguridad. Definición.................................................................................................................................... 13
1.2. Fases de la ciberseguridad................................................................................................................................... 14
1.2.1. Preparación. Planificación...................................................................................................................................... 14
1.2.2. Análisis, detección de intrusos/accesos no autorizados, identificación de la amenaza...................................................... 16
1.2.3. Contención, mitigación, erradicación, recuperación.................................................................................................... 17
1.2.4. Retroalimentación................................................................................................................................................. 18
1.3. Inteligencia: ciberinteligencia............................................................................................................................... 19
1.4. Fases de la ciberinteligencia................................................................................................................................ 21
1.4.1. Planificación........................................................................................................................................................ 21
1.4.2. Obtención........................................................................................................................................................... 21
1.4.3. Procesamiento y análisis....................................................................................................................................... 22
1.4.4. Difusión.............................................................................................................................................................. 22
1.5. Fuentes de inteligencia......................................................................................................................................... 23
1.5.1. Inteligencia humana (HUMINT)............................................................................................................................... 23
1.5.2. Inteligencia de señales (SIGINT).............................................................................................................................. 24
1.5.3. Inteligencia de fuentes abiertas (OSINT)................................................................................................................... 24
1.5.4. Otras fuentes de inteligencia (TECHINT, IMINT, MASINT)............................................................................................. 25
1.6. Uso de la ciberinteligencia para potenciar la ciberseguridad............................................................................ 26
RESUMEN..................................................................................................................................................................... 27
9
1. Ciberinteligencia
OBJETIVOS
■
Dotar al alumno de una visión de conjunto de la ciberinteligencia y la ciberseguridad, su
relación y el papel que desempeñan dentro de la empresa.
■
Comprender que la seguridad, la ciberseguridad, no es un estado ideal a lograr sino un
proceso que está en continuo desarrollo.
■
Describir el proceso de diseño, establecimiento y funcionamiento de un plan de
ciberseguridad.
■
Establecer la importancia de la obtención y análisis de información ajustada y relevante para
los intereses de la organización como base fundamental del proceso de la ciberseguridad.
■
Definir qué es ciberinteligencia, las fases por que pasa la información que se obtiene de
diversas fuentes para terminar transformada en datos útiles para la toma de decisiones
informadas.
11
Ciberseguridad
INTRODUCCIÓN
Internet, esa red de redes que se ha convertido en Con el paso del tiempo esas ideas se han mantenido,
parte imprescindible de nuestras vidas, tuvo un origen pero el protocolo ha mostrado su falta de seguridad
militar allá por la década de 1960, con el doble objetivo en cuanto al modo en que se transmite la información,
de crear una nueva infraestructura de comunicaciones lo que unido a la capacidad del ser humano de
que superase la vulnerabilidad de las líneas hacer el mal, ha terminado favoreciendo la aparición
telefónicas conmutadas de entonces, permitiendo de conductas y aplicaciones maliciosas que se
la comunicación y compartición de recursos entre aprovechan de esa debilidad para obtener beneficios
redes de distinta naturaleza (universidades, centros a costa del resto de usuarios, incluso de modo ilícito.
de mando militar), y que fuera susceptible de resistir Esta indefensión del usuario, en todos los ámbitos,
un ataque nuclear. ya sea particular o empresarial, ha intentado ser
Se empezaron a interconectar computadoras, en corregida tradicionalmente con la implantación de
principio entre campus universitarios, cada uno con distintas medidas: cifrado de las comunicaciones entre
protocolos de comunicación propios, lo que suponía extremos (host ⇔ servidor) en el protocolo (https),
un obstáculo para la meta de hacer universalmente aplicaciones antivirus y antimalware en los dispositivos
accesible el conocimiento. Con el fin de solucionarlo se finales, información y formación al usuario… lo que en
continuó investigando para mejorar las comunicaciones última instancia y ante el crecimiento del número de
buscando un lenguaje de comunicación universal, dispositivos conectados a Internet, así como de la
adoptándose la conmutación de paquetes para sofisticación de las amenazas en la red, han llevado a
transmitir la información frente a frente y poco fiable la aparición de una nueva disciplina: la ciberseguridad,
conmutación de líneas y se estableció como estándar que se encargará de la protección del bien más valioso,
el protocolo de comunicaciones TCP, que aseguraba del activo de mayor valor, la información, porque
la fiabilidad en la entrega de paquetes. Todo ello esta es la esencia de Internet, y el modo en que se
favorecido, nuevamente, por el espíritu que imperaba salvaguarda de accesos no autorizados, de difusiones
en la comunidad investigadora universitaria de que no permitidas, de modificaciones no deseadas o
el acceso a la información debía ser libre y gratuitos. de pérdidas imprevistas debe constituirse en un
Por supuesto una parte de esa información era la pilar básico que nos permita seguir aprovechando
especificación del protocolo, el diseño de la red y sus la funcionalidad de esta red de redes, de seguir
capacidades. disfrutando, seguros, de Internet.
12
1. Ciberinteligencia
Ese ataque, que llegará, tiene dos objetivos concretos: obtener información-lo más
valioso hoy en día-, y emplear los recursos de nuestra organización y nuestros
dispositivos, para acciones probablemente delictivas por parte de los atacantes.
13
Ciberseguridad
14
1. Ciberinteligencia
15
Ciberseguridad
Matriz de riesgo
Herramienta que se emplea para estimar el riesgo que enfrenta cada activo
principal en función de la probabilidad de ocurrencia e impacto para la
organización.
Activo Probabilidad
-
1 2 3 4 5
Riesgo
1 bajo
2 medio
Impacto 3 alto
4 muy alto
5
Figura 1.2. Ejemplo de matriz de riesgos.
Cada amenaza detectada puede ser de uno de dos tipos: real o un falso positivo.
16
1. Ciberinteligencia
Si nos encontramos con que es un falso positivo, identificada por el sistema como
amenaza de modo erróneo, únicamente perderemos tiempo; valioso, sí, pero
apenas tendrá repercusión en el funcionamiento de la organización. Si el número de
falsos positivos fuera elevado nos indicaría la necesidad de afinar los mecanismos
de detección, a la baja, pero sin llegar a permitir que pase a su través de ellos una
amenaza real, un positivo verdadero.
Si, por el contrario, detectamos falsos negativos, es decir, amenazas que no son
detectadas como tales, nos encontramos en el caso contrario: hay que establecer
reglas más estrictas en el análisis del tráfico de red. Este caso es el más peligroso para
nuestra organización.
1.2.3.1. Contención
La primera medida que se deberá tomar una vez confirmada la existencia de una
amenaza, es la de evitar que se extienda al resto de recursos de la organización.
Para ello se procederá, dependiendo de la naturaleza de la amenaza, bien a aislar
los equipos afectados de la red local bien a apagarlos, a deshabilitar las cuentas
de usuario que pudieran haberse visto comprometidas, a comprobar el estado de
las demás cuentas de usuario con privilegios elevados, limitando el nivel de acceso
a recursos (al menos temporalmente) y forzando el cambio de las contraseñas de
acceso a los sistemas a todos usuarios.
1.2.3.2. Mitigación/erradicación
Tan pronto sepamos que una infección está afectando al sistema y, en función de
sus efectos, intentaremos primero mitigarla, eliminarla si es posible. Si no lo fuera
o se estimase que procede tomar medidas más drásticas, estaríamos tomando en
consideración la reinstalación de los sistemas afectados (caso de una estación de
trabajo, por ejemplo) o la recuperación desde una copia de backup (en el caso de un
servidor, por ejemplo).
17
Ciberseguridad
1.2.3.3. Recuperación
Tras haberse materializado una amenaza que ha impactado en la organización y
ponerse en marcha los medios de contención y mitigación o eliminación, procede la
recuperación del funcionamiento ordinario, conforme a lo establecido en el epígrafe
correspondiente del Plan de Contingencias.
Esa recuperación del funcionamiento ordinario podría ser la restauración de una base
de datos dañada/perdida desde una copia de backup, o la puesta en marcha de un
servidor web para retomar el servicio. Sea cual sea la medida adoptada debe estar
descrita y detallada, del mismo modo que de las actuaciones llevadas a cabo así como
del resultado de las mismas se debe tomar nota con el fin de mantener actualizado
tanto el Plan de Contingencias como el libro del S.O.C (Security Operations Centre,
Centro de Operaciones de Seguridad) que se verá más adelante, en el capítulo 7.
1.2.4. Retroalimentación
Cuando la amenaza ha sido neutralizada y los datos restaurados o los servicios
restablecidos, según sea el caso, llega el momento de analizar pormenorizadamente
el desarrollo completo de los hechos. De esta manera se consigue localizar los fallos
del conjunto, se estudia la oportunidad de las medidas adoptadas para atajar el daño
así como los tiempos de reacción y coordinación de las distintas áreas implicadas,
documentándose todo ello. Esta documentación del proceso cobra especial
importancia si se hubieran modificado las medidas adoptadas finalmente respecto a
las previstas, de cara a prevenir futuras infecciones del mismo tipo.
18
1. Ciberinteligencia
Este proceso debe ser realizado con una metodología que permita dotar de datos
concretos, útiles y adecuados a la finalidad buscada.
Dado que no sabemos cuándo vamos a ser atacados, por quién, con qué herramientas
ni con qué capacidades, nos encontramos abocados a la necesidad de predecir
la aparición de amenazas. Una constante monitorización facilita la adquisición de
información en tiempo real, cuyo análisis nos permitirá una evaluación del posible
impacto de amenazas. Junto a la experiencia ya adquirida, se analiza y se extraen
recomendaciones para adoptar nuevas medidas preventivas. Una vez implementadas
estas medidas se monitorizará su efectividad, cerrando de este modo el ciclo.
19
Ciberseguridad
“Mantener la organización segura” es una meta tan amplia y abstracta que no nos sirve
como objetivo. Uno más tangible y a la vez más operativo sería, por ejemplo, el de
reducir el riesgo operacional: el tiempo de caída de servicios prestados, información
perdida, daño al prestigio… lo que nos permite identificar qué es relevante para la
organización, qué debemos proteger. Así, la recolección de información sobre ataques
sufridos por organizaciones similares a la nuestra sería significativa, mientras que otra
sobre los últimos ataques tecnológicamente punteros o muy sofisticados no nos
aportaría valor necesariamente.
Tras ser recolectada la información considerada útil, esta ha de ser procesada para
obtener distintos tipos de inteligencia aplicables a diferentes niveles:
20
1. Ciberinteligencia
1.4.1. Planificación
En esta fase se identifican las necesidades y prioridades precisas para la toma de
decisiones, que se desarrollará a través de tres acciones:
1.4.2. Obtención
Es la recolección directa de las fuentes de la información en “bruto”. No debemos
olvidar que la información que se analice en el siguiente paso ha de ser únicamente
aquella relevante para la organización y adecuada al objetivo que pretendemos
conseguir, ya que la inteligencia no es cuestión de cantidad sino de calidad.
Por otro lado se dispone de un número elevado de medios para recabar esa
información, si bien en cada situación habrá un método que prime por encima de los
demás, sirviéndonos los otros para contrastar la información obtenida del primero.
21
Ciberseguridad
Una vez desechados los datos inexactos, los poco fiables y aquellos que carecen
de la imparcialidad debida, debemos establecer una estructura común que facilite
la integración de grandes volúmenes de datos, tarea nada fácil habida cuenta que
nuestras fuentes son muchas y diversas, cada cual con su propia estructura. Conseguir
una homogeneidad en la presentación de la información nos permitirá ser capaces de
analizarla, interpretarla, relacionarla y extraer conclusiones para formular estrategias
de futuro.
De ser así, se procede a la difusión del informe y a poner en marcha esa nueva
estrategia; de lo contrario nos encontramos con que debemos corregir nuestra línea
de trabajo, ya sea modificando la planificación inicial de obtención de información, las
fuentes de las que la obtenemos e incluso el proceso de análisis de la misma.
1.4.4. Difusión
Objetivo principal del proceso, y la última fase antes de cerrar el ciclo. Una vez
hayamos adquirido nuevos conocimientos sobre el entorno que sean susceptibles de
modificar nuestro planteamiento inicial de seguridad, toca ponerlos en conocimiento
del personal encargado de la toma de decisiones en tiempo y forma.
22
1. Ciberinteligencia
Dejamos aparte otras fuentes de obtención, como la TECHINT, IMINT, MASINT… con
unos campos de aplicación que se alejan del objetivo de este curso. No obstante se
mencionan al final del capítulo.
Se trata de una forma activa de obtención de información mediante la que una persona
obtiene información directamente de otra a través de una relación interpersonal.
Queda clara, pues, la importancia de esta fuente de información, siendo la herramienta
“reina” en esta disciplina la Ingeniería Social. Definida como “la práctica de obtener
información confidencial a través de la manipulación de usuarios legítimos” será
tratada más extensamente en un capítulo posterior de este módulo.
23
Ciberseguridad
Estas fuentes pueden ofrecernos tanto información primaria (objetiva, sin tratar)
como información secundaria (ya elaborada, organizada, interpretada). Podríamos
poner como ejemplo información relacionada con una serie de ataques informáticos
a organizaciones similares a la nuestra. Ya tendríamos, por tanto, una información
que contrastar y con una utilidad indudable de cara a preparar la defensa de nuestro
sistema.
24
1. Ciberinteligencia
Metadato
Término difícil de definir, se opta por resumirlo como “datos sobre datos” o
“datos sobre información”: datos sobre fechas, creadores, geolocalización…
de ficheros informáticos.
25
Ciberseguridad
Así como para minimizar otro tipo de riesgos puede bastarnos un Plan de Contingencias,
para las ciberamenazas necesitamos desarrollar todo un proceso, cíclico como hemos
visto, y que debe evolucionar día a día.
Como quiera que las fases de esa ciberseguridad están establecidas y son, de
algún modo, fijas y estáticas, necesitamos de “algo más” que aporte el dinamismo al
proceso, y ese algo es la ciberinteligencia.
Con cada “vuelta” que da el ciclo de la inteligencia obtenemos nuevos datos que
permiten mejorar la toma de decisiones informada en lo que a la preparación de la
estrategia de ciberseguridad se refiere; la constante monitorización de las fuentes nos
permiten disponer de la última información relativa a las posibles amenazas, con lo que
su detección e identificación se realiza de modo inmediato; la contención, mitigación
y erradicación tan pronto son identificadas se ven facilitadas por la información
puesta a disposición pública tanto por empresas particulares como por organismos
gubernamentales e intergubernamentales (CERT’s), permitiéndonos ajustar los
parámetros de detección de las herramientas de las que disponemos, reduciendo el
número de falsos positivos...
26
1. Ciberinteligencia
RESUMEN
■
La ciberseguridad no es una moda pasajera ni una tendencia de mercado: es una
necesidad de primer orden para las organizaciones y, poco a poco, lo va siendo
también para el usuario “de a pie”.
■
La ciberseguridad, como proceso dinámico y en constante cambio, requiere de un
esfuerzo cierto y mantenido para que sea efectiva. Aquello de “instalo y me olvido” no
tiene cabida en el mundo de la seguridad informática.
■
Si bien la ciberseguridad es un proceso dinámico, sigue unas pautas de funcionamiento
constantes: planificamos qué activos queremos en proteger, analizamos toda actividad
susceptible de ser una amenaza para ellos, y caso de confirmarse procedemos a su
neutralización en el menor tiempo posible. Al final, aprendemos y lo aplicamos. Y vuelve
a comenzar el ciclo.
■
Para poder mantener un nivel de seguridad adecuado no podemos limitarnos a
trabajar de modo reactivo (me atacan y respondo) y aprender así. Disponemos de una
herramienta que nos permite estar prevenidos “en avance”: la inteligencia (información
elaborada), que nos ofrece datos objetivos directamente utilizables en el proceso de
planificación de la ciberseguridad.
■
La (ciber)inteligencia trata la información siguiendo unas fases establecidas que
aseguran su adecuación, oportunidad, veracidad y objetividad necesarias para que los
datos finales sean válidos para una organización.
■
La información útil para nuestros fines se encuentra disponible en diversas fuentes,
soportes, formatos, estructura… que han de ser integrados de modo homogéneo para
su tratamiento.
■
La ciberseguridad se apoya en la ciberinteligencia y su capacidad de anticipar ataques
para dar respuesta a las cada vez más avanzadas ciberamenazas que nos acechan.
27
2 2
Ciberseguridad
DIDÁCTICA
UNIDAD
ÍNDICE
OBJETIVOS.................................................................................................................................................................. 33
INTRODUCCIÓN......................................................................................................................................................... 34
2.1. Ciberataques.......................................................................................................................................................... 37
2.2. Ataques más comunes.......................................................................................................................................... 38
2.2.1. Ataques a la red................................................................................................................................................... 38
2.2.2. Ataques a los dispositivos...................................................................................................................................... 40
2.2.3. Ataques a las aplicaciones..................................................................................................................................... 41
2.2.4. Ataques a los datos.............................................................................................................................................. 42
2.2.5. Ataques a los usuarios.......................................................................................................................................... 44
2.3. Métodos de defensa.............................................................................................................................................. 45
2.3.1. Defensa de la red................................................................................................................................................. 45
2.3.2. Defensa de los dispositivos.................................................................................................................................... 46
2.3.3. Defensa de las aplicaciones................................................................................................................................... 46
2.3.4. Defensa de los datos............................................................................................................................................ 47
2.3.5. Defensa de los usuarios........................................................................................................................................ 49
RESUMEN..................................................................................................................................................................... 51
31
2. Ataques. Defensa
OBJETIVOS
■ Comprender qué es un ataque, un ciberataque.
■ Cuáles son las motivaciones que llevan a atacar los sistemas informáticos.
■ Qué medidas hay que tomar para estar preparados ante los ciberataques.
33
Ciberseguridad
INTRODUCCIÓN
“Casi tres ciberataques “muy peligrosos” cada día. El Ciberataque: acción realizada por individuos o grupos
Centro Criptológico Nacional alerta de “persistentes organizados contra un sistema de información o
ataques de espionaje digital a gran escala” contra cualquiera de sus componentes, con el objetivo de
España…” disponer de la información almacenada o en tránsito
“La Guardia Civil alerta del “riesgo crítico” de un o de los dispositivos que lo conforman sin permiso ni
ataque ciberterrorista. Un alto mando experto en conocimiento previo del legítimo dueño.
ciberseguridad asegura que muchas amenazas Desde el primer virus informático que apareció allá por
provienen de “Estados hostiles””. el año 1972, Creeper, que se limitaba a mostrar un
“¿Qué tan grande y costoso puede ser un ataque mensaje en la pantalla de los ordenadores, hasta el
cibernético para las empresas? Tan solo en último gran ataque de DoS vía memcached servers
Latinoamérica ocurren 33 ataques por segundo”. llevado a cabo el 1 de marzo de 2018 contra la
plataforma GitHub; y desde el mero hecho de mostrar
Estos tres ejemplos de titulares y encabezados de un mensaje en pantalla atribuyéndose la autoría del
noticias con que nos hemos levantado recientemente virus hasta las oscuras intenciones que mueven
se están convirtiendo cada vez más en habituales. incluso a Gobiernos a la creación de herramientas de
¿Por qué? porque el mundo digital, el mundo “ciber”, ataque, se ha recorrido un largo camino.
está cada vez más íntimamente ligado a nuestro día
a día, a nosotros mismos. Y los “malos” están ahí, Mucho antes de que Internet se universalizase y
dispuestos a obtener cuanto beneficio puedan a “colase” en nuestras vidas, y con ello todas estas
nuestra y la de nuestra empresa. Y eso, ¿cómo lo amenazas, los vectores para infectar nuestros equipos,
hacen? como se ha hecho desde el comienzo de los a los hosts finales, éramos los propios usuarios.
tiempos: si quiero algo tuyo que tú, obviamente no me No existía Internet, pero teníamos redes equivalentes
vas a dar de modo voluntario, te lo quito. Te ataco y para de distribución de software: copiábamos y nos
te lo quito. intercambiábamos disquetes (floppys, de 3 ¼’ en la
Ataque: acción de atacar, perjudicar o destruir.1 década de los 90) con software, juegos… y el virus
correspondiente, nos los enviábamos por “snail-
Atacar: perjudicar, dañar o destruir.2 mail”…
Ciber-: indica relación con redes informáticas.3
1 http://dle.rae.es/?id=4AR9Sjs
2 http://dle.rae.es/?id=48mrGJP|48n9xGt|48o83Vt
3 http://dle.rae.es/?id=98ULSyc
34
2. Ataques. Defensa
Aquel “Viernes13” que nos mantenía alejadod del Ahora todos nos hemos convertido en víctimas
ordenador tal día, o los que hacían que se “cayeran” potenciales de estos delincuentes de siempre pero
las letras de los documentos de texto a la base de que hacen uso de la última tecnología para cometer
la pantalla… eran meras travesuras, “pruebas de sus delitos.
concepto” de los pocos programadores que había Desde hace ya muchos años para prevenir los
y que tan solo buscaban el reconocimiento de la delitos había que tomar medidas de seguridad y
comunidad underground, no un beneficio económico que no te robasen en la fábrica o en casa (puerta
ni el deseo real de “romper” los equipos… aunque blindada, alarma…), ahora hemos de tomar medidas
también los había. de ciberseguridad en los mismos lugares: en los de
Pero como ya decíamos en el tema anterior, el trabajo y en casa, también para que no nos roben a
desarrollo de Internet, su expansión y universalización través del ordenador.
(en el sentido de llegar a todas las personas en
todos los lugares del planeta) ha permitido que los
delincuentes amplíen su campo de acción de un
modo exponencial.
35
2. Ataques. Defensa
2.1. Ciberataques
Desde que se hace pública una vulnerabilidad hasta que se desarrolla un parche
y se instala en los sistemas transcurren una media de 13 días; sin embargo, los
ciberdelincuentes tardan solo 6 días, de media, en desarrollar un exploit para atacar
a sus víctimas. Esto significa que existe una ventana mínima de 7 días (o hasta que la
vulnerabilidad se soluciona con un parche desarrollado al efecto) durante los cuales las
organizaciones son vulnerables y están expuestas a robo de datos, infecciones con
ransomware, minado de bitcoins a costa de sus recursos… en resumen, un perjuicio
económico y reputacional.
Para contrarrestar esas amenazas hay que proteger tanto las redes como los
dispositivos, sin dejar de lado la educación y formación de los usuarios que son, en
última instancia, el eslabón más débil en la cadena de la seguridad.
El primer paso para proteger nuestros activos, nuestros recursos, pasa por conocer
cuáles son los tipos de ataque más comunes a los que podemos enfrentarnos, algo
que vemos a continuación.
37
Ciberseguridad
Pero estas amenazas que vamos a ver ni son las únicas ni son inmutables. Con la
llegada de la IA (inteligencia artificial) y el Big Data nos enfrentamos a un panorama
cambiante en el que las máquinas van a tomar cada vez más relevancia en el campo
de las amenazas…y en el de la defensa.
Y, por otro lado, esa misma inteligencia artificial permite que ese aprendizaje automático
sea capaz de detectar ataques a nuestras redes al observar un tráfico de datos inusual,
por ejemplo, e incluso llegar a anticiparse a ellos.
Y estos ataques pueden ser a la red, a los dispositivos finales, a las aplicaciones, a los
datos o al usuario, a las personas.
Los puntos de entrada a partir de los cuales puede ser lanzado un ataque contra
la red corporativa suelen ser el correo electrónico corporativo, visita a páginas web
maliciosas, conexión de dispositivos USB (ya sean pendrives, ya sean otro tipo) y el
acceso a la red de BYOD o dispositivos de visitas o proveedores.
38
2. Ataques. Defensa
Así, los ataques más comunes contra la red que podemos encontrar son:
Figura 2.1. Ejemplo de tabla ARP obtenida en un sistema Windows a través de consola con el comando arp -a.
39
Ciberseguridad
■■ Ataques a DHCP
Entre los ataques que se pueden hacer de un modo más obvio están aquellos en los
que, aun tratándose en definitiva de seguridad informática, pertenecen al campo de
la seguridad física, de acceso a la ubicación y afectan directamente a la máquina.
Podrían ser un corte de corriente eléctrica, incendio o inundación de la sala donde se
encuentre o el robo de la máquina en sí.
Los que se pueden llevar a cabo contra la máquina en sí son aquellos en los que se
conectan dispositivos desconocidos u otros sin conocimiento del usuario. Por ejemplo:
40
2. Ataques. Defensa
■■ BadUSB: dispositivo hardware conectable a través de los puertos USB del equipo,
que puede ser incluso un pendrive “comercial” con un microchip determinado.
A estos USB se les modifica el firmware para hacerlos pasar por otro tipo de
dispositivo, como por ejemplo un teclado. Tan pronto se insertan en el puerto
son identificados como un teclado y proceden a “teclear” automáticamente unas
instrucciones pregrabadas.
41
Ciberseguridad
No se trata en este módulo, al no ser parte del temario, la protección de los datos en
relación con el Reglamento General de Protección de Datos, materia totalmente legal
y que, además, no entra en los detalles técnicos.
42
2. Ataques. Defensa
La integridad de los datos tiene su mayor enemigo en una incorrecta elección de quién
tiene acceso a ellos más una errónea asignación de privilegios (lectura, escritura o
ejecución). El riesgo de alteración, ya sea de forma voluntaria o de forma inconsciente,
aumenta de modo directamente proporcional con el número de personas autorizadas,
por lo general con privilegios más altos de los precisos. Además, no debemos dejar de
lado la posibilidad de un malware que afecte a los datos, mostrando valores erróneos
-por ejemplo- como fue el caso del gusano Stuxnet.
Aun cuando no se pueda hablar con rigor de “ataque” una mala praxis es también
peligrosa para la integridad de los datos. ¿Cuántas veces hemos oído aquello de “…si
la copia de seguridad funciona…”? cuando se habla de alteración de datos de forma
no voluntaria ni consciente nos referimos, también, a una incorrecta (si no inexistente)
política de copias de seguridad mediante la que se almacenan datos que una vez
restaurados tras un incidente resultan no ser los correctos (sic).
43
Ciberseguridad
El ataque al usuario es el más fácil de realizar pues juega con los sentimientos
humanos, que una máquina no tiene, y obtiene unas respuestas fácilmente predecibles.
Así, un correo electrónico engañoso (phishing), una memoria USB encontrada
“accidentalmente” en el aparcamiento del trabajo o un código QR, escaneado con
el móvil BYOD por el “ofertón” de turno, se convierte en la puerta de entrada a la red
corporativa. Ya tenemos al enemigo dentro. Y ahora, ¿qué?
En esto se basa la Ingeniería Social, que recibirá un trato más extenso en el siguiente
capítulo.
44
2. Ataques. Defensa
Contra un ataque DoS, cuya fuente es una única dirección IP, la defensa es
realmente muy fácil: basta con bloquear (banear) dicha IP en el cortafuegos o
en el router.
Un primer método, sencillo pero que solo se puede aplicar en redes LAN pequeñas
es el de crear manualmente las tablas ARP. Presenta el inconveniente de tener
que modificarlas a mano en cada dispositivo cada vez que haya variaciones en
la estructura de la LAN.
En redes mayores ya hay que recurrir a otro tipo de soluciones dada la complejidad
y consumo de tiempo, que significaría modificar las tablas equipo por equipo.
Para mantener el caché ARP con las tablas falsas se deben generar paquetes
ARP spoofeados constantemente, lo que sería rápidamente detectado por los
sistemas de seguridad de la red: sistemas de detección y prevención de intrusos
(IDS, IPS), neutralizando el ataque (IPS).
45
Ciberseguridad
Y eso ¿cómo se consigue? aplicando una serie de medidas conocidas como hardening
(endurecimiento) del sistema, o reducción de la superficie de exposición al mínimo. En
una ocasiones significará que el atacante no encontrará modo de acceder al sistema
(salvo que disponga de un zero-day) y en otras que tras acceder, no podrá ejecutar
ninguna acción maliciosa.
46
2. Ataques. Defensa
Una vez que el software necesario haya sido instalado y actualizado se procederá a
su configuración, adoptando las medidas de seguridad que permita. Por ejemplo, y
sin ser una lista limitada:
Para proteger la información en tránsito los servidores web negocian con el navegador
el uso del protocolo https en que la s final significa que los datos viajan encriptados.
Esa negociación es el acuerdo sobre el nivel de cifrado que se va a emplear en el canal
de comunicación seguro que se establece entre ambos.
47
Ciberseguridad
Para defendernos de un ataque SQLi y evitar que el servidor ejecute una sentencia
maliciosa de consulta hay que configurar la base de datos con un sistema de validación
de la sintaxis de entrada de consulta, de modo que, si no se ajusta a lo esperado,
simplemente no ejecute acción alguna; si devolviera algún mensaje de error este
podría ser interpretado y aprovechado por el atacante para variar su estrategia. Así,
sin mensaje de error solo acierta a saber que ese ataque ha fallado, pero sin saber en
qué o por qué, lo que como poco entorpece su acción.
Además, hay que establecer una política de privilegios lo más restrictiva posible, pero
sin perder funcionalidad. De esta manera si el atacante consigue acceder a través de
un usuario “normal” sin privilegios de administración, el daño que podrá causar será
menor, amén de obligarle a buscar una elevación de privilegios, con lo que aumentara
tanto el tiempo que debe emplear dentro del sistema como el riesgo de ser detectado.
Y esa política de privilegios limita el daño, consciente o involuntario, que los usuarios
pueden causar a la información.
48
2. Ataques. Defensa
Una formación básica para el puesto de trabajo, y que sea útil también para “llevar a
casa”, debe hacer hincapié en los siguientes términos:
49
Ciberseguridad
50
2. Ataques. Defensa
RESUMEN
■
A lo largo de este capítulo hemos visto que los ataques a sistemas informáticos han
pasado de ser una muestra de herramientas de programadores con el único objetivo
de lograr un reconocimiento entre su comunidad a un nuevo modelo de negocio,
totalmente ilícito, en el que se buscan dos objetivos:
■
monedas digitales).
Los atacantes realizarán una labor previa de evaluación de puntos y medios de acceso
a los recursos de la organización en función del objetivo que tienen marcado antes
de proceder a intentar acceder. La red, las máquinas, las aplicaciones, los datos y los
usuarios serán sus “puertas de acceso”, cada una con unas características y unos
recursos que serán atacados del modo que más probabilidades de éxito presente.
■
Pero se enfrentarán a una ardua tarea si el equipo de seguridad, de ciberseguridad, ha
“hecho los deberes” y ha bastionado el sistema de la organización. Estando al día en
cuanto a las últimas amenazas y sus medidas correctoras, monitorización del uso de la
red y concienciación del usuario final, la organización tendrá un porcentaje elevado de
posibilidades de resistir el envite.
■
Pero, la seguridad al 100 % NO existe, y siempre habrá un zero-day o un usuario con
un mal día… Estemos, como poco, preparados.
51
3 3
Ciberseguridad
DIDÁCTICA
UNIDAD
ÍNDICE
OBJETIVOS.................................................................................................................................................................. 57
INTRODUCCIÓN......................................................................................................................................................... 58
3.1. Definición............................................................................................................................................................... 59
3.2. Fases...................................................................................................................................................................... 60
3.2.1. Recopilación de información.................................................................................................................................. 60
3.2.2. Desarrollo de la relación........................................................................................................................................ 60
3.2.3. Explotación de la relación...................................................................................................................................... 61
3.2.4. Ejecución............................................................................................................................................................ 61
3.3. Fundamentos psicológicos................................................................................................................................... 62
3.4. Ataques.................................................................................................................................................................. 64
3.4.1. Masivos/dirigidos................................................................................................................................................. 64
3.4.2. Locales/remotos.................................................................................................................................................. 65
3.4.3. Físicos/psicológicos.............................................................................................................................................. 67
3.4.4. Hunting/farming................................................................................................................................................... 70
3.4.5. Ingeniería social inversa (RSE)................................................................................................................................ 71
3.5. Defensa.................................................................................................................................................................. 72
3.5.1. Comunicación...................................................................................................................................................... 72
3.5.2. Formación........................................................................................................................................................... 73
3.5.3. Entrenamiento..................................................................................................................................................... 74
RESUMEN..................................................................................................................................................................... 75
55
3. Ingeniería social
OBJETIVOS
■ Descubrir qué es la ingeniería social.
■
Concienciar sobre la importancia que tiene esta ciencia “analógica” para la ciberseguridad
de la organización.
■
Adquirir unas nociones sobre las técnicas, los motivadores psicológicos y los vectores
y medios más comunes con los que se lleva a cabo para ser capaces de reconocerla y
evitarla.
■ Conocer una serie de recursos para enfrentarse con éxito a un ataque de este tipo.
57
Ciberseguridad
INTRODUCCIÓN
58
3. Ingeniería social
3.1. Definición
Según Chris Hadnagy, “La ingeniería social es una mezcla de ciencia, psicología y arte.
Si bien asombroso y complejo, es también muy simple”.
https://www.social-engineer.org/about
Beneficio − inversión
ROl =
Inversión
Y esta habilidad viene “de serie” con el ser humano. De hecho, nacemos siendo un
poco ingenieros sociales, basta mirar alrededor: ¿Acaso un niño pequeño o un bebé
no son capaces de lograr sus deseos “hackeando” a sus padres? Para obtener ese
caramelo, por ejemplo, les basta con “poner ojitos”; o cambiar de objetivo: los abuelos
son víctimas más propiciatorias. A partir de aquí...
59
Ciberseguridad
3.2. Fases
Los ataques de ingeniería social, como ocurre con los ataques informáticos que vimos
anteriormente, comparten un patrón común en su desarrollo que consta de cuatro
fases: recopilación de información, desarrollo de la relación, explotación de la relación
y ejecución del ataque.
Internet y las redes sociales son fuentes valiosas de información, tanto personal como
laboral, que facilitan la labor de recolección. No en vano el ser humano es social
por naturaleza y cuando se expone públicamente lo hace con un cierto orgullo, con
intención de destacar sobre los demás. Y la forma de destacar es “vendiéndose”,
haciendo pública más información propia de la recomendable, tanto de su ámbito
privado como profesional. De ese modo se pone en peligro tanto a la persona como
a la organización.
60
3. Ingeniería social
3.2.4. Ejecución
Una vez que el atacante obtenga lo que buscaba, se abrirán dos caminos con dos
posibilidades dispares: desaparecer de la escena o mantenerse oculto, en función
de que el tipo de ataque ejecutado sea de hunting o de farming, cuyas definiciones
veremos más tarde. En cualquier caso, aquí acaba el ciclo.
61
Ciberseguridad
■■ Ego: otro potente motor para hackear la mente con un ataque directo es apelar
a la vanidad de las personas. Si se provoca adecuadamente, la víctima hará
todo lo posible por probar su inteligencia e importancia sin darse cuenta de
la maniobra. Y si cada vez que lo hace es “premiada”, reafirmándole en sus
convicciones, el ataque será un éxito.
62
3. Ingeniería social
■■ Miedo: uno de los sentimientos más poderosos en el ser humano y que dispara
automáticamente los mecanismos de defensa para alejarnos del peligro. Si un
atacante es capaz de imbuir miedo en la víctima a la par que le ofrece una salida
fácil y rápida para esa situación, estará en disposición de conseguir lo que busca
a través de una respuesta irreflexiva y automática.
Estas son las herramientas de las que se valdrá un ingeniero social para conseguir
ganarse la confianza de su víctima, ya esté ejecutando un ataque cara a cara o trate
de engañarla vía correo electrónico fraudulento, por ejemplo.
La elección de unas u otras y la forma de emplearlas vendrá dada por el estudio de las
características del objetivo y la meta que se quiera lograr.
No obstante, hay que hacer notar que un ingeniero social es una persona con una
gran habilidad social y rapidez de reflejos, por lo que será capaz de cambiar su plan
de actuación sobre la marcha, en función de cómo se desarrolle el ataque.
63
Ciberseguridad
3.4. Ataques
Los ataques de ingeniería social se pueden clasificar de muchas maneras, como casi
todo, dependiendo del enfoque que se quiera dar.
Como el objetivo de este módulo es el de dar unas nociones lo más amplias posible,
pero sin entrar en demasiada profundidad en cada uno de los puntos que se tocan,
se muestran a continuación distintas clasificaciones que en ningún caso significa
necesariamente que el concepto que se encuentre en una de ellas no tenga cabida
en alguna de las otras.
3.4.1. Masivos/dirigidos
Una primera clasificación, generalista, podría ser en función del grado de elaboración
del ataque y el número de objetivos por ataque.
3.4.1.1. Masivos
Son la mayoría, por lo “barato” que salen. Son ataques impersonales, toscos,
descuidados en la forma y en el fondo, y por tanto fáciles de detectar y contrarrestar.
Aún así, hay un número de víctimas elevado que cae, por lo general de “poco valor”,
pero que dado el escaso esfuerzo que requiere lanzar este ataque ofrece un rendimiento
alto. Y, no olvidemos, pueden ser un trampolín para un ataque de mayor nivel.
Es el clásico ataque de phishing que llega vía correo electrónico de un, por ejemplo,
banco extranjero con el que no tenemos ninguna relación, redactado de forma
incorrecta y que nos quiere “devolver” un dinero recaudado por error. O el de la factura
falsa de Endesa.
3.4.1.2. Dirigidos
Minoritarios, pero en crecimiento. Spear phishing y Whalling. Estos se dirigen ya a
un objetivo concreto, de mayor valor para el atacante, por lo que se trata de ataques
mucho más elaborados, meticulosos y totalmente “personalizados”. Aunque se podría
pensar que debido al perfil del destinatario es más difícil que “piquen”, eso no es así,
ya que antes de ser lanzados tienen un trabajo de campo realizado previamente para
reconocer a la víctima y “ofrecerle” lo que “necesita”.
Buscar la biografía de Víctor Lustig, el hombre que vendió dos veces la torre
Eiffel y timó a Al Capone.
64
3. Ingeniería social
3.4.2. Locales/remotos
Otra posible clasificación, no excluyente de las demás, puede ser en función del lugar
en el que se realiza o desde el que se lleva a cabo el ataque. Así, se puede hablar de
ataques locales y ataques remotos.
3.4.2.1. Locales
Consideramos locales los ataques que se realizan en el mismo lugar en que se
encuentran tanto el objetivo como, obviamente, el atacante. Estos son los más difíciles
de ejecutar pues requieren un enfrentamiento cara a cara con la víctima, lo que por un
lado aumenta el riesgo para el atacante, pero por otro lado un buen ingeniero social
sacará un rendimiento realmente alto de ellos.
Pueden ser tan sencillos como que un extraño que aparezca en recepción con cara de
despistado/desbordado, vestido con ropa de trabajo y un logo cosido en su camiseta,
cargado con un maletín de herramientas. ¿A quién se le ocurriría pensar que no es
un “becario” o un nuevo empleado del grupo de soporte informático? El pretexto no
puede ser más simple ni más efectivo: sabe qué es lo que tiene que hacer, qué reparar,
pero no dónde, ya que es la primera vez que está ahí. Necesita información, que le
ayuden para poder hacer bien su trabajo; y no es cortés ni educado no facilitársela,
amén de que la misión del personal de recepción o del help-desk es precisamente
esa. Y si añadimos que da un poco de pena... Ya está dentro.
O tal vez sea ese aspirante a un puesto de trabajo que llega a entregar su currículum al
jefe de Recursos Humanos, precisamente el mismo día en que este ha empezado sus
vacaciones, que llevado por su nerviosismo rasga o mancha de café el documento.
¿Cómo va a ser capaz de negarse a imprimir uno nuevo la secretaria cuando el
“aspirante” le entrega un USB donde lo lleva en formato electrónico?
65
Ciberseguridad
Pero si hay alguien que realmente pasa desapercibido en unas oficinas es el personal
de limpieza. Cierto es que suelen ser personas habituales, pero tampoco nos extraña
que de cuando en cuando venga personal nuevo, con ropa nueva y se encargue de
limpiar las mesas de trabajo, de vaciar las papeleras...
Esta activida se llama Dumpster diving o Trashing hurgar en la basura. Con las prisas
y la comodidad, no siempre se pasan los papeles por la trituradora antes de tirarlos.
O si no hay una política adecuada para deshacerse del material informático obsoleto
o no se hace un borrado, desmagnetizado o incluso rotura física de un disco duro o
una memoria USB, estos pueden acabar en la basura, en un punto limpio, donados a
una ONG… ¡o en un mercadillo!
Pero antes de poder acceder al interior, habremos de pasar los filtros de seguridad
que, supuestamente, están controlados por personal especializado y preparado.
Que lo están. Pero, ¿también para contrarrestar la ingeniería social? ¿El Tailgating?
Posiblemente no conozcan ni el nombre, pero es cómo se denomina al hecho de
“colarse” entre un grupo de empleados a través de un control de acceso. Y ahora que
hay que salir a la calle a fumarse un cigarrillo, ¿está pendiente el vigilante de cuántos
salen, de si se ha acercado alguien a pedir fuego y se ha quedado charlando con ellos
para entrar después con el grupo?
3.4.2.2. Remotos
En contraposición a los locales, el atacante se sitúa fuera de la ubicación en que se
encuentra el objetivo. Ahora su medio para convencer a la víctima es la tecnología: una
llamada de teléfono, un mensaje de correo electrónico, un SMS…
El atacante no está sometido a la presión del cara a cara, pero tampoco juega con
la interacción humana a su favor. En este tipo de ataque el éxito se asienta sobre
un trabajo de campo previo sobre la víctima, tal que esta ya esté predispuesta a
creer el pretexto forjado por el ingeniero social. O, simplemente, se envían miles de
correos electrónicos con la esperanza de que alguno de los destinatarios sea cliente
del banco y esté esperando la devolución del Impuesto sobre la Renta o tenga un
corazón sensible y quiera ayudar a esa pobre chica rusa que solo busca un marido
fuera de su país…
66
3. Ingeniería social
Dentro de este grupo hay uno brillante. Recibes un mensaje por WhatsApp de un
desconocido que te dice que hace años él tenía ese número de móvil, que estableció
como el de recuperación de un servicio web en caso de olvido de contraseña, lo
que acaba de ocurrirle. Te pregunta si molestaría el reenviarle el código que en breve
te llegará, si no tienes inconveniente. ¿Quién se va a negar? Es hacer un favor a un
usuario que no puede acceder a su ¿correo? ¿banco? ¿perfil de red social? Da igual.
No nos cuesta nada hacerlo y así se lo decimos. Al momento de darnos las gracias
nos llega un SMS con el código de verificación, que copiamos, pegamos y enviamos
a nuestro amable desconocido. Este nos da las gracias por haberle salvado la vida…
pero se olvida mencionar que nuestra cuenta de lo-que-sea acaba de dejar de ser
nuestra. Un ataque de ingeniería social de libro, en remoto, apoyado en las propias
herramientas de recuperación de acceso de la aplicación pretextada.
3.4.3. Físicos/psicológicos
Una tercera clasificación, entremezclada con las anteriores, en la que el criterio
empleado es el de la herramienta motivadora: física o psicológica.
3.4.3.1. Físicos
Aquí el cebo rey es el pendrive “perdido” accidentalmente en el aparcamiento, o que
se ha caído de un bolso o de un bolsillo en los lavabos. La intención inmediata de
cualquiera que se lo encuentre es la de devolvérselo al desafortunado propietario que
lo ha perdido, y para eso no queda otra que conectarlo en un ordenador para ver si
entre la información que guarda hay algo que lo identifique.
Claro que lo más fácil es que contenga, entre otros, un fichero del tipo *.bat que
se autoejecuta nada más conectarlo al PC. Ese autoexec.bat, oculto por supuesto,
puede limitarse a recolectar contraseñas almacenadas, a grabar pulsaciones de teclas
o puede establecer un backdoor que deje la estación de trabajo a merced de un
atacante.
¿Hay alguna diferencia entre un USB perdido y ese otro en que el solicitante
del puesto de trabajo llevaba su CV?
Pero si un USB perdido puede levantar sospechas y ser entregado “a los de informática,
que ellos sabrán” ¿quién se resiste a un regalo? Porque podría ser que un comercial
nuevo en la zona, ansioso de tener una oportunidad para vender su producto deje,
como detalle, media docena de cargadores USB para smartphone, que sin duda irán
a parar a la dirección de la empresa, junto con la publicidad del producto ofertado.
67
Ciberseguridad
3.4.3.2. Psicológicos
Son, básicamente, cualquiera de los ataques de ingeniería social. Tanto da que se
haga vía teléfono, correo electrónico o cara a cara. El ataque va directo contra la
mente de la víctima.
68
3. Ingeniería social
Una vez se hicieron con el control de la cuenta de correo, el siguiente paso de los
delincuentes fue preparar un correo del tipo spear-phishing dirigido a todos y cada
uno de los contactos de la libreta de direcciones de la cuenta, que durante varios días
se mantuvo hackeada, que no secuestrada. Afortunadamente, a uno de los contactos
que recibió el correo le causó gran extrañeza una petición de dinero tan extravagante
de una conocida y tuvo el buen criterio de telefonear al marido de la víctima, amigo
suyo, antes de transferirlo.
69
Ciberseguridad
Tras el envío masivo de correos el atacante trató de eliminar su rastro borrando todos
los enviados con el cebo… ¡pero se olvidó de borrar el que la víctima envió con sus
datos de acceso!
3.4.4. Hunting/farming
Cuando un ingeniero social se fija un objetivo no escatimará tiempo en la preparación
del ataque para contar con las máximas garantías de éxito. Y una vez lanzado el
ataque, empleará el mínimo tiempo necesario para lograr lo que busca. En función
del tiempo que permanezcan obteniendo información podemos hablar de técnicas de
hunting o de farming.
3.4.4.1. Hunting
El hunting se da cuando el atacante busca una información específica y muy concreta,
y su interacción con la víctima termina tan pronto la consigue. De esta manera se llega
a la cuarta fase del ciclo, y el atacante “desaparece” de la escena.
Se caracteriza por llevarse a cabo con la mínima exposición directa posible y escaso
o nulo contacto personal.
70
3. Ingeniería social
3.4.4.2. Farming
El farming es totalmente opuesto al hunting, ya que el atacante busca mantener el
acceso a la víctima durante el máximo tiempo posible, “exprimiéndola” para obtener la
mayor cantidad de información posible o aprovecharse de sus recursos.
Impelida por la urgencia para continuar con su trabajo, o incluso temiendo haber sido
responsable del problema, la víctima aceptará agradecida el ofrecimiento de ayuda. A
partir de este momento o tras haber solucionado el incidente, el atacante, ayudándose
del ascendiente logrado sobre los miembros de la organización que le prestarán cuanta
ayuda precise, se encuentra en disposición de cumplir su objetivo.
Es esta una técnica compleja, poco habitual pero sumamente efectiva, que presenta
un elevado grado de dificultad para su ejecución. Previamente exige una buena
cualificación técnica del ingeniero social, quien además deberá emplear gran cantidad
de tiempo y recursos en la investigación del objetivo y en la preparación del ataque.
Por ello, la defensa frente a este tipo de ataques es la más difícil, ya que la víctima se
encuentra en la necesidad vital de que el incidente sea solucionado y el atacante, lejos
de ser percibido como una amenaza, lo es como una valiosa ayuda.
71
Ciberseguridad
3.5. Defensa
Reconocer un ataque de Ingeniería Social es esencial para una protección adecuada.
Y mientras llega ese ataque se deben tomar unas medidas básicas: No revelar
información personal ni datos confidenciales a través de canales no seguros, tener
cuidado al compartir información, evitando la exposición en internet y redes sociales
(estos datos facilitan el trabajo del ciberdelincuente), tener instaladas y actualizadas
aplicaciones antivirus y antimalware en las estaciones de trabajo examinar y verificar
cuantos ficheros adjuntos se reciban, independientemente de que se conozca o no al
remitente y, por último, lo más difícil: sentido común y precaución.
Debemos ser conscientes de que la Ingeniería Social es tanto física como digital, tan
antigua como actual (¿os suena el timo de la estampita? En la película española de
1959, Los tramposos vemos un ejemplo claro de Ingeniería Social: la urgencia por
coger el tren, la avaricia, la confianza -en el alzacuellos-…)
3.5.1. Comunicación
Todo el personal debe conocer y adoptar las medidas de seguridad establecidas en
la política de ciberseguridad, cada uno en función de su rol, de sus privilegios dentro
de la organización.
Con carácter general se debe dar difusión y conocimiento a esas políticas, definir
los procesos más sensibles para la organización, qué se puede hacer y qué no con
la información que se conoce por motivo del puesto de trabajo y las repercusiones
potenciales sobre el conjunto en caso de que las políticas no se cumplan. En todo
caso unos mínimos podrían ser:
■■ Política de contraseñas.
72
3. Ingeniería social
3.5.2. Formación
Con objeto de que la organización funcione como un todo en lo que a seguridad se
refiere, es necesario que las políticas de seguridad sean conocidas por el total de los
trabajadores, independientemente del puesto que desempeñen o que pertenezcan o
no a ella.
Esas normas deben ser accesibles, comprensibles y estar actualizadas. Del mismo
modo se aconseja la realización de talleres de concienciación de forma periódica,
anualmente sería lo idóneo, con el fin de mantener el nivel de atención de los empleados.
■■ Políticas de seguridad.
73
Ciberseguridad
3.5.3. Entrenamiento
Y como información no es sinónimo de conocimiento, se hace imprescindible la puesta
en práctica de lo aprendido en los talleres de concienciación. ¿Cómo? Llevando a
cabo de forma periódica, también, ataques controlados y auditorías de seguridad.
Sobre todos los empleados, pues independientemente del puesto que ocupen en
la estructura, todos forman parte de ella y son un potencial punto de acceso y de
pivotaje para un atacante.
74
3. Ingeniería social
RESUMEN
■
Los recursos humanos son el factor más descuidado en las organizaciones, fuera de
los departamentos de IT, en lo que a concienciación sobre la seguridad se refiere.
■
Irónicamente, son bien el primer punto de acceso a los sistemas bien su última barrera
de defensa ante una intrusión. Una vez las organizaciones se dan cuenta de ello,
normalmente de una forma traumática, toman las medidas oportunas pero ya con
carácter reactivo.
■
Con el estudio de este capítulo se han adquirido unas nociones generales acerca de
qué es la Ingeniería Social, cuáles son sus métodos y tácticas, y de cómo una actividad
analógica, ha llegado a convertirse en la punta de lanza de los ciberataques dirigidos
más exitosos.
■
Se ha visto que un ataque de Ingeniería Social, sea del tipo que sea, se ajusta a un
proceso de cuatro fases, en cada una de las cuales se puede actuar para que el ataque
fracase:
■
atacante no llegue a ella. Una vez llegado ahí nada se puede hacer.
La dirección de la organización, como última y máxima responsable de su correcto
funcionamiento, debe ser consciente de la existencia de este riesgo, para el que no hay
solución tecnológica alguna, y proveer de formación, concienciación y actualización a
la totalidad de los empleados, sin excepción.
■
Como bien reza el dicho: una cadena se rompe siempre por el eslabón más débil. En
la cadena de la seguridad el eslabón más débil es el ser humano y, de entre estos, el
más débil es siempre el menos concienciado.
75
4
Ciberseguridad
4
DIDÁCTICA
UNIDAD
ÍNDICE
OBJETIVOS.................................................................................................................................................................. 81
INTRODUCCIÓN......................................................................................................................................................... 82
4.1. Objetivos de un pentesting. Definición................................................................................................................ 83
4.2. Tipos de auditoría.................................................................................................................................................. 85
4.3. Metodología........................................................................................................................................................... 88
4.3.1. El equipo de auditoría........................................................................................................................................... 90
4.3.2. Reconocimiento: footprinting y fingerprinting............................................................................................................. 92
4.3.3. Alcance de la auditoría........................................................................................................................................ 111
4.3.4. Documentación relevante para un trabajo de pentesting........................................................................................... 112
4.3.5. Informe de intrusión externo. Auditoría básica a máquina virtual ................................................................................ 116
RESUMEN................................................................................................................................................................... 129
79
4. Hacking ético-preparación del ataque
OBJETIVOS
■ Dotar al alumno de una visión en conjunto de qué es una auditoría de hacking ético.
■
Definir los distintos tipos de auditoría existentes y su alcance dentro de la competencia del
hacking ético.
■
Describir el proceso de auditoría de hacking ético y los programas utilizados para ello.
■
Establecer una metodología de trabajo y pautas necesarias para la redacción de un
informe final.
■
Establecer un protocolo de actuación, seguimiento y adaptación para conseguir una
mejora en los resultados.
81
Ciberseguridad
INTRODUCCIÓN
El hacking ético es una disciplina profesional dentro Las empresas cada vez son más complejas, como
del campo de la seguridad informática que permite puede entenderse de la necesidad de realizar esta
evaluar el nivel de vulnerabilidad y el riesgo en el que serie de pruebas. Cada día se maneja mayor volumen
se encuentran los sistemas informáticos o los activos de información y esta debe ser protegida de manera
de una organización mediante un acuerdo previo con activa. La idea de acercarse a un pentesting continuo
el cliente. cobra vida desde hace tiempo en las empresas,
aunque los elevados costes de un equipo humano
Un auditor de seguridad puede realizar proyectos
dedicado a ello hacen que las empresas no puedan
de hacking ético a distintas organizaciones que así
realizar auditorías plenas en un rango temporal
lo soliciten. Realizar una de estas pruebas puede ir
pequeño.
desde una auditoría a un sitio web hasta una prueba
de estrés contra los servidores de la organización. Por otro lado, cada día va apareciendo un número mayor
Existen algunas pruebas más vistosas que otras, pero de incidentes de seguridad, no solo en pequeñas,
el objetivo es presentar al cliente de forma clara las sino también en grandes organizaciones desde hace
acciones que se van a repetir durante las distintas unos meses, todos los días nos levantamos con algún
pruebas y el resultado de estas. nuevo incidente de seguridad que ha desembocado
en el robo de los datos de una compañía, en el robo
Las pruebas llevadas a cabo en un proceso de
de las identidades de los empleados o en un fraude
auditoría son muy dispares y las iremos desgranado a
que obliga a la empresas víctima a realizar una
lo largo del temario.
comunicación con sus clientes, que no suele salir
Las auditorías son clasificadas en tres tipos: caja barata en términos de daño reputacional y, por tanto,
blanca, caja negra y caja gris. Este tipo de clasificación en términos económicos.
permite identificar el ámbito y contexto de actuación.
Es cierto que hoy en día hay cada vez más entidades
auditables, es decir, tecnología que debe ser evaluada
y de algún modo fortificada.
82
4. Hacking ético-preparación del ataque
¿Quiénes son los encargados de llevar a cabo este tipo de procesos? los conocidos
como hackers éticos son también conocidos como pentéster, y son los encargados
de realizar las pruebas de penetración o intrusión a los sistemas. Un hacker ético es
un experto en el campo de la seguridad, teniendo altos conocimientos en sistemas
de redes de datos. Su principal función es la de atacar los sistemas realizando las
pruebas que describiremos a continuación, haciéndolo en nombre de sus clientes,
siempre y cuando ataquen activos de estos. No hay diferencias importantes entre un
hacker y un hacker ético, ambos utilizarán sus conocimientos para lograr sus fines.
Por todo ello, surgió la necesidad de definir los distintos tipos de hackers. En el mundo
de la seguridad informática se suele denominar hacker de sombrero blanco a los
hackers éticos, debido a que en las películas del oeste el bueno siempre llevaba un
sombrero blanco y el malo un sombrero negro.
Un hacker de sombrero blanco atacará una empresa o activo de esta utilizando todo
su conocimiento y habilidades. Una vez conseguido el robo de esta información,
vulneración o merma de un servicio, informará a los responsables de la empresa para
que solucionen los fallos encontrados y, por lo tanto, fortifiquen y eleven la seguridad
de la empresa.
Un hacker de sombrero negro atacará una empresa o activo de esta utilizando todo
su conocimiento y habilidades. Una vez conseguido el robo de esta información,
vulnerabilidad o merma de un servicio, venderá dicha información a la competencia
de la empresa, la aprovechará para hacer daño económico o reputacional a esta o
chantajeará a los responsables de la seguridad informática de la empresa solicitando
un “rescate” a cambio de no hacer públicos o efectivos dichos ataques posibles.
Tras el ferviente crecimiento del interés por las nuevas tecnologías y el hacking en
general, han ido surgiendo individuos que no son puramente clasificables dentro del
grupo de hackers de sombrero blanco ni negro.
83
Ciberseguridad
Los hackers de sombrero gris son aquellos que, usando sus conocimientos, consiguen
encontrar una vulnerabilidad en un sistema para posteriormente informar a la empresa
afectada, pero solicitando algún tipo de remuneración a cambio de la información
antes de hacerla pública. No pueden encajarse dentro de sombrero blanco porque
la empresa no ha solicitado dicho trabajo, ni dentro de sombrero negro porque no
aprovechan los datos obtenidos para hacer un daño directo a la empresa.
Los hackers de sombrero azul trabaja, fuera de las empresas de consultoría informática,
probando sistemas y buscando fallos antes de que salgan a producción para que
puedan ser parcheados.
Los script kiddie son un tipo de hacker que no pueden considerarse como tal. No
posee, los conocimientos suficientes para poder ser considerados hackers, pero
utiliza, herramientas y scripts que no entienden ni controlan para hacer sus ataques. A
menudo no saben que alcance tendrá su ataque, pero de igual modo lo ejecutan por
el placer de hacer daño.
84
4. Hacking ético-preparación del ataque
Esta interacción permitirá al hácker estudiar vías de ataque y poder tener una
pequeña idea del ente al que se enfrenta.
Existen ciertas herramientas que pueden aportar una visión completa de los
sistemas y que permiten automatizar la auditoría. Hay que recordar que en un
proceso de hacking lo ideal es automatizar lo posible, sin perder el control sobre
lo que se está realizando, y realizar manualmente lo que se considere importante
detectar y, posteriormente, explotar.
85
Ciberseguridad
■■ Auditoría externa.
86
4. Hacking ético-preparación del ataque
87
Ciberseguridad
4.3. Metodología
Todo trabajo de auditoría se regirá por una metodología dividida en fases. No hay un
solo camino para hacerlo pero, para asegurarnos de la eficacia y rigor en el mismo
,tendrán que abarcar las siguientes fases:
Hemos de hacer notar que el proceso de auditoría no debería ser una acción puntual
aislada en el tiempo, sino que debería ser una actividad continua debido al continuo
avance y cambio sufrido por las tecnologías e infraestructuras. Por ello, el gráfico
anterior muestra una cadena de procesos que, al llegar al último paso, se vuelve a
empezar por el principio para asegurar un nivel de seguridad cercano lo más posible
al completo, aunque nunca se podrá llegar a una seguridad plena.
Fases
A continuación procedemos a enumerar cada una de estas fases, así como las
aplicaciones o web que suelen utilizarse para llevarlas a cabo:
1. Acuerdo y autorización:
□□ Se presupuesta el trabajo.
88
4. Hacking ético-preparación del ataque
2. Reconocimiento y enumeración:
3. Escaneo y análisis:
●● Análisis manuales.
4. Explotación:
●● Exploits.
5. Post-explotación:
□□ Escalar privilegios.
89
Ciberseguridad
□□ Borrado de huellas (bien borrando las huellas que hemos generado con el
acceso al sistema o saturando de información basura los logs de este para
que sea más difícil nuestra identificación y modus operandi).
6. Generación de informe:
●● Resumen ejecutivo.
●● Objetivos, alcance y nivel de seguridad final.
●● Descripción de la metodología utilizada.
●● Detalle de las vulnerabilidades encontradas clasificadas según el nivel de
riesgo.
●● Recomendaciones.
●● Conclusiones.
Hay que remarcar que no se realizan todas las acciones anteriormente descritas en
cada trabajo de pentesting. Todas estas acciones se irán seleccionando dependiendo
del alcance o de los intereses que necesitemos en cada caso concreto.
90
4. Hacking ético-preparación del ataque
El resto del equipo que participará en la auditoría deberá ser reflejado en el contrato
de esta, indicando qué parte realizará cada integrante, así como el detalle de su CV
que pueda ser relevante para prestigiar el trabajo que realizaremos, como pueden ser:
■■ Cargo en la empresa.
■■ Trabajos anteriores importantes.
■■ Certificaciones de seguridad.
■■ Certificaciones informáticas.
■■ Charlas y conferencias realizadas.
■■ Titulaciones disponibles.
■■ Premios obtenidos.
■■ Valores añadidos.
En cuanto al equipo tecnológico que usaremos, dependerá totalmente de las
necesidades solicitadas, del tiempo que dispongamos y de las características propias
del proyecto. Además, tampoco hay una única ruta que seguir, pues, por ejemplo,
para realizar una búsqueda de información de la empresa en Internet podemos usar
desde nuestro ordenador portátil, nuestro smartphone o un ordenador ARM. Lo que
sí ha de llevar consigo un hacker obligatoriamente es un ordenador portátil con un
sistema operativo con herramientas de pentesting.
Última versión (a 28 de
Distribución Basado en Logo
octubre de 2018)
Figura 4.1. Fuente: web oficial de Kali Linux https://www.kali.org/, Parrots Sec OS https://www.parrotsec.org/, y DEFT www.
deftlinux.net/.
91
Ciberseguridad
Todas ellas no dejan de ser una distribución Linux a la que se le han instalado y
personalizado distintas herramientas específicas para realizar auditorías. Tenemos
otra opción que es la de instalar en nuestra distribución Linux algo que nos resulte
familiar su manejo, las herramientas que vayamos a necesitar o incluso algún paquete
predefinido de dichas tools, como DART (Digital Advanced Response Toolkit).
Para realizar una auditoría, también puede utilizarse como sistema operativo Microsoft
Windows, pues la mayoría de estas tools específicas han sido implementadas en
versiones para Linux y Windows, por lo que podremos usar Windows como sistema
base para nuestro trabajo, aunque lo normal es usar Linux.
La ruta de trabajo siempre ha de ir de las tareas más amplias a las más concretas. El
primer paso será la obtención de información de fuentes abiertas (OSINT).
Footprinting
Como se han mencionado anteriormente, el footprinting es una etapa, la primera
de un test intrusión, en la que el atacante recoge información de todo tipo sobre el
objetivo. Su fuente es toda internet, por lo que se puede encontrar gran cantidad de
información.
Después hay que filtrar toda la información para quedarse con lo más importante,
pero un proceso como este es importante, ya que seguramente descubrirá activos
de la organización en Internet, los cuales se pueden convertir en posibles vectores de
ataque.
92
4. Hacking ético-preparación del ataque
■■ Por supuesto se debe utilizar los dorks para preguntar a los motores de
búsqueda. Esto puede ser automatizado con herramientas como FOCA.
Es importante recabar la máxima información posible sobre el dominio, para
después ir afinando las búsquedas con los tricks que el auditor puede conocer.
Más adelante se verán en diferentes verbos para obtener mejores resultados en
búsquedas con estas técnicas, gracias a la GHDB, google hacking database.
Ver tabla de abajo.
■■ Las versiones anteriores de páginas web también deben ser consultadas, por
ejemplo, mediante el uso de archive.ORG.
■■ Apoyarse en servicios como el DNS para saber por dónde navegan los empleados
de la organización. Esto puede ser realmente útil para conocer aplicaciones
que pueden ser vulnerables a técnicas de Evilgrade. Por ejemplo, si el auditor
descubre que el DNS de la organización es vulnerable a DNS caché snooping,
puede preguntar al servidor por dominios que utilizan las aplicaciones en sus
actualizaciones. Los dominios por los que preguntaría serían vulnerables a la
técnica de Evilgrade.
93
Ciberseguridad
94
4. Hacking ético-preparación del ataque
Análisis de la información
Después de haber recolectado el máximo posible de información se debe analizar
y entender qué datos son los importantes en el comienzo de un pentesting. A
continuación, se exponen los elementos que se pueden diferenciar del resto de la
información por tener un valor añadido para el pentester:
□□ Datos personales.
□□ Contraseñas.
■■ Documentación interna que por error fue publicada. Gracias a los buscadores
se puede encontrar indexado todo tipo de información, hasta procedimientos
internos de seguridad de una empresa.
95
Ciberseguridad
Fingerprinting
EL siguiente paso de nuestra auditoría será el correspondiente al fingerprinting. Consiste
en recolectar información interactuando directamente con los sistemas para aprender
más sobre su configuración y comportamiento. Como el proceso de fingerprinting es
susceptible de hacer saltar las alarmas al interactuar directamente con dispositivos y
servicios del objetivo, realizaremos un PoC (Probe of Concept – Prueba de concepto)
en el que mostraremos un caso real de análisis del footprinting sobre una web pública
(www.maella.es) y el fingerprinting lo haremos sobre una máquina virtual corriendo
un sistema operativo llamado Metaexploitable, diseñado con unas vulnerabilidades
conocidas para su análisis y aprendizaje.
Prueba de concepto
Supongamos que nos contrata el Ayuntamiento de Maella (provincia de Zaragoza)
para realizar una auditoría a su página web. Realizando un simple ping a la dirección
www.maella.es y este nos devuelve la dirección IP en la que tenemos alojada dicha
página.
96
4. Hacking ético-preparación del ataque
donde especificaremos -v para que la salida sea visible por pantalla, -p 1-65535 para
que el escaneo de puertos sea para el rango desde el 1 hasta el 65535, -T4 para
indicar el nivel de profundidad del escaneo y por último 213.192.239.193 como target
la IP objeto de análisis.
Figura 4.3. Detalle de ejecución del comando nmap -v -p 1-65535 -sV -O -sS -T4 213.192.239.193.
97
Ciberseguridad
98
4. Hacking ético-preparación del ataque
99
Ciberseguridad
Figura 4.6. Detalle del programa FOCA con el que hemos descargado los ficheros PDF de la web maella.es.
Figura 4.7. Detalle del programa FOCA donde se aprecia la dirección IP del alojamiento, el tipo de servidor de páginas web (en
este caso Apache) y los puertos abiertos a internet (en este caso el 80 y el 443).
100
4. Hacking ético-preparación del ataque
Otra información importante que nos muestra FOCA es el nombre de los programas y
la versión utilizada para la generación y edición de los ficheros analizados. Al conocer
este dato, pueden buscarse vulnerabilidades conocidas para esa versión de software
en concreto, por lo que es información muy interesante a la hora de preparar un
ataque dirigido.
Figura 4.8. Detalle del programa FOCA donde se aprecia el nombre y versión del software hallado en los metadatos, como
por ejemplo PDFCreator 2.3.0.103, LibreOffice 4.3, PDFCretor 2.5.15 para Windows XP e incluso un software
específico de creación de ficheros nativo de la impresora RICOH MP C4504ex.
Existen multitud de sitios web donde se publica información sobre exploits con los
que preparar un ataque a un sistema o a un software instalado con una vulnerabilidad
conocida. En nuestra PoC hemos visto que existen documentos creados con un
software nativo de una impresora RICOH C4504ex, y en la web podemos buscar si
existe algún exploit para él. Vemos que existe un exploit para realizar un ataque de
Cross-Site Request Forgery (Add Admin) que nos permite añadir un usuario de tipo de
administrador partiendo de un usuario sin privilegios. La vulnerabilidad fue publicada
el 27 de agosto de 2018 bajo la nomenclatura CVE-2018-15884.
101
Ciberseguridad
Figura 4.9. Detalle de la web https://www.exploit-db.com en la que hemos realizado la búsqueda de la cadena “Ricoh”.
102
4. Hacking ético-preparación del ataque
Figura 4.10. Detalle de la web https://www.exploit-db.com donde nos muestra información sobre el exploit CVE-2018-
15884 llamado RICOH MP C4504ex Printer - Cross-Site Request Forgery (Add Admin).
103
Ciberseguridad
Figura 4.11. Detalle del programa FOCA con la información de los “Juicy Files”.
104
4. Hacking ético-preparación del ataque
105
Ciberseguridad
Figura 4.14. Detalle de la información arrojada por la extensión para Chrome ChromeSnifferPlus.
106
4. Hacking ético-preparación del ataque
También se pueden investigar los nombres de los buzones de correo que estén
relacionados con figuras importantes de la organización que estemos auditando.
Podría ser un buen vector de ataque conseguir los correos electrónicos personales de
alguien de dentro de la organización. Para ello, podemos usar el programa Maltego,
con el que podemos hacer una búsqueda de posibles cuentas de correo de una
persona proporcionándole el nombre y apellidos. Maltego buscará por numerosas
redes sociales, foros, publicaciones, …
107
Ciberseguridad
108
4. Hacking ético-preparación del ataque
Figura 4.17. Detalle de escaneo de maella.es con Nessus en el que ha encontrado nueve vulnerabilidades, ninguna de ellas
crítica.
Figura 4.18. Detalle del escaneo con Nessus en el que nos muestra información como que el sistema operativo bajo el que corre
el server de páginas web es un Windows Vista.
109
Ciberseguridad
Figura 4.19. Detalle de escaneo de maella.es con Acunetix, en el que nos muestra información del nivel de seguridad encontra-
do, un árbol de directorios encontrados, las vulnerabilidades, …
110
4. Hacking ético-preparación del ataque
Figura 4.20. Detalle de escaneo con Acunetix, en el que nos muestra la información relativa a una de las vulnerabilidades, en
este caso, un fallo en uno de sus formularios con “HTML form without CSRF protection”, en el que se puede hacer
un ataque de CSRF o XSRF.
111
Ciberseguridad
DECLARACIONES
112
4. Hacking ético-preparación del ataque
CLAÚSULAS
SEPTIMA. Las partes convienen que en caso que la parte receptora incumpla parcial
o totalmente con las obligaciones a su cargo derivadas del presente contrato, la parte
receptora será responsable de los daños y perjuicios que dicho incumplimiento llegase
a ocasionar a la parte divulgante.
113
Ciberseguridad
3. Que sea o llegue a ser del dominio público, sin mediar incumplimiento de este
convenio por la parte receptora;
4. Que se reciba de un tercero sin que esa divulgación quebrante o viole una
obligación de confidencialidad.
DECIMA. Dentro de los 7 días hábiles siguientes a la fecha de terminación del presente
convenio o, en su caso, de su prórroga, toda la “Información Confidencial” transmitida
de manera escrita, grabada en un medio magnético o de otra forma tangible, a la
parte receptora por la divulgante, deberá ser devuelta a la parte divulgante o, en su
caso, destruida en presencia de un representante autorizado de la parte divulgante, a
elección de la parte divulgante. En caso de que la parte receptora no cumpla con la
devolución o la destrucción en presencia de un representante autorizado de la parte
divulgante dentro del plazo establecido en la presente Cláusula, la parte receptora.
se hará acreedora a la Pena Convencional establecida en la Cláusula Séptima del
presente Contrato.
DECIMO SEGUNDA. Este convenio constituye el acuerdo total entre las partes
respecto a dicha “Información Confidencial” y sustituye a cualquier otro entendimiento
previo, oral o escrito, que haya existido entre las partes.
DECIMO TERCERA. Ninguna de las partes podrá ceder sus derechos y obligaciones
derivados del presente Contrato.
114
4. Hacking ético-preparación del ataque
D. _______________________. D. _________________
Ciudad_______ Ciudad__________
Enteradas las partes del contenido y alcance del presente contrato, lo firman a fecha
___________________
Firma. Firma.
115
Ciberseguridad
Objetivo y alcance
El objetivo de este análisis de seguridad es conocer el estado de seguridad de la
información de la infraestructura de tecnologías de la información y las comunicaciones
del servidor.
La auditoría aquí presentada es básica, para ver las vulnerabilidades que se pueden
sacar sin apenas investigación.
Primeros pasos
En la máquina “objetivo”, asumimos que hará de servidor DHCP, por lo que en nuestro
Kali configuramos la red como cliente DHCP y revisamos la IP asignada, en este caso
192.168.17.129:
116
4. Hacking ético-preparación del ataque
Vemos que hay cinco HOST, por lo que vamos a analizar cada uno de ellos:
117
Ciberseguridad
Este es un posible candidato a ser analizado, pues tiene puertos abiertos. Aparentemente
es un Windows 7 u 8 con servicio de http entre otros, aunque actualmente no ofrece
ninguna página:
118
4. Hacking ético-preparación del ataque
119
Ciberseguridad
Este si que ofrece una web que puede ser visitada con material MP3 que puede
escucharse:
Así pues, una vez analizada la red vemos que nuestros objetivos tienen la IP
192.168.17.130 y la 192.168.1.1
120
4. Hacking ético-preparación del ataque
121
Ciberseguridad
Riesgo: • • • • 2/4
Puerto: n/a
122
4. Hacking ético-preparación del ataque
Riesgo : • • • • 2/4
Puerto: n/a
123
Ciberseguridad
Riesgo: • • • • 4/4
Puerto: 5355/UCP
Un bug en la forma en que los procesos de cliente de Windows DNS instalados LINK-
Multicast Nombre Resolución (LLMNR) consultas locales puede ser explotado para
ejecutar código arbitrario en el contexto de la cuenta NetworkService .
Tenga en cuenta que Windows XP y 2003 no son compatibles con LLMNR y una
explotación exitosa en esas plataformas requiere acceso local y la capacidad de
ejecutar una aplicación especial . En Windows Vista, 2008 , 7 y 2008 R2 , sin embargo,
el problema se puede explotar de forma remota.
Riesgo: • • • • 3/4
Puerto: 3389/TCP
124
4. Hacking ético-preparación del ataque
Tenga en cuenta que este script no detecta la vulnerabilidad si la opción ‘Permitir solo
las conexiones desde equipos que ejecuten Escritorio remoto con Autenticación a
nivel de red ‘está habilitada o la capa de seguridad está establecido, en “SSL (TLS
1.0)” en el host remoto .
Riesgo: • • • • 2/4
Puerto: 3389/TCP
Existe este bug porque el servidor RDP almacena una clave privada codificada RSA
en la biblioteca mstlsapi.dll. Cualquier usuario local con acceso a este archivo (en
cualquier sistema Windows) puede recuperar la clave y utilizarla para este ataque.
Solución:
■■ Forzar el uso de SSL como una capa de transporte por este servicio si lo admite
y/o
■■ Seleccionar la opción ‘ Permitir solo las conexiones desde equipos que ejecuten
Escritorio remoto con Autenticación a nivel de red’ si está disponible.
125
Ciberseguridad
Riesgo: • • • • 2/4
Puerto: n/d
Riesgo: • • • • 2/4
Puerto: 3389/TCP
126
4. Hacking ético-preparación del ataque
Conclusión
Los objetivos de la auditoría y, por lo tanto, los campos que hay que solucionar son
los mostrados a continuación:
127
4. Hacking ético-preparación del ataque
RESUMEN
■
Un trabajo de pentesting consiste en realizar una serie de ataques hacia un sistema
o activo de una empresa u organización con la finalidad de conocer el estado de la
seguridad del mismo e informar a los responsables para su subsanación.
■
Las técnicas utilizadas por el pentester son las mismas que utilizaría un pirata
informático, con la única diferencia del objetivo final.
■
Un pirata informático buscará esas vulnerabilidades para hacer un daño a la empresa o
solicitar un rescate a modo de chantaje por no publicar dichas vulnerabilidades.
■
Un hacker o pentester será contratado por la empresa con la finalidad de encontrar
brechas de seguridad que serán posteriormente puestas en conocimiento del
responsable de seguridad de la empresa para su subsanación.
■
Ningún sistema estará nunca completamente seguro, por lo que un pentesting
continuo será la única forma de acercarnos lo máximo posible a un estado que podría
considerarse “seguro”.
129
5
Ciberseguridad
5
DIDÁCTICA
UNIDAD
ÍNDICE
OBJETIVOS................................................................................................................................................................ 135
INTRODUCCIÓN....................................................................................................................................................... 136
5.1. Hacking ético. Ejecución del ataque.................................................................................................................. 137
5.1.1. Definicion.......................................................................................................................................................... 137
5.1.2. Metodología...................................................................................................................................................... 137
5.1.3. Objetivo del ataque............................................................................................................................................. 138
5.1.4. Ataque.............................................................................................................................................................. 148
5.1.5. Explotación....................................................................................................................................................... 149
5.1.6. Post-explotación................................................................................................................................................ 151
5.1.7. Borrar logs y matar procesos (borrado de huellas)................................................................................................... 152
5.1.8. Persistencia....................................................................................................................................................... 154
5.1.9. Pivoting............................................................................................................................................................ 155
RESUMEN................................................................................................................................................................... 157
133
5. Hacking ético - ejecución del ataque
OBJETIVOS
■ Conocer cuál es el proceso de ejecución de un ataque de pentesting.
■
Conocer los objetivos más comunes para nuestro ataque.
■
Entender la necesidad de una metodología de ejecución.
■
Conocer los tipos de ataques que podemos realizar.
■
Conocer los procesos post-explotación.
■
Poder relacionar la ejecución del ataque con la preparación del ataque visto en el tema 4.
135
Ciberseguridad
INTRODUCCIÓN
En este tema abordaremos la segunda fase de una Todas las redes internas de una empresa utilizarán
auditoría. En el tema cuatro vimos cómo obtener casi siempre el protocolo TCP/IP, pero los rangos
información relevante de fuentes de información asignados a sus direcciones variarán ligeramente.
abierta. Llegados a este punto debemos ser capaces Seguramente todas las organizaciones dispondrán
de acceder al interior de la red corporativa, a los datos de un sistema antivirus, pero es muy difícil que
de un equipo, o a manipular alguno de los servicios coincidan en marca y versión todas ellas. Por ejemplo,
que estén corriendo en la infraestructura auditable si conocemos la manera de saltarnos una protección
Se trata de una prueba de fuego en la que del antivirus Panda, existe una pequeña posibilidad de
demostraremos que un atacante ajeno a la organización que al ir a aprovechamos en una auditoria de dicho
puede reproducir ciertas técnicas consiguiendo algún conocimiento, justamente el antivirus instalado en la
tipo de aprovechamiento de la seguridad actual. organización sea Panda. Podríamos encontrarnos con
otras aplicaciones de seguridad como ESET, AVG o
El pentester tendrá que ir analizando sobre la marcha MCAFEE. Si nuestro vector de ataque es una red wifi,
los dispositivos y servicios que se vaya encontrando podemos encontrarnos con cifrado WPA, WEP, WPA
para ejecutar el ataque. No existe una sola técnica 2 y próximamente WPA 3. Es probable que incluso
que pueda definir todo el proceso, sino que es encontremos redes wifi sin cifrar o detrás de un portal
una prueba de estrés cambiante y única en cada cautivo. Todas estas redes serán gestionadas por
organización. Las técnicas que usemos contra una hardware ofrecido por Movistar, Orange, Vodafone,
empresa en un test de intrusión difícilmente serán Yoigo, o libres como TP link, de link, Cisco, Ubiquity,
las mismas que utilizaremos contra otra. Cada etcétera.
organización configura su red, sus equipos, sus
servidores, su correo electrónico, su red wifi e incluso Veremos algunas de las herramientas que imitan a los
su política de concienciación de sus trabajadores de utilizados para la explotación y tipos de explotación.
formas distintas. No serán extrañas unas de otras, Veremos en qué consisten las técnicas de escalada
pero sí tendrán sus matices. En el mercado existen de privilegios, movimiento lateral o pivoting, obtención
multitud de marcas comerciales y cada una de ellas de información interna o information gathering,
implementa el funcionamiento de una forma distinta, persistencia, etcétera.
apoyándose siempre en el protocolo estándar.
136
5. Hacking ético - ejecución del ataque
5.1.1. Definicion
La ejecución del ataque en una auditoria proporciona información sobre el estado de
la seguridad de los distintos segmentos de red de la empresa. Estos segmentos de
red son ubicaciones internas que no disponen de grandes privilegios de conectividad
con sistemas que contienen información sensible.
Uno de los posibles roles del auditor será el de un empleado cuyo equipo se encuentra
en uno de dichos elementos de red, con el fin de encontrar las vías que dispone este
supuesto empleado para acceder a información sensible a la que no está autorizado.
El proyecto OWASP es un proyecto sin ánimo de lucro que se encarga de definir las 10
vulnerabilidades mas extendidas encontradas en las organizaciones a nivel mundial,
del cual hablaremos más adelante.
Un auditor no se centrará en este top 10, sino que ampliará la lista según vaya viendo
en la ejecución de su trabajo qué brechas de seguridad va encontrando. Las pruebas
se detallarán durante el proceso y se documentarán en forma de diario. Esta redacción
informará a la empresa que contrata el servicio de las técnicas y objetos interesantes
encontrados durante las distintas jornadas.
5.1.2. Metodología
La mayoría de los auditores planifican una misma metodología distinta en un pequeño
porcentaje, pero por regla general debería contener los siguientes puntos:
■■ Definición y planificación.
■■ Reconocimiento externo.
■■ Compromiso inicial.
■■ Acceso interno.
■■ Elevación de privilegios y persistencia.
■■ Reconocimiento interno y movimiento lateral.
■■ Exfiltración de información y documentación.
137
Ciberseguridad
Por el contrario, también hay que tener presente que realizar una instrucción física
sobre una obligación conlleva riesgos más elevados que hacerlo desde el ámbito
digital, como sería el caso de una instrucción a nivel de perímetro mediante redes wifi.
Hay que tener en cuenta que posiblemente a la hora de llevar a cabo una intrusión física
o acceso a una red cableada dentro de la propia empresa tendremos posiblemente un
único intento o, como mucho, un par de ellos, para lograr o no la intrusión.
Se recomienda por lo tanto dedicar una gran cantidad de tiempo a recopilar toda la
información posible acerca de la ubicación y empleados, planificar las acciones que
serán desarrolladas, las posibles interacciones que se producirán o no con empleados
internos, así como probar previamente la evasión de los sistemas de seguridad física
identificados. El acceso a las redes cableadas de la empresa conlleva por norma
general el acceso personal al interior de la propia empresa para poder conectar
nuestro dispositivo de hackeo o hacer uso de un dispositivo propio de la empresa
para nuestros fines.
138
5. Hacking ético - ejecución del ataque
Figura 5.1. Imagen de una Raspberry PI, un dispositivo del tamaño de una tarjeta de crédito que podemos alimentar con baterías
y esconder para hacer ataques a redes wifi o cableadas.
139
Ciberseguridad
Figura 5.2. Imagen de un Wifi Pinneapple Nano, diseñado para realizar ataques Man-in-the-Middle..
Figura 5.3. Captura de pantalla del programa Wireshark, un sniffer de redes que captura paquetes y nos enseña el contenido.
140
5. Hacking ético - ejecución del ataque
5.1.3.2. WIFI
Nuestro objetivo es el ataque mediante técnicas de hacking a una red wifi. Como
tenemos la ventaja de que podemos hacerlo desde el exterior de las inmediaciones de
la empresa, con un portátil desde la acera de enfrente, desde una cafetería cercana o
desde un coche aparcado en el parking de la empresa, podremos intentar romper la
seguridad de la wifi y acceder a la red interna de la empresa como si de un dispositivo
legítimo se tratase. Los diferentes tipos de redes que pueden ser identificadas durante
la actividad del pentesting son casi infinitas, pues cada empresa implementará su red
asociado, a sus necesidades.
■■ WEP: redes que cuentan con ciertas medidas de seguridad pero que en la
actualidad son completamente vulnerables debido a las múltiples vulnerabilidades
públicas, y la capacidad de lograr identificar la clave en texto plano en la red.
Este tipo de red podría ser identificada en localizaciones o infraestructuras
secundarias que no cuenten con revisiones periódicas.
Una vez que hemos enumerado el tipo de seguridad con el que cuenta la empresa en
sus redes wifi, procederemos a romper dicha seguridad. Existen multitud de programas
y herramientas que nos ayudarán a vulnerarla. Dependiendo del tipo de configuración,
podríamos acceder a la red en unos segundos, en unos minutos o incluso no será
posible su acceso si la seguridad es alta debido a una buena configuración del punto
de acceso, la elección de una contraseña robusta, la segmentación de la red correcta,
el uso de un portal cautivo bien configurado, o incluso en situaciones extremas el
uso por parte del administrador de la red de la empresa de listas blancas y negras de
direcciones MAC.
141
Ciberseguridad
Tras vulnerar la seguridad de la red wifi y acceder a la red interna a través de este punto
de acceso, tendremos que volver a hacer un análisis para conseguir una enumeración
de activos que nos encontremos en este nuevo paso.
■■ Antenas wifi: necesarias para ampliar las capacidades del equipo a la hora de
ejecutar el ataque y posteriormente en la intrusión si fuera necesario. Dependiendo
del tipo de localizaciones es posible que sea necesario hacer uso de antenas
dirigidas y omnidireccionales.
■■ Portátiles.
■■ Baterías adicionales tanto para los equipos utilizados como para los portátiles.
■■ Servidores externos para aquellos casos donde se vaya, a lanzar pruebas para
redireccionar a los usuarios algún tipo de aplicación falsa publica en Internet, que
dependiendo de la envergadura de nuestro ataque no tienen por qué ser grandes
equipos, sino simplemente un ordenador o dispositivo en el que almacenar los
datos que vayamos obteniendo y extrayendo de la organización.
142
5. Hacking ético - ejecución del ataque
Existen también herramientas online con las que podremos obtener diversa información,
como la web de wigle.net:
Figura 5.4. Captura de pantalla de la web Wigle.net , donde podemos obtener información OSINT sobre nombres de redes wifi
(SSID) y las direcciones MAC de los dispositivos que las emiten.
Figura 5.5. Captura de pantalla de la web Wigle.net con mayor zoom. Aquí se leen las MACs de los dispositivos.
143
Ciberseguridad
144
5. Hacking ético - ejecución del ataque
Este dispositivo está a la venta por 44,99$ más transporte y aduana en su web oficial:
■■ https://shop.hak5.org/products/usb-rubber-ducky-deluxe
■■ http://www.elladodelmal.com/2014/05/usb-rubber-ducky-un-teclado-
malicioso.html
145
Ciberseguridad
146
5. Hacking ético - ejecución del ataque
■■ https://github.com/sensepost/regeorg
Para hacer uso de ReGeorg se debe subir el recurso en cuestión, ya sea PHP, ASPX
o JSP, a la aplicación web objeto mediante el vector identificado ya sea mediante la
subida de ficheros directa, una inyección SQL, una inyección en una imagen, etcétera.
Una vez subido el fichero es necesario ejecutar script Python, que hace de cliente en
la máquina del auditor, y donde se indica la ruta exacta donde se encuentra el recurso
subido. De forma opcional también se puede indicar el puerto local que se va a poner
a la escucha, en caso contrario la herramienta hará uso del puerto 8080 definido
por defecto. Tras ejecutar el script se establece un túnel, de tal forma que todas las
comunicaciones que sean enviadas a través del puerto local que haya sido definido,
saldrán a través de la máquina vulnerada. Consiste por lo tanto en desplegar un proxy
mediante el uso de tecnología web, y de hecho puede ser usado como tal mediante
cualquier tipo de herramienta para la gestión de proxys como por ejemplo proxichains.
Figura 5.9. Captura de pantalla del comando de descarga de ReGeorg del repositorio de Github.
147
Ciberseguridad
Figura 5.10. Captura de pantalla del comando de comprobación de la descarga correcta de ReGeorg.
Figura 5.11. Captura de pantalla de la ejecución de ReGeorg. Tras la “-u”, habría que escribir la ruta exacta de nuestro upload.
5.1.4. Ataque
Una vez que hemos recuperado toda esta información estamos preparados para
realizar el ataque. Haremos uso de las vulnerabilidades detectadas, moviendo las
fechas de seguridad que hayamos identificado en las fases previas. Nuestra intención
es tener acceso real la red interna de la empresa. La ya nombrada organización
OWASP se encarga de numerar el Top 10 de las vulnerabilidades a nivel mundial. La
mayoría de los servicios que utilizan las empresas y que presentan vulnerabilidades
tendrán un porcentaje elevado se corresponde con esta enumeración. En 2017 el Top
10 de riesgo en seguridad de aplicaciones fue la siguiente:
148
5. Hacking ético - ejecución del ataque
■■ Deserialización insegura: una aplicación recibe objetos dañinos que pueden ser
manipulados o borrados por el atacante con el fin de enviar indicciones o elevar
sus privilegios de ejecución.
■■ https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
5.1.5. Explotación
Llegados a este punto el auditor decidirá qué vector de ataque es el más adecuado para
realizar el ataque. Una de las herramientas más conocidas es Metasploit. Metasploit
nos permite aprovechar una vulnerabilidad conocida a través de un framework
amigable para el usuario, como si fuese una asistente que nos irá conduciendo por
sus menús para elaborar nuestro ataque con todas las opciones que nos permitan la
vulnerabilidad sobre la que queremos ejecutar el ataque.
149
Ciberseguridad
150
5. Hacking ético - ejecución del ataque
Figura 5.13. Captura de pantalla de Metasploit y el uso del comando “show exploits”, que nos muestra todos los exploits
disponibles en la versión actual que tengamos instalada.
5.1.6. Post-explotación
La siguiente fase de nuestra auditoría parte de la posición en la que nos encontramos:
hemos analizado una infraestructura, hemos hecho un inventario inicial de
vulnerabilidades, hemos conseguido acceder a la red corporativa haciendo uso de
una vulnerabilidad conocida en Metasploit como una inyección SQL, una contraseña
olvidada en un fichero, un nombre de usuario y contraseña que nos ha proporcionado
involuntariamente un empleado, etcétera, y ahora nuestra intención es seguir
aprovechando este acceso conseguido con las siguientes subfases en la post-
explotación.
151
Ciberseguridad
Las huellas de nuestro paso quedarán almacenadas en los logs del sistema y en
procesos que hemos tenido que ejecutar y correr para llevarlo a cabo. Podemos
eliminar los ficheros log o las bases de datos donde esto queda registrado, o podemos
contaminarlos con una cantidad de datos falsos tan grande que sea imposible deducir
cuáles son los buenos y cuáles son los malos. Lo primero sería eliminar todo registro,
pero presentarían saltos entre los registros por fecha y hora, dando la pista de que
algo inusual ha sucedido. Por ello a veces es mejor contaminar los logs con cantidades
ingentes de datos repetidos o falsos con la intención de que nuestro paso por la
empresa quede oculto por la sobreinformación.
■■ apache/logs/error.log
■■ apache/logs/access.log
■■ etc/httpd/logs/acces.log
■■ etc/httpd/logs/error_log
■■ etc/httpd/logs/error.log
■■ usr/local/apache/logs/error_log
■■ usr/local/apache/logs/error.log
152
5. Hacking ético - ejecución del ataque
■■ var/log/apache/error_log
■■ var/log/apache2/error_log
■■ var/log/apache/error.log
■■ var/log/apache2/error.log
■■ var/log/error_log
■■ var/log/error.log
■■ var/log/access_log
■■ var/log/access_log
■■ var/www/logs/access_log
■■ var/www/logs/access.log
■■ usr/local/apache/logs/access_log
■■ usr/local/apache/logs/access.log
■■ var/log/apache/access_log
■■ var/log/apache2/access_log
■■ var/log/apache/access.log
■■ var/log/apache2/access.log
■■ var/log/access_log
■■ var/log/access.log
■■ var/www/logs/error_log
■■ var/www/logs/error.log
Sí hemos utilizado una Shell, tendríamos que eliminar también el Bash History,
eliminando los ficheros .bash_history o .sh_history. Pero hay que recordar hacerlo
justamente antes de salir, pues si no seguimos alimentando estos ficheros con
cualquier nueva acción.
Los procesos que hemos ejecutado para nuestro beneficio sería interesante matarlos
para que no sigan ejecutándose.
153
Ciberseguridad
5.1.8. Persistencia
Hemos comentado que nuestro paso por el sistema pende de un hilo, a expensas de
que nos descubran dentro del sistema, por lo que una tarea indispensable que hemos
de realizar es la de persistencia. Nos dejaremos preparado un plan B, C, D, y tantos
como podamos para poder volver a acceder al sistema sin tener que pasar por todas
las fases anteriores que hemos tenido que implementar para llegar hasta aquí. Una
vez dentro de la infraestructura tenemos una posición privilegiada, por lo que será más
sencillo prepararnos un acceso secundario que solo conoceremos nosotros para una
futura intrusión en caso de que el vector de ataque actual que estamos atacando sea
descubierto o cerrado.
154
5. Hacking ético - ejecución del ataque
5.1.9. Pivoting
Durante el proceso de intrusión interna el pentéster necesitará tener la capacidad
de acceder remotamente a sistemas internos de la organización, ya sea para lograr
acceso al sistema y analizarlo en busca de información sensible, o para acceder a
redes internas sobre las que inicialmente no se tuviera visibilidad. En ocasiones, esto
implicará hacer uso de sistemas comprometidos para lograr visibilidad y acceso a
redes y sistemas no accesibles de manera inicial.
155
Ciberseguridad
156
5. Hacking ético - ejecución del ataque
RESUMEN
■
En este tema hemos abordado distintas cuestiones relacionadas con la propia acción
de realizar un ataque real y efectivo contra la infraestructura de una empresa. Hemos
visto distintas herramientas conocidas para comprometer los activos interesantes o
deseados analizando los distintos sectores posibles de ataque. Hay que remarcar que
no es un proceso estático, sino que cada auditoría será totalmente distinta, dependiendo
de la información que ya hemos obtenido previamente. Cada empresa desarrolla sus
sistemas de seguridad de una forma totalmente única, instala unos sistemas operativos
según sus necesidades, e incluso instala y adquiere sistemas de seguridad y antivirus
dependiendo de su propia economía interna, por lo que se extiende ante nosotros un
extenso abanico de posibilidades, técnicas, vulnerabilidades, ataques, un etcétera casi
infinito. Es elección del pentéster el uso de todo ello, o de una mezcla de conocimientos
personales con los que logrará comprometer a la empresa.
■
El fin de todo este proceso no es otro que el de hacer efectivo un simulacro de ataque
real, descubrir que realmente puede vulnerar los sistemas, de una manera puntual o
prolongada en el tiempo mediante la aseguración de persistencia, la efectividad del
ataque hacia los activos más críticos haciendo uso de pivoting o movimiento lateral, el
acceso a información privada no accesible a usuarios ajenos mediante la elevación de
privilegios, ym una vez conseguido este ataque dirigido hacia la empresa, demostrará
la existencia de fallos con el único fin de informar a la organización para la subsanación
de todas estas brechas .
■
Las herramientas y técnicas mencionadas son solo la punta del iceberg de toda una
caja de herramientas inmensa con la que el pentéster cuenta.
157
6 6
Ciberseguridad
DIDÁCTICA
UNIDAD
ÍNDICE
OBJETIVOS................................................................................................................................................................ 163
INTRODUCCIÓN....................................................................................................................................................... 164
6.1. Definición............................................................................................................................................................. 165
6.2. Metodología......................................................................................................................................................... 167
6.3. Equipo necesario................................................................................................................................................. 169
6.4. Fases.................................................................................................................................................................... 171
6.4.1. Adquisición........................................................................................................................................................ 172
6.4.2. Preservación..................................................................................................................................................... 200
6.4.3. Análisis............................................................................................................................................................. 203
6.4.4. Informes........................................................................................................................................................... 213
6.4.5. Presentación..................................................................................................................................................... 213
RESUMEN................................................................................................................................................................... 217
161
6. Análisis forense de redes y equipos
OBJETIVOS
■ Comprender qué es el análisis forense.
■
Conocer los métodos, el equipo y el proceso que conlleva la realización de un análisis
forense.
■
Conocer el proceso de generación de informes necesarios dependiendo de la finalidad
para la que hayamos hecho el análisis forense.
163
Ciberseguridad
INTRODUCCIÓN
El último cuarto del siglo XX está plagado de Pocos meses después la compañía Google lanzó
acontecimientos que pronosticaban la inminente su sistema operativo Android, el cual permitía ser
introducción de los procesos cotidianos del ser instalado en infinidad de dispositivos de innumerables
humano en la era de la informática. El envío del primer marcas de smartphones, dotando a la tecnología de la
correo electrónico a finales de 1971, la invención del telefonía móvil de unas prestaciones nunca vistas hasta
primer PC por parte de HP en agosto de 1981, el el momento: navegación web, correo electrónico,
diseño y comercialización de los Apple Mac en enero GPS, aplicaciones de ofimática, juegos, aplicaciones
de 1984 con una interfaz gráfica amigable para todos multimedia, aplicaciones de comunicaciones, …
los usuarios, la implementación en 1990 del protocolo Con estos nuevos dispositivos, tanto los PC como
HTTP y el desarrollo de Mosaic, el primer navegador los smartphones, todos ellos interconectados y
web, en marzo de 1993 o la puesta en funcionamiento compatibles entre ellos y con la gran versatilidad que
del motor de búsquedas de Google en septiembre poseen, se han ido introduciendo en nuestras rutinas
de 1998, son los comienzos de los grandes hitos diarias tanto de ocio como de productividad, hasta
tecnológicos que comenzaban a modificar la forma el punto de que prácticamente todo lo que hacemos
de comunicarnos, relacionarnos y los procesos diariamente se hace usando uno de estos dispositivos
productivos. total o parcialmente. Extrapolando su uso a todas las
Paralelamente, los teléfonos móviles cursaban su actividades humanas diarias, podemos pensar que
propia evolución y mejora. En 1992 los PDA de IBM también los delitos, espionajes, actividades delictivas
incorporaban funciones de mensajería y ofimática. y demás acciones abusivas son llevadas a cabo o
Entre 2002 y 2004, los HTC con sistema operativo al menos están relacionadas con el uso de dichos
Microsoft Windows Pocket PC, los dispositivos Palm dispositivos.
con su Palm OS y los Blackberry con el Blackberry Nace así pues la técnica del análisis forense, la cual
OS comenzaban a popularizarse entre todos los se encarga de investigar los sistemas de información
sectores de la tecnología de consumo. Pero el hecho para poder estimar si un dispositivo ha sido usado
que marcó un antes y un después fue el anuncio del para la comisión de un delito o acción concreta,
iPhone y el iOS en 2007. recabar información sobre ese delito o acción, su
modo de ejecución o, también, la inocencia de que
dicha acción no se perpetró.
164
6. Análisis forense de redes y equipos
6.1. Definición
El análisis forense digital o análisis forense informático es el manejo de técnicas
informáticas y analíticas especializadas y concretas a los dispositivos tecnológicos o a
parte de sus componentes, que permiten conseguir la identificación, la preservación,
el análisis y la presentación específica de datos que sean válidos y fiables dentro de
un proceso legal o aclaratorios de unos hechos en el que esté involucrado el uso de
las TIC.
165
Ciberseguridad
166
6. Análisis forense de redes y equipos
6.2. Metodología
Para la realización de un análisis forense digital podemos destacar las siguientes fases:
2. Recopilación de evidencias.
3. Preservación de la evidencia.
4. Análisis de la evidencia.
Cabe destacar que estas cinco fases son una guía muy simple con la que abordar
un análisis forense digital, ya que cada una de ellas puede complicarse o incluso
necesitar de una complejidad distinta, dependiendo del asunto que queramos abordar,
el entorno de trabajo con el que nos encontremos, el tiempo del que dispongamos o
incluso el estado de los equipos informáticos que tengamos que analizar.
El objetivo buscado depende directamente del fin que queramos conseguir. Debido
a la gran cantidad de información que se almacena en un dispositivo electrónico
cualquiera hoy en día, sería imposible analizar toda ella. Pensemos en un ordenador
“normal” que podamos tener en nuestra casa o en nuestra oficina. No hace falta que
sea un CPD de una gran empresa multinacional para poder encontrar cientos de
gigabytes o varios terabytes de información almacenada en nuestros discos duros,
tanto internos como externos, pendrives, memorias internas en teléfonos móviles,
tarjetas SD, memoria de dispositivos MP3 o MP4, grabadores de TV, videoconsolas,
relojes inteligentes, pulseras FitSmart, cámaras de videovigilancia con grabaciones
en su memoria…, y un largo etcétera que no enumeraremos completamente por ser
amplísima desde que Internet de las Cosas (Internet of Things - IoT) nos invadió. Tal
vez de todo ello tengamos conciencia de su existencia, pero hay otra lista inmensa
si añadimos los datos almacenados en la nube, tales como correos electrónicos
que guardamos en Gmail, Hotmail, Yahoo…, ficheros guardados en Google Drive,
DropBox, Mega, One Drive… Existe un tercer grupo de información que son los logs
que se crean cada vez que nos conectamos a una red wifi o cableada, a una red 3G
o 4G, dispositivos BlueTooth… información bastante opaca para el usuario medio,
ya que no es una información que el usuario utilice, sino que se va modificando y
ampliando automáticamente con el uso que hagamos de nuestros dispositivos.
Toda una maraña de direcciones IP, direcciones de páginas web (URLs), nombres
de servidores, resoluciones DNS, números identificativos de estaciones de telefonía,
tiempos de conexión, y otro largo etcétera de datos van quedando registrados en un
historial de uso en nuestros dispositivos, en los servidores de los que hacemos uso y
en los logs de las compañías telefónica y de internet.
167
Ciberseguridad
Tras esta ingente lista de lugares en los que nuestra información queda guardada,
volvemos al tema que estamos tratando, el objetivo buscado en un análisis forense.
Hacemos hincapié, en la imposibilidad técnica y humana de analizar toda esa
información. Nuestro objetivo será concreto, claro y definido acorde con la necesidad
creada. Si por ejemplo el delito que se cometió fue el envío de un correo electrónico
amenazante, buscaremos restos o indicios de dicho correo, posibles documentos
en los que se redactó dicho correo, inicios de sesión, conexiones, cookies, ficheros
temporales… que lo relacionen con el servidor de mail desde el que se envió el correo
analizado.
168
6. Análisis forense de redes y equipos
Figura 6.1. Máquinas clonadoras de la marca ICS-IQ. La de la izquierda se corresponde con el modelo “ROADMASSTER-3 X2
FORENSIC HARD DRIVE ACQUISITON/DUPLICATOR/ANALYSIS LAB” y la de la derecha es la“MobileForensicsSystem
iDC-4501”.
Cabe destacar también que hoy en día la clonación de discos ya no se suele utilizar.
Esta técnica es necesaria para la realización de análisis forense, pues para preservar la
prueba nunca se ha de trabajar directamente sobre esta, sino que se hace una copia
y todos los trabajos de análisis se realizan sobre la copia, teniendo la certeza de que
la copia es una fiel imagen del original. En el caso expuesto anterior, necesitaríamos
diez discos duros iguales (en marca y modelo) a los encontrados en la oficina del
ejemplo, y diez pendrives con la misma característica (misma marca y modelo). Aparte
de la complejidad de poder encontrar estos componentes de hardware iguales a los
hallados en la oficina, hemos de pensar en el consiguiente desembolso económico de
tal acción, así como el espacio físico que ello conlleva. Para ello, la técnica utilizada
ahora mismo es la de copiar cada unidad en una imagen.
169
Ciberseguridad
170
6. Análisis forense de redes y equipos
6.4. Fases
A la hora de realizar un análisis forense es importante seguir una hoja de ruta o protocolo
de actuación, con el fin de no cometer errores ni dejarnos ningún hilo suelto y así
conseguir un enfoque más profesional de la misma, evitando que el trabajo realizado
no sea completo, erróneo o incluso refutado por un análisis paralelo realizado por otro
analista. Una posible guía (no hay un único camino) podría ser la siguiente:
■■ Análisis: los datos contenidos en los medios pueden ser muy extensos,
complejos o no ser concluyentes con el fin buscado. En esta fase extraeremos
la parte de los datos que sí serán objeto de nuestro análisis, obtendremos
conclusiones, deduciremos hechos pasados o seleccionaremos parte de ellos
como conclusión.
171
Ciberseguridad
6.4.1. Adquisición
Un ordenador tal y como lo conocemos hoy en día es una máquina electrónica que
recibe y procesa datos, para convertirlos en información conveniente y útil, que pueda
ser interpretada por humanos, por otros ordenadores o por ciertos componentes
electrónicos como autómatas o maquinaria con los que efectuar un trabajo concreto.
Un ordenador está formado físicamente por numerosos circuitos integrados y muchos
componentes de apoyo, extensión y accesorios, que en conjunto pueden ejecutar
tareas diversas con suma rapidez y bajo el control de un programa (software). En
lo más básico de la informática, un ordenador podría considerarse una placa base,
un procesador y una memoria RAM correctamente alimentados. Solo con esos
componentes ya puede procesarse la información. Lo más extendido en la informática
de usuario o comercial es que además se le añadan otros periféricos, como unidades
de almacenamiento no volátil (discos duros, pendrives, unidades de CD y/o DVD…)
en los que almacenar información que podamos usar posteriormente, una pantalla
(monitor, proyector, display LCD…) que permita mostrar al usuario estados con los
que interactuar, periféricos de entrada (teclado, ratón, pantalla táctil…) con los que
introducir nuevas instrucciones, periféricos de comunicaciones (tarjetas ethernet,
tarjetas wifi, dispositivos bluetooth…) con los que transmitir la información, y un largo
etcétera de periféricos diseñados para una multitud de tareas que el trabajo con
información requieren.
Desde el punto de vista del análisis forense, tenemos que tener en cuenta que el
componente fundamental de un ordenador que tenemos que analizar son los
periféricos de almacenamiento. En el caso de los discos duros internos tendremos
que abrir la caja del ordenador, bien sea en formato torre o un portátil, extraerlo y
analizarlo desde nuestro equipo especial de análisis. Por ello, hemos de seguir una
metodología que nos permita recabar toda la información disponible sin contaminar el
estado inicial del equipo. Existen pistas minúsculas que nos aportan información sobre
cómo se ensambló un equipo, si este ha sido intervenido en algún momento, hábitos
de uso tanto del equipo como del entorno en el que se encuentra el mismo, hábitos
del usuario… Muchas veces una simple observación cuidadosa nos permitirá saber si
el equipo ha sido reparado anteriormente, si ha sido ampliado e incluso si un puerto
USB suele utilizarse para conectar algún dispositivo o no.
172
6. Análisis forense de redes y equipos
Para evitar esto, se proponen una serie de reglas que deberían seguirse en este orden:
En una pantalla de teléfono, hay veces que puede saberse cuál es el patrón de
desbloqueo o PIN por las marcas de grasa que quedan en la pantalla.
173
Ciberseguridad
Figura 6.2. Teclado usado con teclas gastadas y sucias delatando hábitos de uso.
4. Observaremos los hábitos de uso que el usuario nos ha dejado. Un puerto limpio,
sin polvo nos indica que ese puerto suele tener un cable conectado que impide
que la suciedad penetre en él. Un puerto sucio hace presuponer su poco uso.
Señales de agua en un lateral de la torre indica que el equipo suele estar ubicado
en el suelo, lugar donde la fregona ha manchado el mismo. Polvo en la parte
superior nos dice que no suele tener objetos encima, por estar normalmente
alojado en un cubículo de tamaño similar al del ordenador o en un lugar poco
accesible. Pegatinas identificativas al lado de cada uno de los puertos indica que
el grado de conocimientos de usuario sobre informática no están más allá que
su simple manejo para el desarrollo de su labor en la empresa. Incluso si nos
fijamos bien, podemos saber si ha estado en un lugar en el que las paredes han
sido pintadas de blanco hace poco.
174
6. Análisis forense de redes y equipos
Figura 6.5. Puertos del lector de tarjetas llenos de polvo indican su poco uso.
Figura 6.6. Detalle de pegatina de vinilo autodestruible que al ser manipulada se resquebraja, indicando un intento de intrusión
al equipo, normalmente usadas por servicios técnicos y fabricantes para el control de garantías.
175
Ciberseguridad
Figura 6.7. Detalle de pegatina identificativa de fabricante. Esta pegatina es de un ordenador Fujitsu de sobremesa. Podemos
ver el modelo: ESPRIMO E700 E85+, que es el modelo comercial y el modelo técnico: DT8-D3061, la corriente
de entrada necesaria: de 100 a 240 voltios, de 50 a 60 hertzios y de 1,5 a 3,5 amperios, el número de serie:
YLCU054324. También puede verse el detalle de que este modelo se fabricó en su día por Fujitsu y se comercializó
con una licencia COA de Windows 7 Professional. Posteriormente se reacondicionó y se vendió con licencia de
Windows 10 Home..
176
6. Análisis forense de redes y equipos
Un flex, cable interno o bus interno es un cable usado para conectar dos
o más componentes en el interior de un equipo electrónico. Es un cable
exclusivo, diseñado de una forma y para un uso únicos. Carece de conectores
en sus puntas, aunque suelen presentar un refuerzo, normalmente de color
azul, que facilita su inserción en el que va a conector hembra del dispositivo
a conectar.
Figura 6.8. Detalle de dos ejemplos de cable flex interno de un portátil. El de arriba es el que conecta una botonera de
encendido a la placa base y el de abajo la placa de puertos USB a la placa.
177
Ciberseguridad
Figura 6.9. Otros modelos tienen tapas de acceso a los compartimentos del disco duro, memoria u otros componentes
facilitando su acceso.
178
6. Análisis forense de redes y equipos
Figura 6.10. Detalle de localización de los tornillos que hay que quitar para poder acceder a la placa base en un portátil Toshiba.
179
Ciberseguridad
Figura 6.11. Detalle de dos pegatinas manuscritas en el ventilador del procesador y en la placa base. Al ser manuscrita nos puede
orientar en la identificación de que dicha pegatina ha sido añadida por el montador del equipo, tal vez una tienda
pequeña, no una cadena de montaje. Al ver que presentan ambas el número “1652”, podemos deducir que estas
dos piezas fueron instaladas en la misma fecha.
180
6. Análisis forense de redes y equipos
Figura 6.12. Detalle de pegatina manuscrita en el disco duro. El número que aparece es “1643”, distinto al de la placa base
y el procesador, pero muy próximos, por lo que deduciremos que fue ensamblado este equipo con estos tres
componentes en la misma intervención del técnico montador.
La etiqueta que el fabricante añade a los discos duros es un documento muy completo
con grandes cantidades de información, por lo que vamos a verlo con más detalle.
Figura 6.13. Detalle de etiqueta de unos discos duros internos de 3,5” con conexión sata. Pueden identificarse la siguiente
información: 1- marca, 2- serie comercial, 3- capacidad, 4-modelo, 5- número de serie, 6-part number o número
de pieza, 7- fecha de fabricación y 8- firmware instalado de fábrica.
181
Ciberseguridad
Llegados a este punto, tenemos en nuestras manos la ansiada pieza objeto de todos
nuestros análisis posteriores, el disco duro. Hay que decir que este componente es
sensible a golpes y radiación electromagnética, por lo que procederemos con suma
precaución en su manejo.
182
6. Análisis forense de redes y equipos
Figura 6.14. Ilustración de una posible orientación de las regiones de un disco duro. No están alineadas perfectamente, sino
que unas zonas son más norte-sur que las consideradas sur-norte. Hay que tenerlo en cuenta a la hora de pensar
en la fiabilidad del guardado de los datos ya que, con el paso del tiempo, la acción de una fuente de magnetismo,
un golpe o incluso la radiación solar pueden hacer que una zona magnetizada en una orientación cambie a la otra
corrompiendo los datos.
Estas regiones tienen un tamaño de 25-30 nanómetros por 200-250 nanómetros (un
nanómetro es la milmillonésima parte de un metro o, lo que es lo mismo, dividir un
milímetro en un millón de partes). Para leer el estado de estas regiones y saber si es
norte-sur o sur-norte e identificar en la lectura si es un 0 o un 1, la cabeza lectora ha
de posicionarse en la zona “donde pasará” esa región en el próximo giro, giro que se
efectúa a 129 km/h en el borde de un disco de 3,5” a 7200 r.p.m. La aguja no toca el
disco nunca, ya que a estas velocidades estropearía la superficie del disco. La cabeza
lectora levita sobre el plato gracias al efecto del aire contenido dentro del disco. Una
corriente de aire impulsada por el movimiento de los platos crea un colchón bajo la
cabeza lectora que hace que levite a una altura de unos 40 átomos sobre la superficie.
183
Ciberseguridad
Ahora ya que conocemos la magia que compone un disco duro, identificaremos sus
partes mecánicas:
Figura 6.15. 1- Plato, 2- Eje de giro del plato, 3- Actuador, 4- Brazo del actuador, 5- Cabeza lectora, 6- Dispositivo de
aparcamiento de la cabeza lectora, 7- Eje del actuador, 8- Bolsita de silicagel para retener humedades y filtrar en aire
del interior para retener partículas, 9- Bus de datos de la cabeza lectora, 10- Entrada de alimentación, 11- Interfaz
de conexión SATA, 12- Interfaz de comunicaciones serie, 13- Carcasa retenedora de aluminio (chasis). Los puntitos
verdes indican la posición de los tornillos para montaje dentro de la caja del ordenador.
184
6. Análisis forense de redes y equipos
Figura 6.16. Desde otra perspectiva: 1- Plato, 2- Eje de giro del plato, 3- Actuador, 4- Brazo del actuador, 5- Cabeza lectora, 6-
Dispositivo de aparcamiento de la cabeza lectora, 7- Eje del actuador, 8- Bolsita de silicagel para retener humedades
y filtrar en aire del interior para retener partículas, 9- Bus de datos de la cabeza lectora.
185
Ciberseguridad
Figura 6.17. Vista inferior: 1- Controladora de disco, 2- Conexión de alimentación del motor de giro, 3- Motor de giro, 4- Interfaz
de conexión serie, 5- Interfaz de comunicaciones SATA, 6- Entrada de alimentación. Los puntitos en verde indican la
posición de los tornillos de fijación del disco a la caja del ordenador (otro sistema distinto al de las fotos anteriores).
Figura 6.18. Vista lateral: 1- Controladora de disco, 2- Interfaz de conexión serie, 3- Interfaz de comunicciones SATA, 4- Entrada
de alimentación. Los puntitos en verde indican la posición de los tornillos de fijación del disco a la caja del ordenador
(otro sistema distinto al de las fotos anteriores).
186
6. Análisis forense de redes y equipos
Ya hemos visto cómo se denominan las distintas partes físicas de un disco duro.
Ahora, para entender la forma en que se guardan los datos en él, veremos las distintas
partes de la estructura lógica, esto es, las distintas partes lógicas o virtuales en que
se divide un disco. Son regiones necesarias para el correcto funcionamiento del disco
y su interpretación por parte del sistema operativo, pero no existen como tal, no son
físicas, no hay una separación o barrera real entre ellas:
En este esquema vemos una ilustración en la que se ha puesto una imagen real de
una cabeza lectora y se ha fusionado con un dibujo para hacerlo más entendible. Este
disco en concreto tiene tres platos, de arriba abajo serían el plato 1, el 2 y el 3. Cada
uno de estos platos tiene dos caras, la superior y la inferior, y existe una cabeza lectora
para cada una de estas caras. Hay pues seis cabezas lectoras en total. Para identificar
esto hablaríamos de plato 2 y cara 1 por ejemplo, para referirnos al plato del centro
y su cara superior. A su vez, los bits se distribuyen en unas circunferencias a lo largo
de toda la superficie de cada cara. Son pistas (tracks) concéntricas e independientes.
Suelen confundirse con las pistas de los discos de vinilo, en los que existe una sola
pista en forma de espiral de fuera a adentro. Estas pistas no se montan unas con
otras. En la imagen están representadas en color rojo. Otra definición sería la de
cilindro. En la imagen está representado en azul, y es la suma de todas las caras de la
misma pista. En este caso cada cilindro del disco estaría formado por seis pistas, una
de cada cara y que coinciden superpuestas en la vertical todas ellas. En la ilustración
no se ven las tres pistas que pertenecerían al cilindro y que están en la cara 2 de cada
uno de los platos. En verde tenemos marcado un sector.
187
Ciberseguridad
Concretando pues que queremos generar un fichero imagen de un disco duro o unidad
de memoria para su posterior análisis, nos centraremos ahora en el propio proceso
de creación de dicho fichero. Para ello lo recomendable es el uso de una distribución
Linux que nos permita acceder al propio disco duro montándolo en modo de solo
lectura para preservar la prueba inicial sin modificar. Para ello, aunque no siendo la
única alternativa, explicaremos el proceso con una distribución llamada Kali.
Podemos descargar una imagen del sistema operativo Kali desde su página
web oficial:
https://www.kali.org/
188
6. Análisis forense de redes y equipos
Una vez tenemos el sistema operativo Kali Linux instalado y configurado en nuestra
tarjeta SD, podemos proceder con la adquisición de imágenes de las unidades de
almacenamiento. Para ello hemos de tener en cuenta varios puntos:
Modificando en cada caso los valores con los que sean correctos.
dconf-editor
Figura 6.21. Captura de pantalla de la ventana de ajustes para evitar el automontaje de unidades.
189
Ciberseguridad
Figura 6.23. Captura de pantalla con la ejecución del comando para la creación de la imagen.
190
6. Análisis forense de redes y equipos
Una vez instalado, lo ejecutamos con la orden guymager y nos aparecerá su entorno
gráfico:
Figura 6.25. Captura de pantalla con la acción del proceso de inicio de adquisición de la imagen desde GUYMAGER.
191
Ciberseguridad
Figura 6.26. Captura de pantalla con la ventana de configuración de GUYMAGER para completar los datos de la adquisición de
un caso en concreto.
192
6. Análisis forense de redes y equipos
Figura 6.27. Captura de pantalla con el detalle de la ventana de selección del lugar de destino para vuestra imagen que vamos
a adquirir.
193
Ciberseguridad
Podemos hacer clic con el botón derecho sobre el proceso terminado y seleccionar
“Info”, pare ver un pequeño resumen del proceso que ha efectuado:
Figura 6.29. Captura de pantalla con el detalle de las opciones disponibles una vez adquirida la imagen.
194
6. Análisis forense de redes y equipos
Figura 6.30. Captura de pantalla con la información relevante del proceso de adquisición de imagen realizado.
195
Ciberseguridad
Figura 6.31. Captura de pantalla con la ubicación del fichero generado con información del proceso de adquisición para su
posterior procesamiento.
196
6. Análisis forense de redes y equipos
Figura 6.32. Captura de pantalla con información sobre la versión de GUYMAGER usada y de la unidad adquirida.
197
Ciberseguridad
198
6. Análisis forense de redes y equipos
Figura 6.34. Captura de pantalla con información sobre el número de caso, evidencia y perito que hemos introducido antes,
origen y destino de la creación de la imagen, los hashes calculados, tanto del origen como del destino, resultado de la
verificación, en este caso OK, y las fechas y horas de inicio y fin de la adquisición y proceso de verificación.
199
Ciberseguridad
Figura 6.35. Captura de pantalla con la información de los hashes del fichero de la imagen creada.
6.4.2. Preservación
En un trabajo de auditoría informática se trabaja con pruebas que son volátiles, esto
es, pueden ser modificadas o perdidas. En una analogía con la criminología clásica,
todos hemos visto películas en los que los investigadores forenses se presentan en
la escena de un crimen con ropas especiales neutras, mascarilla y redecillas en el
pelo. El fin de esta equipación es evitar que las pruebas presentes en el lugar de los
hechos se contaminen con información del exterior. Una vez encontrada una prueba,
que puede ser un cabello, un casquillo de bala o una gota de sangre en el suelo, esta
es recogida y almacenada en una bolsa de plástico estéril con cierre hermético y en
ese momento es marcada con un número de prueba, almacenada y documentada.
Posteriormente será llevada al banco de pruebas y almacenada de forma correcta. En
una auditoría informática el proceso es análogo: se encuentra una fuente de posibles
pruebas (siempre un dispositivo electrónico), se recolecta de forma segura asegurando
su inmutabilidad, se etiqueta, se documenta y se archiva. A la hora de trabajar con
ella existe la posibilidad de que se averíe el dispositivo o se modifique su contenido
al conectarlo a un ordenador, por lo que se procede a realizar copias de este para
trabajar sobre las copias realizadas y garantizar la integridad del medio original.
200
6. Análisis forense de redes y equipos
6.4.2.1. Copias
Como hemos comentado en apartados anteriores, nunca trabajaremos sobre la
fuente original. Si pensamos que las pruebas de un delito o hecho están en un disco
duro, todas las técnicas forenses que queramos aplicar las haremos sobre copias de
esa primera fuente. Es más, lo ideal es hacer una primera copia que nos sirva como
fuente de copias posteriores. Así, dejaremos esa primera copia como semilla de la
que realizar múltiples copias en caso necesario, sin tener que volver a usar el soporte
original.
201
Ciberseguridad
Figura 6.36. Detalle de disco duro dentro de una bola anti electricidad estática y una bolsita de silicagel en su interior para
absorber la humedad.
202
6. Análisis forense de redes y equipos
6.4.3. Análisis
Llegados a este punto es cuando podremos empezar a buscar evidencias o pistas
que demuestren o desmientan la existencia de lo que buscamos. Ahora podremos
trabajar sobre nuestra imagen del medio original sin miedo a estropear o modificar
dicho medio. Además, podremos analizar la imagen desde varios frentes, pues
distribuyendo la imagen creada entre varios equipos con varios investigadores forenses
conseguiremos ahorrar tiempo al realizar análisis simultáneos en el tiempo de distintas
características.
Uno de los programas más utilizados es AUTOPSY. Para iniciarlo abrimos una terminal
en nuestro Kali Linux y ejecutamos el comando: autopsy.
La terminal nos mostrará la información sobre la versión que tenemos instalada y nos
indicará una ruta, en este caso:
http://localhost:9999/autopsy
203
Ciberseguridad
Figura 6.37. Detalle de terminal de Linux y el comando “autopsy”, que nos iniciará el programa homónimo. Podemos ver la ruta
donde tendremos que acceder para comenzar a usarlo en nuestro navegador.
204
6. Análisis forense de redes y equipos
El siguiente paso es abrir un navegador web, por ejemplo Mozilla Firefox, y acceder a
la URL ofrecida por autopsy:
205
Ciberseguridad
206
6. Análisis forense de redes y equipos
207
Ciberseguridad
Figura 6.41. Detalle del proceso de proporcionar los datos del nuevo host.
208
6. Análisis forense de redes y equipos
209
Ciberseguridad
Figura 6.43. Detalle del proceso de añadir la imagen de la evidencia al host. Seleccionaremos “Partition” y “Copy”, para trabajar
sobre una copia de nuestra evidencia.
210
6. Análisis forense de redes y equipos
Figura 6.44. Detalle de la ventana donde podemos volver a calcular los hashes para asegurarnos de que nuestros ficheros
continúan en un estado íntegro. También nos informa de dónde va a montar la imagen y el tipo de partición que
vamos a analizar.
211
Ciberseguridad
Figura 6.46. Detalle de la ventana donde realmente podremos empezar a trabajar sobre los datos contenidos en el fichero
imagen.
Figura 6.47. Detalle de la ventana “File Analysis”, donde podremos recorrer la estructura de directorios y ficheros .
Llegados a este punto, es el propio analista forense quien decidirá qué tipo de contenido
ha de buscar, dependiendo de las necesidades solicitadas. Si, por ejemplo, lo que se
sospecha es que un usuario ha borrado una fotografía que guardó y que es susceptible
de haber cometido un delito porque contenía material pedófilo, buscaríamos en los
ficheros borrados para intentar recuperarla y conseguir la prueba de su existencia.
212
6. Análisis forense de redes y equipos
Si queremos comprobar si desde un equipo se accedió a una página web un día a una
hora concreta, podremos analizar los archivos temporales del navegador o las cookies
almacenadas para confirmarlo. Si la sospecha es que se mandó un mail o un mensaje,
analizaremos la posibilidad de que exista todavía dicho mensaje dentro de los ficheros
db que usan algunas aplicaciones para almacenar los mensajes.
6.4.4. Informes
Hemos de pensar que todo el trabajo que hemos realizado hasta encontrar una
prueba lo hemos hecho con ayuda de unas aplicaciones y unos conocimientos
técnicos que el receptor de la información no tiene por qué comprender ni conocer
(jueces, altos cargos de una empresa, responsables de otros departamentos distintos
del de informática, usuarios, etc.). Para transmitir la información a dichos receptores,
redactaremos un informe claro y conciso manteniendo todo el rigor técnico de
nuestra investigación, con todo el proceso completo llevado a cabo para evitar que
nuestro método sea rebatido por otro profesional. La idea general podría ser que, si
conseguimos mediante una serie de pasos llegar a una conclusión, cualquier otro
analista forense que realice el mismo proceso llegue a la misma conclusión.
6.4.5. Presentación
Para la redacción de un informe pericial, usaremos un editor de textos. Se propone a
continuación un ejemplo práctico con el caso del análisis del medio visto en ejemplos
anteriores:
213
Ciberseguridad
En ese mismo momento y en presencia del Sr/Sra notario/a se procedió a crear dos
imágenes de dicho pendrive, conectando el medio original a un equipo con montaje
de unidades en modo de solo lectura, con el fin de imposibilitar cualquier modificación
del original, así como mantener la integridad de los ficheros y los datos de acceso al
mismo, quedando el original en posesión notarial. Una de las imágenes se entregó al
responsable de la empresa y la segunda copia procedemos a trasladarla a nuestro
laboratorio para su análisis. A dichas copias y originales se adjunta informe notarial
con el informe de creación del fichero imagen (caso1_usb.info) en el que se incluye el
cálculo de los hashes descritos a continuación:
MD5 (caso1_usb.dd):
9afa82cef78824b8cc66ba17196a6a63
SHA256 (caso1_usb.dd):
008f53f426c3f6b411e8a7e22d309c411b39ee91ca59d1ad20969511030ef046
Proceso de análisis
Además de buscar entre todos los ficheros con extensión conocida del tipo de
ficheros de almacenamiento de imágenes, se analizaron también las cabeceras con
offsets hexadecimales conocidos para asegurarse de que ningún tipo de contenido de
imágenes ha sido objeto de ocultación u ofuscación.
Resultados
■■ 1131 ficheros. Solo dos de ellos de tipo JPEG que contenían imágenes. Ninguna
de ellas era del tipo de contenido objeto de la investigación.
214
6. Análisis forense de redes y equipos
Se adjunta al presente informe un listado con los nombres de los ficheros y directorio
encontrados en la unidad, tanto los que existen actualmente como los que han sido
recuperados al estar borrados, así como una miniatura del contenido de los ficheros
que contienen imágenes.
Conclusiones
Dado el material cedido por parte de la empresa XXXXX, puede asegurarse que NO
existe ningún indicio de que el pendrive etiquetado como “Evidencia 1”, usado por
el trabajador YYYYY en sus instalaciones, contenga ningún material considerado
como almacenamiento de pornografía infantil en el momento de su análisis. Todas las
pruebas han sido exhaustivas, correctas en forma y ejecución, actuales y efectivas.
215
6. Análisis forense de redes y equipos
RESUMEN
■
El análisis forense digital o análisis forense informático es el manejo de técnicas
informáticas y analíticas especializadas y concretas a los dispositivos tecnológicos o a
parte de sus componentes que permiten conseguir la identificación, la preservación,
el análisis y la presentación concreta de datos que sean válidos y fiables dentro de un
proceso legal, o aclaratorios de unos hechos en el que esté involucrado el uso de las
TIC.
■
La finalidad del análisis forense es la de hallar conclusiones sobre hechos realizados
utilizando medio informáticos o tecnológicos. Estas conclusiones pueden ser usadas
como defensa en un juicio, como acusación en un juicio o internamente en una empresa
para la mejora de la seguridad u optimización de procesos.
■
Para la realización de una auditoría informática tendremos que acceder físicamente
al dispositivo objeto de nuestro análisis, realizaremos copias del mismo usando
programas como Guymager, Win32Imager, … instalados en nuestro ordenador con
sistemas Linux o Windows.
■
Las pruebas y sus copias serán obtenidas siempre garantizando la integridad de todas
ellas, y posteriormente serán almacenadas de forma correcta manteniendo la cadena
de custodia.
■
La fase de análisis la realizaremos siempre sobre una copia del medio original.
Dependiendo de la finalidad de la auditoría nuestro análisis se enfocará en una dirección
u otra. Para realizar dicho análisis utilizaremos distintas herramientas, como Autopsy.
■
Las conclusiones que encontremos en nuestro análisis serán plasmadas en un informe
que redactaremos lo más completo posible, con capturas de pantalla, fotografías,
explicación del proceso seguido, aplicaciones usadas, …
217
7 7
Ciberseguridad
DIDÁCTICA
UNIDAD
ÍNDICE
OBJETIVOS................................................................................................................................................................ 223
INTRODUCCIÓN....................................................................................................................................................... 224
7.1. Definición............................................................................................................................................................. 225
7.1.1. Tipos de SOC.................................................................................................................................................... 226
7.2. Estructura de un SOC.......................................................................................................................................... 228
7.2.1. Personal y misiones............................................................................................................................................ 228
7.2.2. Servicios / procedimientos.................................................................................................................................. 230
7.2.3. Herramientas..................................................................................................................................................... 232
7.3. Security Onion .................................................................................................................................................... 233
7.3.1. Recogida de datos............................................................................................................................................. 238
7.3.2. Tipos de datos................................................................................................................................................... 240
7.3.3. Normalización de datos....................................................................................................................................... 242
7.3.4. Presentación de datos........................................................................................................................................ 243
7.3.5. SOC playbook................................................................................................................................................... 245
7.4. Metodologías de prevención de intrusiones...................................................................................................... 247
7.4.1. Modelo clásico Kill Chain..................................................................................................................................... 247
7.4.2. Diamond model................................................................................................................................................. 248
RESUMEN................................................................................................................................................................... 251
221
7. SOC Security Operations Center
OBJETIVOS
■
Asentar el concepto de que la ciberseguridad es una guerra sin cuartel en la que hay dos
bandos antagonistas.
■
El atacante puede ser cualquiera, atacar en cualquier momento, con cualquier herramienta
y a través de cualquier medio.
■
El atacado solo sabe que va a ser atacado, sin saber por quién, cuándo, cómo ni con
qué. Para su defensa cuenta con un cuartel general, el SOC, que es el encargado de
enfrentarse a esos ataques.
■
Tomar contacto con Security Onion, una distribución de Linux orientada a la monitorización
de seguridad de red.
■
Conocer algunas aplicaciones básicas que vienen empaquetadas con Security Onion y
sus funcionalidades.
■
Conocer los tipos de datos que servirán para monitorizar el estado de la red y hacer el
seguimiento a los incidentes de seguridad.
■
Conocer ligeramente dos tipos de metodologías de prevención de intrusiones: la Ciber Kill
Chain y el Diamond Model.
223
Ciberseguridad
INTRODUCCIÓN
Desde Creeper en 1971 hasta el último gran ataque Esta evolución ha forzado un cambio en la concepción
de DDoS conocido contra GitHub en marzo de 2018 de la seguridad desde el primigenio concepto estático
los ataques informáticos, y con ellos la seguridad (antivirus y ya está) a un concepto dinámico, como lo
informática, han recorrido un largo camino. son los propios ataques, lo que nos obliga a proteger
Creeper: considerado el primer virus informático. los sistemas antes, durante y después de haber sido
atacados.
Reaper: el primer ¿antivirus? La evolución de los atacantes ha ido desde que un
http://corewar.co.uk/creeper.htm. simple programador crea un programa que puede
“…migrar de ordenador a ordenador dentro de la
En ese camino la informática ha terminado por red…” hasta organizaciones de cibercriminales, o
infiltrarse en todos los rincones y en todas las incluso Estados, con mucho dinero de por medio, que
actividades de nuestra vida cotidiana: desde que nos pueden llegar a interrumpir servicios básicos de una
levantamos por la mañana hasta que nos acostamos sociedad (Ucrania, 2016).
estamos “enganchados” a dispositivos electrónicos;
La seguridad, la ciberseguridad, se enfrenta a este
es más, incluso dormimos con “pulseras” para que a
panorama con la única certeza de que los recursos
la mañana siguiente nos digan si hemos descansado
informáticos, ya pertenezcan a un simple particular
lo necesario o no… como si nuestro cuerpo no lo
ya pertenezcan a una gran organización, van a ser
supiera.
atacados. No tener la seguridad del cuándo, cómo ni
Esa evolución de las amenazas informáticas ha llevado por quién es lo que ha hecho surgir la figura del SOC:
a la seguridad informática a una evolución acorde, Security Operations Centre, o Centro de Operaciones
en la que se ha pasado de una simple amenaza a de Seguridad.
un ordenador a diferentes amenazas para cualquier
dispositivo, para cualquier aplicación que en él se
ejecute, a través de cualquier conexión de red o modo
de conectividad.
224
7. SOC Security Operations Center
7.1. Definición
¿Qué es un SOC?
Un SOC es la principal herramienta con que cuenta una organización para
defenderse de los ataques informáticos de los que va a ser víctima antes o
después.
Base line. Se denomina así al estado operativo de una red en su modo normal
de operación. Los parámetros de funcionamiento y los de configuración,
debidamente documentados, son los que marcan la “normalidad” del
funcionamiento del sistema...
225
Ciberseguridad
226
7. SOC Security Operations Center
227
Ciberseguridad
Habida cuenta del elevado coste, tanto en tiempo como en recursos, que se necesita
para instalar un SOC, lo primero que se debe hacer es establecer un calendario de
implementación progresiva basado en las necesidades de seguridad priorizadas de la
organización. A partir de ahí se ha de seguir una “hoja de ruta” que vaya optimizando
la seguridad, mejorando la detección de vulnerabilidades y corrigiendo los fallos que
se identifiquen a lo largo del proceso de implantación del SOC.
SOC manager
Responsable del centro, está encargado de priorizar las tareas y organizar los recursos
disponibles para cumplir con los objetivos marcados. Entre otras cosas, se encarga
de diseñar los perfiles a los que deben ajustarse el resto de especialistas del centro en
función de sus misiones.
Analista de Seguridad
Distribuidos en tres niveles de especialización (Tier) en función de las tareas. Su perfil
mínimo debe ser tener conocimientos profundos de networking, de captura de tráfico
de red y de monitorización de dispositivos.
228
7. SOC Security Operations Center
■■ Tier 3. Serán los encargados de una inspección más profunda del incidente, y
quienes respalden o modifiquen la respuesta que dar e incluso dispongan una
investigación forense del incidente. Con la asunción de algunas de sus funciones
por parte de los especialistas de la Tier 2 pueden dedicar más tiempo a tareas
proactivas propias de un Threat Centric SOC, es decir, a “cazar” malware en la
red sin esperar a que les sea notificado por los escalones subordinados.
Especialista forense
Es el encargado de la recopilación, custodia y análisis de datos informáticos de los
dispositivos implicados en un incidente de seguridad con el fin de documentar el
proceso íntegro.
229
Ciberseguridad
■■ Por otro, y de nuevo siempre que sea factible, los especialistas en reversing
diseccionarán el malwares hasta llegar al código, lo que permitirá sacar una
“firma” digital que podrá ser incorporada a las reglas de filtrado de los IDS e
IPS para permitir su detección temprana. Incluso, y a pesar de las variantes
polimórficas de los virus, de que llegan empaquetados y cifrados, lo que se
logra obtener no es una identificación total a la antigua usanza como hacían
los antivirus tradicionales, sino un patrón de comportamiento sospechoso que
permite evaluar esa pieza de software como una amenaza potencial y derivarla
para su estudio, generalmente a una sandbox.
230
7. SOC Security Operations Center
231
Ciberseguridad
7.2.3. Herramientas
En una red corporativa se generan diariamente un número elevado de eventos de
seguridad que podrían estar originados en un ataque informático. Todos esos eventos
son almacenados en forma de syslogs, server logs, MX records… que deberían ser
analizados en tiempo real para evitar/minimizar el daño en caso de resultar verdaderos
positivos. Y eso, de modo manual es imposible de hacer, por lo que se necesitan
herramientas informáticas para manipular tal cantidad de datos en un lapso de tiempo
lo suficientemente corto.
232
7. SOC Security Operations Center
“Security Onion is a free and open source Linux distribution for intrusion detection,
enterprise security monitoring, and log management. It includes Elasticsearch,
Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner, and
many other security tools. The easy-to-use Setup wizard allows you to build an army
of distributed sensors for your enterprise in minutes!”
Security Onion ofrece los servicios de captura total de paquetes de red, sistema de
detección de intrusiones a nivel host y a nivel red (HIDS y NIDS) y herramientas de
análisis. Se puede instalar como Evaluación o Producción:
233
Ciberseguridad
El instalador nos va informando de los pasos y aplicaciones que instala, nos pedirá
configurar las interfaces de red que se emplearán para el esnifado de paquetes; la
creación de un usuario para Kibana, Squert y Sguil; configurará Snort y Bro para
monitorizar las interfaces… Y terminará la instalación.
234
7. SOC Security Operations Center
Nos informa de dónde podemos encontrar los logs de la configuración, cómo ver los
logs de las alertas de los IDS a través de las aplicaciones con interfaz gráfica…
235
Ciberseguridad
236
7. SOC Security Operations Center
¿Con qué software trabajan los analistas? Como ya se dijo anteriormente no hay un
estándar definido, por lo que si continuamos con las opciones que nos ofrece Security
Onion nos encontramos con tres grupos:
Un segundo grupo es el que recoge los datos anteriores, los normaliza y prepara para
su explotación en el siguiente paso.
Un tercer grupo, formado por una serie de aplicaciones, que recoge los datos ya
organizados y sanitizados para su presentación al analista.
237
Ciberseguridad
7.3.1.1. Snort
Snort es un “esnifer de red”, es decir, una aplicación capaz de “leer” los paquetes
que circulan por la red a la que está conectada la interfaz del dispositivo en el que se
encuentra instalada, y llevar el log correspondiente.
Cuando funciona como tal NIDS no recoge en logs la totalidad de paquetes que
detecta sino solo aquellos que responden a alguna de las reglas de filtrado que se
establecen y que concuerdan con una firma que identifica virus, troyanos, escaneos
de red… Sus reglas de filtrado son actualizadas por la comunidad y permiten ser
personalizadas para adaptarse a las necesidades de la organización.
La salida de las alertas de Snort se puede configurar de siete modos diferentes, con
distintos datos registrados en el log que se enviarán al siguiente escalón para su
normalización y análisis.
238
7. SOC Security Operations Center
Los detallados y bien estructurados logs de BRO recopilan datos de los protocolos
de aplicación más comunes, entre ellos HTTP, DNS, FTP, IRC, SMTP, SSH, SSL,
haciéndolos fácilmente procesables por otro software.
7.3.1.3. OSSEC
OSSEC es un sistema HIDS, es decir, detección de intrusos en host, lo que le hace
distinto a Snort, que es un sistema de detección de intrusos en red. Se trata de software
de código abierto y uso gratuito, adaptado a casi todos los sistemas operativos y
fácilmente personalizable.
239
Ciberseguridad
7.3.1.4. Netsniff-ng
Forma parte de un toolkit de herramientas de networking, y en concreto esta
herramienta hace captura total de paquetes de red: captura el contenido binario de
los paquetes que circulan por la red y lo almacena en formato .pcap, lo que permite la
reproducción del tráfico y los análisis online y offline. Este formato presenta ventajas e
inconvenientes, siendo la ventaja más clara que los análisis de la totalidad del paquete
arrojan resultados que no pueden obtenerse de otro modo; el inconveniente mayor es
la elevada capacidad de almacenaje que requiere.
El análisis de los paquetes se realiza con otras herramientas que también están incluidas
en Security Onion, como CapME! o Wireshark, siendo esta última posiblemente la más
conocida.
7.3.1.5. Syslog-ng
El mayor número de logs proceden de tres fuentes: servidores, dispositivos de red
y aplicaciones. Syslog-ng es una herramienta de recopilación de logs de cualquier
dispositivo de la red que son procesados en tiempo real, analizados, clasificados y
correlacionados, almacenándolos o enviándolos a una herramienta de análisis de logs
para su explotación.
Ahora, una vez que los datos han sido recopilados y preparados para su procesamiento,
se pasa al segundo escalón: optimización y mantenimiento.
Pero antes veremos qué tipos de datos son, principalmente, los que recopilan las
herramientas que hemos citado.
240
7. SOC Security Operations Center
Son Snort y Suricata, en un sistema Security Onion, las herramientas que generan
este tipo de logs que son analizados posteriormente.
241
Ciberseguridad
El contenido extraído de los ficheros .pcap (artefactos), como puede ser desde una
cadena definida por el analista hasta el contenido integro de una página web; datos
estadísticos que relacionan session data y transaction data y ayudan a la creación
de gráfica de base-line; metadatos sobre la dirección IP, como la geolocalización,
propietario de la red, reputación… son algunos de esos datos complementarios.
7.3.3.1. ELSA
ELSA, acrónimo de Enterprise Log Search and Archive, es un syslog framework
construido sobre syslog-ng, MySQL y Sphinx.
En el caso de Security Onion recibe los logs de BRO, Snort y Syslog y los almacena
en una base de datos relacional con MySQL, indexándolos con Sphinx, lo que ofrece
la posibilidad de búsqueda de cadenas de texto.
7.3.3.2. Sguil-Squert
Sguil es un servidor que coordina y recibe datos de alerta generados por los IDS (Snort,
OSSEC), de eventos en tiempo real, e incluso paquetes completos, y los almacena en
una base de datos.
242
7. SOC Security Operations Center
7.3.4.1. ELSA
Otra funcionalidad de ELSA como framework es su integración con los IDS (Bro, por
ejemplo) o syslog-ng, facilitando un acceso a través de una interfaz web a los logs.
Además permite a los analistas que desde cualquier log registrado de alerta o de
datos de sesión, pivoten a otras herramientas como Wireshark o CapMe! y extraigan
los datos del binario almacenado en bruto para su análisis.
243
Ciberseguridad
7.3.4.2. Wireshark
Wireshark es un analizador de protocolo de red. Permite examinar datos de paquetes
en tiempo real o de un archivo de captura guardado en disco. Es una potente
herramienta que lo mismo nos permite el análisis de la información capturada a través
de los detalles de cada paquete, como que nos permite reconstruir y reproducir el
flujo de una sesión de TCP, o hacer un filtrado de datos por uno o más de los muchos
parámetros que soporta.
Se trata, además, de una aplicación open-source que corre en la mayor parte de los
sistemas operativos.
244
7. SOC Security Operations Center
7.3.4.3. CapMe!
CapME! es una interfaz web que permite visualizar la transcripción de un fichero .pcap
registrado por Bro (aún comprimido con gzip) o descargarlo al almacenamiento.
Se puede pivotar a CapME! desde una alerta NIDS en Squert o desde un log en
Kibana o ELSA que tengan un sello de tiempo, las IP y puertos de origen y destino.
245
Ciberseguridad
Las secciones que debería contener cada ficha del playbook podrían ser:
■■ Report ID.
■■ Objective.
■■ Data Query.
■■ Action.
■■ Analysis.
■■ Reference.
Report ID
Identifica unívocamente cada ficha correspondiente a un tipo de incidente, con una
descripción de alto nivel del incidente.
Objective
Descripción en lenguaje llano de qué se busca con la ficha y por qué. Se intentará
conseguir con esta descripción que un lego en la material tenga una comprensión
básica de por qué se hace. No debe ser demasiado detallada.
Data query
La “traducción” del objetivo expresado en lenguaje llano a un “lenguaje máquina”, a
una consulta ejecutable por una aplicación (algo así como una consulta SQL).
Action
Documentación de las acciones que se han tomado durante la fase de respuesta al
incidente.
Analysis
Especifica cómo se ha hecho la data query y cómo interpretar sus resultados. Describe
qué hacer, todas y cada una de las partes involucradas en la elevación del incidente y
cualquier procedimiento especial seguido.
Reference
Seguimiento de cambios y documentación que motiva los cambios, así como
cualquier otra información útil que no tiene cabida en los apartados anteriores, como
comentarios entre analistas, distintas opiniones sobre el camino que hay que seguir o
las medidas que hay que tomar… Un cajón de sastre.
246
7. SOC Security Operations Center
Hay varios modelos de análisis de incidentes que intentan ayudar a comprender cómo
se lleva a cabo un ataque y la metodología seguida hasta lograr el objetivo, para que
el SOC sea capaz de responder de un modo adecuado.
247
Ciberseguridad
Cada uno de los vértices del diamante recibe el nombre de nodo, y son:
Este modelo permite encadenar nodos comunes que muestran asociaciones entre
distintos incidentes: correlación.
248
7. SOC Security Operations Center
249
7. SOC Security Operations Center
RESUMEN
■
La ciberseguridad no es una moda pasajera ni una tendencia de mercado: es una
necesidad de primer orden para las organizaciones y, poco a poco, lo va siendo
también para el usuario “de a pie”.
■
La ciberseguridad, como proceso dinámico, y en constante cambio, requiere de un
esfuerzo cierto y mantenido para que sea efectiva. Aquello de “instalo y me olvido” no
tiene cabida en el mundo de la seguridad informática
■
Si bien la ciberseguridad es un proceso dinámico sigue unas pautas de funcionamiento
constantes: planificamos qué activos queremos proteger, analizamos toda actividad
susceptible de ser una amenaza para ellos, y en caso de confirmarse, procedemos a
su neutralización en el menor tiempo posible. Al final, aprendemos y lo aplicamos. Y
vuelve a comenzar el ciclo.
■
Para poder mantener un nivel de seguridad adecuado no podemos limitarnos a
trabajar de modo reactivo (me atacan y respondo) y aprender así. Disponemos de una
herramienta que nos permite estar prevenidos “en, avance”: la inteligencia (información
elaborada) que nos ofrece datos objetivos directamente utilizables en el proceso de
planificación de la ciberseguridad.
■
La (ciber)inteligencia trata la información siguiendo unas fases establecidas que
aseguran su adecuación, oportunidad, veracidad y objetividad necesarias para que los
datos finales sean válidos para una organización.
■
La información útil para nuestros fines se encuentra disponible en diversas fuentes,
soportes, formatos, estructura… que han de ser integrados de modo homogéneo para
su tratamiento.
■
La ciberseguridad se apoya en la ciberinteligencia y su capacidad de anticipar ataques
para dar respuesta a las cada vez más avanzadas ciberamenazas que nos acechan.
251
8
Ciberseguridad
8
DIDÁCTICA
UNIDAD
ÍNDICE
OBJETIVOS................................................................................................................................................................ 257
INTRODUCCIÓN....................................................................................................................................................... 258
8.1. Seguridad en dispositivos móviles.................................................................................................................... 259
8.1.1. Justificación...................................................................................................................................................... 259
8.2. Tipos de ataque / infección................................................................................................................................ 263
8.3. Fugas de información......................................................................................................................................... 275
8.4. Otros tipos de dispositivos móviles.................................................................................................................... 277
8.5. BYOD y BYOT....................................................................................................................................................... 283
RESUMEN................................................................................................................................................................... 285
255
8. Seguridad en dispositivos móviles. BYOD
OBJETIVOS
■ Conocer los tipos de dispositivos móviles.
■ Aprender los distintos tipos de ataque que podemos sufrir en nuestros dispositivos móviles.
■
Aprender cómo pueden los ciberdelincuentes, usando dispositivos móviles, vulnerar
nuestros sistemas e información.
257
Ciberseguridad
INTRODUCCIÓN
En el mundo interconectado en el que nos ha Todo ello hace que podamos pensar en ellos desde el
tocado vivir es indiscutible la versatilidad de los punto de vista de la seguridad desde dos vertientes
nuevos dispositivos que tenemos a nuestro alcance. distintas pero complementarias:
Nos estamos refiriendo a los dispositivos móviles, ■■ ¿Qué pasaría si nuestro dispositivo con toda la
tablets y smartphones. La forma en la que han ido información que hemos almacenado en su interior
introduciéndose en nuestras vidas no tiene marcha fuese sustraído?
atrás. Ya hay más dispositivos que personas en el
mundo. La potencia de un smartphone actual es ■■ ¿Cómo podría un ciberdelincuente poder atacarnos
superior a toda la potencia de cómputo con el que con un dispositivo tan completo que cabe en un bolsillo
la NASA consiguió llevar al hombre a la luna con el sin ser visto?
Apolo XI. En este tema abordaremos ambas cuestiones y
Son dispositivos pequeños, potentes, con gran pondremos en conocimiento del alumno la realidad
autonomía, fáciles de usar, disponen de multitud que envuelve la seguridad de los dispositivos móviles.
de interfaces de conexión a distintas tecnologías,
innumerables sensores con los que captan el entorno
que nos rodean y un precio asequible para todos los
bolsillos.
258
8. Seguridad en dispositivos móviles. BYOD
Podemos leer el correo electrónico en casi cualquier parte del mundo, hacer y recibir
llamadas telefónicas, enviar mensajes instantáneos mediante WhatsApp, Telegram,
SMS, Facebook Messenger, etc., podemos acceder a información actualizada en
tiempo real, leer noticias en el mismo momento en que son publicadas e incluso ver
vídeos en directo de los hechos que nos acontecen.
259
Ciberseguridad
Figura 8.1. Detalle de los componentes internos de un smartphone Samsung Core Prime SM-G631F (anverso).
8. Botón de encendido.
260
8. Seguridad en dispositivos móviles. BYOD
17. Flash.
Figura 8.2. Detalle de los componentes internos de un smartphone Samsung Core Prime SM-G631F (reverso).
261
Ciberseguridad
9. Cámara trasera.
262
8. Seguridad en dispositivos móviles. BYOD
Sería desastroso dar por supuesto que este también es el caso en entornos de
informática móvil, donde los dispositivos están diseñados para que se conecte a
internet permanentemente y el usuario pasa mucho tiempo descargando aplicaciones
o comunicándose con sus conocidos a través del correo electrónico y programas de
mensajería. Los problemas de seguridad se resuelven de diferentes modos según la
filosofía y el diseño de software de cada fabricante.
263
Ciberseguridad
Para conseguir este difícil equilibrio entre seguridad y libertad, los desarrolladores de
Android se han visto obligados a coordinar todo el grupo de herramientas disponible en
el entorno Linux / Unix y las diferentes tecnologías en las que se basa el proyecto como
son Java, máquinas virtuales, etcétera. El resultado es un concepto de seguridad en el
que el sistema de permisos Android se combina con las firmas digitales y la ejecución
en entornos restringidos de características similares a las de una máquina virtual Java.
264
8. Seguridad en dispositivos móviles. BYOD
265
Ciberseguridad
266
8. Seguridad en dispositivos móviles. BYOD
■■ Intrusivos: implican la modificación física del dispositivo en una escala tal que con
frecuencia lo dejan inutilizado o hacen imposible que pueda seguir funcionando
en las condiciones originales de fábrica. Cuando se trata de llegar al contenido
del terminal, el ejemplo típico de este tipo de ataque sería la estación de chips o
la soldadura de cables a las patillas de aquellos para realizar lecturas de memoria
a través del JTAG.
267
Ciberseguridad
Más adelante hablaremos sobre las vulnerabilidades de Android que hacen posible
la existencia de los diferentes tipos de ataque utilizados por los delincuentes
informáticos. En los ataques contra el software de dispositivos móviles existen dos
variantes principales:
■■ Ataques de la web. Se trata de una modalidad de agresión cada vez más utilizada
por los delincuentes informáticos. En este caso el vector de acceso al dispositivo
suele ser el motor de navegación WebKit. Los navegadores de Internet, además
de interpretar código HTML, incluyen funcionalidades complejas para la ejecución
de scripts en diversos lenguajes de programación, así como para visualizar
archivos multimedia, realizar llamadas de videoconferencia, utilizar servicios web
y otros cometidos. Para implementar estos extras son necesarios componentes
de software adicionales (plugins). También se precisa la cooperación concurrente
de otras aplicaciones vinculadas al programa atacado mediante relaciones de
confianza y permisos compartidos. Pulsando sobre los enlaces de páginas web
controladas por el atacante, o simplemente por el mismo hecho de visualizarlas,
el usuario puede estar descargando una aplicación maligna o ejecutando un
script con capacidad para explotar vulnerabilidades que hacen posible el robo
de datos, la troyanización del terminal o cualesquiera otros efectos indeseables.
Vulnerabilidades Android
Con lo expuesto en el apartado anterior nos podemos hacer cierta idea de cómo
emplea su talento un pirata especializado en el ataque contra objetivos móviles. Lo
que aún no sabemos es cómo lo hace. Para ello es preciso explicar con cierto detalle
las condiciones que hacen posible la existencia de los diferentes tipos de agresión.
Interesan principalmente los ataques de software.
268
8. Seguridad en dispositivos móviles. BYOD
269
Ciberseguridad
□□ Reinicio del dispositivo: toda aplicación que desee reiniciar el sistema necesita
disponer del permiso REBOOT. Sin embargo, aunque el usuario lo conceda,
el sistema no lo aceptará porque REBOOT es un permiso perteneciente al
nivel de protección 3, propio de las aplicaciones de sistema provistas de firma
digital. En este caso, las aplicaciones de permisos nulos no son capaces de
forzar directamente un reinicio del sistema, pero sí pueden hacer que sea el
usuario quien reinicie el sistema engañado para que lo haga, emitiendo una
notificación de tipo especial, denominada Toast, capaz de persuadir al usuario
para que lleve a cabo el mismo el reinicio. Las notificaciones Toast son mensajes
emergentes utilizados por los desarrolladores con fines de depuración de
software para mostrar algún aviso al usuario. Puede conseguirse que estas
notificaciones aparezcan de modo intermitente, por lo que como no existe
posibilidad de poder trabajar con el terminal, el usuario terminará reiniciándolo
para librarse de las molestias. El reinicio del dispositivo puede utilizarse para
completar procesos de instalación del software malicioso descargado por las
aplicaciones de permisos nulos, terminando finalmente la instalación.
270
8. Seguridad en dispositivos móviles. BYOD
Software malicioso
El malware es el eterno enemigo de la informática de usuario. Desde hace pocos
años a esta parte, gracias al desarrollo de internet y de las constantes innovaciones
en el desarrollo de la tecnología informática y, sobre todo, de las comunicaciones, el
software malicioso ha experimentado una mutación tanto cuantitativa como cualitativa.
Antes teníamos un ecosistema clásico formado por virus, gusanos y troyanos que
afectaba casi en exclusiva al PC de sobremesa y a los ordenadores portátiles
provistos de alguna versión del sistema operativo Windows. Detrás de la creación de
estos elementos de software maligno había, en la mayor parte de los casos, un ansia
de autoafirmación o motivaciones vandálicas. Ahora, gracias a las redes móviles, el
entorno ha evolucionado y vivimos en una jungla digital infestada de especímenes, a
cuál más raro y dañino: rootKits, puertas traseras, botnets, registradores de teclado
o keyloggers, programas espía, ladrones de identidad y otras aplicaciones perversas.
Esta amplia fauna del mal evoluciona a través de un proceso de recombinación
constante de código que hace posible la aparición de nuevas variantes. Diariamente
aparecen centenares de muestras nuevas de este tipo de software malicioso.
271
Ciberseguridad
272
8. Seguridad en dispositivos móviles. BYOD
273
Ciberseguridad
274
8. Seguridad en dispositivos móviles. BYOD
Figura 8.5. Dispositivo Wifi Pinneaple Nano, diseñado para realizar ataques a conexiones wifi, especialmente mediante un Man-
in-the-Middle.
275
Ciberseguridad
Figura 8.7. Dispositivo basado en ATMega768 con el que poder realizar un ataque de robo de información simplemente
enchufándolo a un puerto USB o creando un Keylogger.
276
8. Seguridad en dispositivos móviles. BYOD
277
Ciberseguridad
278
8. Seguridad en dispositivos móviles. BYOD
Figura 8.12. Módulo de ampliación de Arduino para proporcional transmisión de datos en frecuencia RFID, la misma que usan
los mandos de puertas de garaje y coches inalámbricos.
279
Ciberseguridad
IoT
La nueva fiebre tecnológica del momento es la proliferación de dispositivos IoT tales
como pulseras fit, SmartWatch, zapatillas que registran pasos, neveras conectadas
a internet, cafeteras inteligentes, Smart TV, dispositivos ya conectados a la televisión
con los que podemos comunicarnos mediante voz o imagen para cambiar de canal o
personalizar opciones, etc.
Todos estos dispositivos suelen venir con una configuración por defecto que deja
mucho que desear en cuanto a seguridad se refiere. Las contraseñas por defecto de
administración embebidas por el fabricante en el proceso de producción no suelen ser
cambiadas por un amplio porcentaje de los usuarios que las quieren, por lo que un
ciberdelincuente conocedor de dicha contraseña podrá manipular nuestro dispositivo
IoT remotamente. Es el caso conocido por ejemplo del 21 de octubre de 2016 en
el que unas cien mil cámaras IP fueron comprometidas simultáneamente por la red
zombie Mirai para realizar un ataque de denegación de servicio con el que tumbaron
servicios tan populares como Whatsapp, Spotify o Twitter durante varias horas en
todo el este estadounidense y parte de Europa.
280
8. Seguridad en dispositivos móviles. BYOD
281
Ciberseguridad
Figura 8.13. Noticia publicada el 21 de octubre de 2016 sobre el ataque del Malware Mirai. Fuente: https://www.heraldo.es/
noticias/sociedad/2016/10/21/un-ciberataque-inutiliza-twitter-spotify-durante-mas-dos-horas-1122671-310.html.
Los dispositivos IOT están extendidos tanto en zonas domesticas cómo empresariales.
Sería fácil para un ciberdelincuente configurar o manipular una puerta trasera en una
nevera inteligente o una Smart TV de la sala de reuniones de una empresa para que
grabe audio durante una reunión privada.
Las medidas de seguridad que tendríamos que llevar a cabo con estos dispositivos
son los mismos que los mencionados anteriormente para ordenadores de sobremesa,
ordenadores portátiles, Smartphones y tablets:
282
8. Seguridad en dispositivos móviles. BYOD
BYOT
Bring your own Technology, es otro concepto hermano del primero. Traducido al
castellano sería “trae tu propia tecnología”, ampliando el concepto anterior a no solo los
dispositivos móviles, sino a todo tipo de tecnología, como pueden ser dispositivos IOT,
aplicaciones personales, programas distintos a los controlados por la propia empresa,
redes sociales ajenas a los preferidos por la empresa, protocolos de comunicaciones
distintos a los que utiliza la empresa, etc. Ambos conceptos inundarán el proceso
laboral de los próximos años.
283
8. Seguridad en dispositivos móviles. BYOD
RESUMEN
■
El futuro de las comunicaciones con fines personales o empresariales terminará tarde
o tempranos teniendo que ser gestionada toda o parte de ella por un dispositivo
electrónico. Toda nuestra vida gira en torno a uno de estos dispositivos. Los
ciberdelincuentes no son ajenos a ello, por lo que las nuevas técnicas que usan tienen
como objetivo nuestros dispositivos y la información y servicios que estos contienen.
■
Existe ya una amplia gama de ataques y técnicas que los cibercriminales utilizan y que
los usuarios deberíamos conocer para poder defender, o por lo menos mitigar, todo lo
posible sus efectos.
■
En toda la red de comunicaciones por las que la información es transmitida, los ataques
distintos son especializados para cada uno de los nodos de esta:
■
ideará un ataque para que esa información que llega sea sustraída o manipulada.
Así pues, es interesante conocer todas estas técnicas y sus posibles efectos, poniendo
remedios y soluciones para evitarlos en la medida de los posible.
285