Libro Ciberseguridad

Ciberseguridad
Los propietarios del © tienen reservados todos los derechos. Cualquier reproducción, total o parcial de este
texto, por cualquier medio, o soporte sonoro, visual o informático, así como su utilización fuera del ámbito
estricto de la información del alumno comprador, sin la conformidad expresa por escrito de los propietarios
de los derechos, será perseguida con todo el rigor que prevé la ley y se exigirán las responsabilidades civiles
y penales, así como las reparaciones procedentes.
Ciberseguridad
Autor: Pedro González Carvajal y Eloy Villa Giménez
D.L.: Z-333-2019
ISBN: 978-84-16951-94-9
Imprime: El depositario, con autorización expresa de SEAS

Ciberseguridad
ÍNDICE GENERAL
1. Ciberinteligencia.............................................................................................................................................. 7
ÍNDICE........................................................................................................................ 9
OBJETIVOS.................................................................................................................................................................. 11
INTRODUCCIÓN......................................................................................................................................................... 12
1.1. Ciberseguridad. Definición.................................................................................................................................... 13
1.2. Fases de la ciberseguridad................................................................................................................................... 14
1.3. Inteligencia: ciberinteligencia............................................................................................................................... 19
1.4. Fases de la ciberinteligencia................................................................................................................................ 21
1.5. Fuentes de inteligencia......................................................................................................................................... 23
1.6. Uso de la ciberinteligencia para potenciar la ciberseguridad............................................................................ 26
RESUMEN..................................................................................................................................................................... 27
2. Ataques. Defensa........................................................................................................................................ 29

ÍNDICE....................................................................................................................... 31
OBJETIVOS.................................................................................................................................................................. 33
INTRODUCCIÓN......................................................................................................................................................... 34
2.1. Ciberataques.......................................................................................................................................................... 37
2.2. Ataques más comunes.......................................................................................................................................... 38
2.3. Métodos de defensa.............................................................................................................................................. 45
RESUMEN..................................................................................................................................................................... 51
3. Ingeniería social............................................................................................................................................ 53

ÍNDICE....................................................................................................................... 55
OBJETIVOS.................................................................................................................................................................. 57
INTRODUCCIÓN......................................................................................................................................................... 58
3.1. Definición............................................................................................................................................................... 59
3.2. Fases...................................................................................................................................................................... 60
3.3. Fundamentos psicológicos................................................................................................................................... 62
3.4. Ataques.................................................................................................................................................................. 64
3.5. Defensa.................................................................................................................................................................. 72
RESUMEN..................................................................................................................................................................... 75
3
Índice General
4. Hacking ético-preparación del ataque......................................................................................... 77

ÍNDICE....................................................................................................................... 79
OBJETIVOS.................................................................................................................................................................. 81
INTRODUCCIÓN......................................................................................................................................................... 82
4.1. Objetivos de un pentesting. Definición................................................................................................................ 83
4.2. Tipos de auditoría.................................................................................................................................................. 85
4.3. Metodología........................................................................................................................................................... 88
RESUMEN................................................................................................................................................................... 129
5. Hacking ético - ejecución del ataque......................................................................................... 131

ÍNDICE..................................................................................................................... 133
OBJETIVOS................................................................................................................................................................ 135
INTRODUCCIÓN....................................................................................................................................................... 136
5.1. Hacking ético. Ejecución del ataque.................................................................................................................. 137
RESUMEN................................................................................................................................................................... 157
6. Análisis forense de redes y equipos........................................................................................... 159

ÍNDICE..................................................................................................................... 161
OBJETIVOS................................................................................................................................................................ 163
INTRODUCCIÓN....................................................................................................................................................... 164
6.1. Definición............................................................................................................................................................. 165
6.2. Metodología......................................................................................................................................................... 167
6.3. Equipo necesario................................................................................................................................................. 169
6.4. Fases.................................................................................................................................................................... 171
RESUMEN................................................................................................................................................................... 217
4
Ciberseguridad
7. SOC Security Operations Center..................................................................................................... 219

ÍNDICE..................................................................................................................... 221
OBJETIVOS................................................................................................................................................................ 223
INTRODUCCIÓN....................................................................................................................................................... 224
7.1. Definición............................................................................................................................................................. 225
7.2. Estructura de un SOC.......................................................................................................................................... 228
7.3. Security Onion .................................................................................................................................................... 233
7.4. Metodologías de prevención de intrusiones...................................................................................................... 247
RESUMEN................................................................................................................................................................... 251
8. Seguridad en dispositivos móviles. BYOD............................................................................... 253

ÍNDICE..................................................................................................................... 255
OBJETIVOS................................................................................................................................................................ 257
INTRODUCCIÓN....................................................................................................................................................... 258
8.1. Seguridad en dispositivos móviles.................................................................................................................... 259
8.2. Tipos de ataque / infección................................................................................................................................ 263
8.3. Fugas de información......................................................................................................................................... 275
8.4. Otros tipos de dispositivos móviles.................................................................................................................... 277
8.5. BYOD y BYOT....................................................................................................................................................... 283
RESUMEN................................................................................................................................................................... 285
5
1
Ciberseguridad
1
DIDÁCTICA
UNIDAD
1. Ciberinteligencia
ÍNDICE
OBJETIVOS.................................................................................................................................................................. 11
INTRODUCCIÓN......................................................................................................................................................... 12
1.1. Ciberseguridad. Definición.................................................................................................................................... 13
1.2. Fases de la ciberseguridad................................................................................................................................... 14
1.2.1. Preparación. Planificación...................................................................................................................................... 14
1.2.2. Análisis, detección de intrusos/accesos no autorizados, identificación de la amenaza...................................................... 16
1.2.3. Contención, mitigación, erradicación, recuperación.................................................................................................... 17
1.2.4. Retroalimentación................................................................................................................................................. 18
1.3. Inteligencia: ciberinteligencia............................................................................................................................... 19
1.4. Fases de la ciberinteligencia................................................................................................................................ 21
1.4.1. Planificación........................................................................................................................................................ 21
1.4.2. Obtención........................................................................................................................................................... 21
1.4.3. Procesamiento y análisis....................................................................................................................................... 22
1.4.4. Difusión.............................................................................................................................................................. 22
1.5. Fuentes de inteligencia......................................................................................................................................... 23
1.5.1. Inteligencia humana (HUMINT)............................................................................................................................... 23
1.5.2. Inteligencia de señales (SIGINT).............................................................................................................................. 24
1.5.3. Inteligencia de fuentes abiertas (OSINT)................................................................................................................... 24
1.5.4. Otras fuentes de inteligencia (TECHINT, IMINT, MASINT)............................................................................................. 25
1.6. Uso de la ciberinteligencia para potenciar la ciberseguridad............................................................................ 26
RESUMEN..................................................................................................................................................................... 27
9
OBJETIVOS
■
Dotar al alumno de una visión de conjunto de la ciberinteligencia y la ciberseguridad, su
relación y el papel que desempeñan dentro de la empresa.
■
Comprender que la seguridad, la ciberseguridad, no es un estado ideal a lograr sino un
proceso que está en continuo desarrollo.
■
Describir el proceso de diseño, establecimiento y funcionamiento de un plan de
ciberseguridad.
■
Establecer la importancia de la obtención y análisis de información ajustada y relevante para
los intereses de la organización como base fundamental del proceso de la ciberseguridad.
■
Definir qué es ciberinteligencia, las fases por que pasa la información que se obtiene de
diversas fuentes para terminar transformada en datos útiles para la toma de decisiones
informadas.
11
Ciberseguridad
INTRODUCCIÓN
Internet, esa red de redes que se ha convertido en Con el paso del tiempo esas ideas se han mantenido,
parte imprescindible de nuestras vidas, tuvo un origen pero el protocolo ha mostrado su falta de seguridad
militar allá por la década de 1960, con el doble objetivo en cuanto al modo en que se transmite la información,
de crear una nueva infraestructura de comunicaciones lo que unido a la capacidad del ser humano de
que superase la vulnerabilidad de las líneas hacer el mal, ha terminado favoreciendo la aparición
telefónicas conmutadas de entonces, permitiendo de conductas y aplicaciones maliciosas que se
la comunicación y compartición de recursos entre aprovechan de esa debilidad para obtener beneficios
redes de distinta naturaleza (universidades, centros a costa del resto de usuarios, incluso de modo ilícito.
de mando militar), y que fuera susceptible de resistir Esta indefensión del usuario, en todos los ámbitos,
un ataque nuclear. ya sea particular o empresarial, ha intentado ser
Se empezaron a interconectar computadoras, en corregida tradicionalmente con la implantación de
principio entre campus universitarios, cada uno con distintas medidas: cifrado de las comunicaciones entre
protocolos de comunicación propios, lo que suponía extremos (host ⇔ servidor) en el protocolo (https),
un obstáculo para la meta de hacer universalmente aplicaciones antivirus y antimalware en los dispositivos
accesible el conocimiento. Con el fin de solucionarlo se finales, información y formación al usuario… lo que en
continuó investigando para mejorar las comunicaciones última instancia y ante el crecimiento del número de
buscando un lenguaje de comunicación universal, dispositivos conectados a Internet, así como de la
adoptándose la conmutación de paquetes para sofisticación de las amenazas en la red, han llevado a
transmitir la información frente a frente y poco fiable la aparición de una nueva disciplina: la ciberseguridad,
conmutación de líneas y se estableció como estándar que se encargará de la protección del bien más valioso,
el protocolo de comunicaciones TCP, que aseguraba del activo de mayor valor, la información, porque
la fiabilidad en la entrega de paquetes. Todo ello esta es la esencia de Internet, y el modo en que se
favorecido, nuevamente, por el espíritu que imperaba salvaguarda de accesos no autorizados, de difusiones
en la comunidad investigadora universitaria de que no permitidas, de modificaciones no deseadas o
el acceso a la información debía ser libre y gratuitos. de pérdidas imprevistas debe constituirse en un
Por supuesto una parte de esa información era la pilar básico que nos permita seguir aprovechando
especificación del protocolo, el diseño de la red y sus la funcionalidad de esta red de redes, de seguir
capacidades. disfrutando, seguros, de Internet.
12
1.1. Ciberseguridad. Definición

Internet ha evolucionado con el paso del tiempo, como lo han hecho de modo paralelo
los riesgos asociados a su uso, y las amenazas que se ciernen sobre los sistemas
informáticos. E igualmente ha ocurrido en el lado de la defensa: ha evolucionado
desde una concepción estática de redes de ordenadores “blindadas” para resistir
cualquier ataque hasta el paradigma actual, dinámico, en que sabemos que vamos
a ser atacados aunque no cuándo ni por quién, por lo que debemos permanecer
vigilantes y preparados para dar una respuesta.
Ese ataque, que llegará, tiene dos objetivos concretos: obtener información-lo más
valioso hoy en día-, y emplear los recursos de nuestra organización y nuestros
dispositivos, para acciones probablemente delictivas por parte de los atacantes.
Así, entenderemos por ciberseguridad “el conjunto de herramientas, políticas,

conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión
de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que
pueden utilizarse para proteger los activos de la organización y los usuarios en el
ciberentorno”1. Se trata, por tanto, de un proceso cíclico que comprende desde la
determinación de los activos críticos para la organización hasta la recuperación de los
datos o del sistema en caso de daño.
¿Qué tenemos que proteger? en esencia los activos de la organización, la base y

razón de ser de su existencia; pero en términos prácticos eso que se ha llamado el
ciberentorno: a los usuarios, a los dispositivos informáticos conectados a la red, al
entorno de las redes de comunicación y a todas las aplicaciones, servicios y sistemas
que pueden estar directa o indirectamente conectados a Internet. La ciberseguridad
ha de tener en cuenta todos estos elementos.
1 Aspectos generales de la ciberseguridad. Fuente: ITU-T X.1205
13
Ciberseguridad
1.2. Fases de la ciberseguridad

El ciclo de la ciberseguridad consta de cuatro fases: preparación/planificación,
análisis, detección e identificación, contención/mitigación, erradicación y recuperación
y retroalimentación.
Figura 1.1. Ciclo de la ciberseguridad.
1.2.1. Preparación. Planificación

Como se ha dicho anteriormente, los activos son la razón de la existencia de la
organización, por lo que su protección debe ser objetivo prioritario.
Esta protección debe hacerse siguiendo una metodología de trabajo trazable y

documentada, comenzando por la enumeración de los objetivos sobre los que se van a
cernir las amenazas a nuestra seguridad informática, continuando por la valoración del
impacto en caso de que se materialice un ataque y terminando con el establecimiento
de un protocolo de actuación para prevenir, minimizar y reparar en el menor lapso de
tiempo posible los daños que pudiéramos sufrir tras el ataque.
MAGERIT: “Metodología de Análisis y Gestión de Riesgos de los sistemas

de Información”. Está relacionada de forma implícita con el seguir una
“metodología de trabajo trazable y documentada...”
Es el procedimiento que se usa en la Administración (y en la empresa
privada) para el análisis y gestión de riesgos, y la idea es la de facilitar una
guía más detallada del proceso.
Está relacionada de forma implícita con el seguir una “metodología de
trabajo trazable y documentada...”
14
1.2.1.1. Evaluación de riesgos

Consiste en la identificación de las vulnerabilidades y los riesgos a que estamos
expuestos, localizando los objetivos de las posibles amenazas, que serán:
■■ Amenazas a la red: es el lugar por el que transita nuestra información, donde

están físicamente ubicados nuestros dispositivos de almacenamiento. Está
siendo constantemente escaneada en busca de vulnerabilidades, de puntos de
entrada débiles, de fallos de configuración.
■■ Amenazas a los dispositivos: ya sean estaciones de trabajo (hosts), servidores

o electrónica de red. Un atacante buscará sistemas operativos o aplicaciones
sin actualizar o sin parchear, que estén mal configurados y permitan acceso
anónimo, con el par usuario/contraseña por defecto…
■■ Amenazas a las aplicaciones: software obsoleto o falto de actualización, con

configuraciones de seguridad o de acceso “por defecto”, vulnerabilidades
0-day…
■■ Amenazas a los datos: almacenados “en claro”, sin control o restricciones de

acceso, carencia de copias de seguridad…
■■ Amenazas a los trabajadores: sin duda el eslabón más débil de la cadena de

la ciberseguridad, objetivo mayoritariamente fácil de las tácticas y técnicas de
Ingeniería Social.
1.2.1.2. Análisis de impacto

Toda amenaza que supere nuestras defensas causará en nuestra organización
un impacto sobre el funcionamiento interno o en la prestación de un servicio a un
cliente. Este análisis de impacto nos permitirá perfilar una estrategia de continuidad
eficaz para recuperar los servicios mínimos de funcionamiento de la organización. Es
imprescindible para definir esta estrategia determinar para cada uno de los procesos
esenciales el tiempo de recuperación para volver a funcionar con unos mínimos
aceptables, así como el tiempo máximo de caída de los servicios y, en el caso de ser
la información el bien afectado, la máxima cantidad que podría perderse sin que las
consecuencias fueran desastrosas.
1.2.1.3. Cuantificación. Valoración

La idea es reflejar la valoración (económica) del impacto de un incidente sobre el
rendimiento económico de la organización y asignarle un nivel de importancia.
La valoración medirá no solo los términos económicos sino, prioritariamente, la

necesidad de protección. Cuanto más valioso sea un activo más protección requerirá,
pues en caso de daño sería mayor el impacto sobre el conjunto de la organización.
Una vez establecidas las actividades principales de la organización -mapeo-, los

riesgos a que están expuestas y la probabilidad de ocurrencia (estimada), se procedería
a elaborar una matriz de riesgos expresiva del grado de afectación al conjunto de la
organización si se produjera tal eventualidad.
15
Ciberseguridad
Matriz de riesgo
Herramienta que se emplea para estimar el riesgo que enfrenta cada activo
principal en función de la probabilidad de ocurrencia e impacto para la
organización.
Así, dado un activo de la organización y evaluado previamente el riesgo, basándose

en la probabilidad de ocurrencia y el impacto (daño estimado), en una escala de uno
a cinco, una matriz de riesgos tendría, esquemáticamente, este aspecto:
Activo Probabilidad
-
1 2 3 4 5
Riesgo
1 bajo
2 medio
Impacto 3 alto
4 muy alto
5
Figura 1.2. Ejemplo de matriz de riesgos.
Aquí se muestra un ejemplo, editable, de cómo calcular una matriz de

riesgos.
http://www.itmplatform.com/es/recursos/matriz-de-evaluacion-de-
riesgos/
La información obtenida de las matrices de riesgo de los principales activos de la

organización deberá quedar reflejada en el plan de contingencia aplicable en caso de
incidente, con el fin de recuperar lo más rápidamente posible, y siempre dentro de los
plazos establecidos, el normal funcionamiento.
1.2.2. Análisis, detección de intrusos/accesos no autorizados,

identificación de la amenaza
Una vez tenemos establecidos los posibles objetivos de los atacantes sobre nuestra
organización, hay que establecer unos mecanismos, tanto proactivos como reactivos,
que nos permitan detectar cualquier actividad fuera de lo normal, indicativa de una
acción hostil contra nuestros sistemas.
Cada amenaza detectada puede ser de uno de dos tipos: real o un falso positivo.
16
Si nos encontramos con que es un falso positivo, identificada por el sistema como
amenaza de modo erróneo, únicamente perderemos tiempo; valioso, sí, pero
apenas tendrá repercusión en el funcionamiento de la organización. Si el número de
falsos positivos fuera elevado nos indicaría la necesidad de afinar los mecanismos
de detección, a la baja, pero sin llegar a permitir que pase a su través de ellos una
amenaza real, un positivo verdadero.
Si, por el contrario, detectamos falsos negativos, es decir, amenazas que no son
detectadas como tales, nos encontramos en el caso contrario: hay que establecer
reglas más estrictas en el análisis del tráfico de red. Este caso es el más peligroso para
nuestra organización.
1.2.3. Contención, mitigación, erradicación, recuperación

Una vez verificado que la amenaza es real, se debe proceder a la contención del
daño adoptando las medidas oportunas: apagado de la máquina, aislamiento de
la red, incluso -dependiendo del nivel de criticidad del sistema- dejar que siga en
funcionamiento para estudiar los procesos que lleva a cabo la amenaza. Cuando el
daño que haya hecho o podido hacer se encuentre bajo control llega el momento de
poner en marcha los mecanismos adecuados para repararlo, evaluar el impacto que
ha tenido sobre la organización y recuperar el sistema, bien la afección haya sido
sobre los datos o sobre los servicios, tanto los internos como los que pudiéramos
estar prestando a terceros.
1.2.3.1. Contención
La primera medida que se deberá tomar una vez confirmada la existencia de una
amenaza, es la de evitar que se extienda al resto de recursos de la organización.
Para ello se procederá, dependiendo de la naturaleza de la amenaza, bien a aislar
los equipos afectados de la red local bien a apagarlos, a deshabilitar las cuentas
de usuario que pudieran haberse visto comprometidas, a comprobar el estado de
las demás cuentas de usuario con privilegios elevados, limitando el nivel de acceso
a recursos (al menos temporalmente) y forzando el cambio de las contraseñas de
acceso a los sistemas a todos usuarios.
1.2.3.2. Mitigación/erradicación
Tan pronto sepamos que una infección está afectando al sistema y, en función de
sus efectos, intentaremos primero mitigarla, eliminarla si es posible. Si no lo fuera
o se estimase que procede tomar medidas más drásticas, estaríamos tomando en
consideración la reinstalación de los sistemas afectados (caso de una estación de
trabajo, por ejemplo) o la recuperación desde una copia de backup (en el caso de un
servidor, por ejemplo).
En la mayoría de los incidentes se termina optando por la reinstalación desde cero

como medida más segura (y en muchas ocasiones más rápida, lo que significa menor
tiempo de caída y menores pérdidas, ya sean económicas o de reputación).
17
Ciberseguridad
1.2.3.3. Recuperación
Tras haberse materializado una amenaza que ha impactado en la organización y
ponerse en marcha los medios de contención y mitigación o eliminación, procede la
recuperación del funcionamiento ordinario, conforme a lo establecido en el epígrafe
correspondiente del Plan de Contingencias.
Esa recuperación del funcionamiento ordinario podría ser la restauración de una base
de datos dañada/perdida desde una copia de backup, o la puesta en marcha de un
servidor web para retomar el servicio. Sea cual sea la medida adoptada debe estar
descrita y detallada, del mismo modo que de las actuaciones llevadas a cabo así como
del resultado de las mismas se debe tomar nota con el fin de mantener actualizado
tanto el Plan de Contingencias como el libro del S.O.C (Security Operations Centre,
Centro de Operaciones de Seguridad) que se verá más adelante, en el capítulo 7.
1.2.4. Retroalimentación
Cuando la amenaza ha sido neutralizada y los datos restaurados o los servicios
restablecidos, según sea el caso, llega el momento de analizar pormenorizadamente
el desarrollo completo de los hechos. De esta manera se consigue localizar los fallos
del conjunto, se estudia la oportunidad de las medidas adoptadas para atajar el daño
así como los tiempos de reacción y coordinación de las distintas áreas implicadas,
documentándose todo ello. Esta documentación del proceso cobra especial
importancia si se hubieran modificado las medidas adoptadas finalmente respecto a
las previstas, de cara a prevenir futuras infecciones del mismo tipo.
Y de aquí volveríamos al punto primero, el de preparación, encontrándonos de nuevo

en disposición de detectar ataques nuevos o desconocidos, con la seguridad de que
los conocidos no habrán de afectarnos otra vez.
18
1.3. Inteligencia: ciberinteligencia

Entendemos por inteligencia el proceso sistemático que, partiendo de la obtención de
información, la transforma y convierte en datos, herramienta fundamental para la toma
de decisiones estratégicas.
Este proceso debe ser realizado con una metodología que permita dotar de datos
concretos, útiles y adecuados a la finalidad buscada.
Los cibercriminales, independientemente de cuáles sean sus motivaciones, únicamente

necesitan encontrar una sola vulnerabilidad para explotarla y aprovecharse de ella, lo
que obliga a sus “objetivos” a establecer defensas lo más sólidas e impenetrables
posible.
Dado que no sabemos cuándo vamos a ser atacados, por quién, con qué herramientas
ni con qué capacidades, nos encontramos abocados a la necesidad de predecir
la aparición de amenazas. Una constante monitorización facilita la adquisición de
información en tiempo real, cuyo análisis nos permitirá una evaluación del posible
impacto de amenazas. Junto a la experiencia ya adquirida, se analiza y se extraen
recomendaciones para adoptar nuevas medidas preventivas. Una vez implementadas
estas medidas se monitorizará su efectividad, cerrando de este modo el ciclo.
Figura 1.3. Ciclo de la inteligencia.
Así, la ciberinteligencia es la inteligencia aplicada al ciberespacio, desarrollada de un

modo cíclico que comienza con la planificación de las necesidades y continúa con la
adquisición y análisis de la información para identificar, rastrear, predecir y contrarrestar
las capacidades, intenciones y actividades de los ciberactores (atacantes), ofreciendo
soluciones adecuadas al contexto particular de la organización que mejorará la toma
de decisiones.
Otra definición de ciberinteligencia, enfocada más concretamente a la seguridad de

redes, es la dada por Gartner: “el conocimiento basado en la evidencia sobre una
amenaza o daño a los sistemas, que puede ser usado para la toma de decisiones
informadas respecto a la respuesta a esa amenaza”.
19
Ciberseguridad
La clave de la inteligencia, de la ciberinteligencia, es la información. Esta debe ser

oportuna, veraz y objetiva, primando su calidad frente a la cantidad, para que sea
aplicable al objetivo final, que debe estar nítidamente definido.
“Mantener la organización segura” es una meta tan amplia y abstracta que no nos sirve
como objetivo. Uno más tangible y a la vez más operativo sería, por ejemplo, el de
reducir el riesgo operacional: el tiempo de caída de servicios prestados, información
perdida, daño al prestigio… lo que nos permite identificar qué es relevante para la
organización, qué debemos proteger. Así, la recolección de información sobre ataques
sufridos por organizaciones similares a la nuestra sería significativa, mientras que otra
sobre los últimos ataques tecnológicamente punteros o muy sofisticados no nos
aportaría valor necesariamente.
Tras ser recolectada la información considerada útil, esta ha de ser procesada para
obtener distintos tipos de inteligencia aplicables a diferentes niveles:
■■ Inteligencia estratégica: identifica y analiza tendencias, patrones, riesgos y

amenazas a los activos de la organización. Ofrece una perspectiva general que
facilita la toma de decisiones o implantación de políticas de seguridad.
■■ Inteligencia operacional: proporciona información para orientar y apoyar las

acciones de respuesta a incidentes específicos dadas sus características técnicas.
Altamente especializada, desde la recolecta hasta el análisis pueden estar
realizados por máquinas; no obstante, la presencia humana es imprescindible
para ajustar los parámetros de funcionamiento de las aplicaciones (por ejemplo,
reglas de filtrado de paquetes, etc.).
■■ Inteligencia táctica: da soporte a las operaciones y eventos cotidianos mediante

la evaluación de actividades en tiempo real.
Este proceso de (ciber)inteligencia proporciona una mayor comprensión de las

amenazas cibernéticas, favorece dar una respuesta más rápida y específica y una
mejor asignación de los recursos de que disponemos en la organización.
Pero esta información ¿cómo y de dónde se obtiene? Lo vemos en los siguientes

apartados: fases y fuentes de inteligencia.
20
1.4. Fases de la ciberinteligencia

El proceso sistemático por el cual la información se convierte en inteligencia generando
datos concretos, útiles y necesarios para la toma de decisiones, se desarrolla en
cuatro fases: planificación, obtención, elaboración y difusión.
1.4.1. Planificación
En esta fase se identifican las necesidades y prioridades precisas para la toma de
decisiones, que se desarrollará a través de tres acciones:
■■ Fijar los objetivos del informe de inteligencia.
■■ Decidir qué información se recogerá y cómo.
■■ Organizar los recursos que se vayan a emplear para ello.
La importancia de la planificación radica en la exactitud de la definición de los objetivos

ya que un error conllevaría una pérdida de tiempo, un gasto innecesario de recursos…
y la adopción de medidas no adecuadas para la protección de la organización.
1.4.2. Obtención
Es la recolección directa de las fuentes de la información en “bruto”. No debemos
olvidar que la información que se analice en el siguiente paso ha de ser únicamente
aquella relevante para la organización y adecuada al objetivo que pretendemos
conseguir, ya que la inteligencia no es cuestión de cantidad sino de calidad.
El principal problema en esta fase es la capacidad de discriminar con certeza la

información veraz de la desechable, lo que implícitamente exige que sea obtenida
adecuadamente de una fuente fiable y contrastable, que sea objetiva y no interpretada,
y estar actualizada.
Por otro lado se dispone de un número elevado de medios para recabar esa
información, si bien en cada situación habrá un método que prime por encima de los
demás, sirviéndonos los otros para contrastar la información obtenida del primero.
Atendiendo a la información que obtenemos de las fuentes podemos clasificar estas

últimas en dos tipos: primarias y secundarias:
■■ Fuentes primarias son aquellas que contienen información nueva y original,

como informes técnicos, artículos de investigación…
■■ Fuentes secundarias son aquellas en que la información se muestra más

organizada, interpretada, elaborada a partir de la información de fuentes
primarias.
Este proceso es el más delicado, al ser el que sustentará el informe final.
21
Ciberseguridad
1.4.3. Procesamiento y análisis

Esta fase es la que separa la información de la inteligencia mediante la transformación
y tratamiento de la información recogida.
Una vez desechados los datos inexactos, los poco fiables y aquellos que carecen
de la imparcialidad debida, debemos establecer una estructura común que facilite
la integración de grandes volúmenes de datos, tarea nada fácil habida cuenta que
nuestras fuentes son muchas y diversas, cada cual con su propia estructura. Conseguir
una homogeneidad en la presentación de la información nos permitirá ser capaces de
analizarla, interpretarla, relacionarla y extraer conclusiones para formular estrategias
de futuro.
En este paso la necesidad de tecnología es crucial, dada la elevada cantidad de datos

que se han de tratar y relacionar; pero eso no significa que se pueda prescindir de
la presencia de personas, ya que la intervención de los especialistas es fundamental
para la contextualización de los datos obtenidos. Podría darse el caso de la detección
de una elevada actividad de reconocimiento de puertos en nuestra red, por ejemplo.
Esto sería clasificado como un intento de ataque según el sistema; pero si el escaneo
de puertos respondiera a una prueba de pentesting conocida y programada, nos
encontraríamos con una actividad que no puede ser considerada “incidente de
seguridad” y debería ser descartada, lo que solo se puede hacer mediante intervención
humana.
Tras la recolección y el análisis de la información toca elaborar el informe definitivo,

objetivo principal de todo el proceso. Previamente tendremos que comprobar si
hemos logrado el objetivo de crear inteligencia, de adquirir nuevos conocimientos que
sirvan para modificar el planteamiento inicial de la fase de preparación y adoptar una
nueva estrategia adaptada al entorno.
De ser así, se procede a la difusión del informe y a poner en marcha esa nueva
estrategia; de lo contrario nos encontramos con que debemos corregir nuestra línea
de trabajo, ya sea modificando la planificación inicial de obtención de información, las
fuentes de las que la obtenemos e incluso el proceso de análisis de la misma.
1.4.4. Difusión
Objetivo principal del proceso, y la última fase antes de cerrar el ciclo. Una vez
hayamos adquirido nuevos conocimientos sobre el entorno que sean susceptibles de
modificar nuestro planteamiento inicial de seguridad, toca ponerlos en conocimiento
del personal encargado de la toma de decisiones en tiempo y forma.
Es fundamental que la presentación de esta información útil se haga de un modo

totalmente aséptico y profesional, limitándonos a las conclusiones obtenidas de
modo objetivo, sin aportar opiniones personales ni elucubraciones por parte de los
redactores de la documentación.
22
1.5. Fuentes de inteligencia

El origen de la obtención de inteligencia a partir de fuentes de información tiene un
marcado carácter militar, si bien se aplica en otros muchos campos. Así, se oye
hablar de la Inteligencia Criminal, por ejemplo, pero realmente el campo que abarca el
análisis de la información se aplica a todo tipo de sectores y actividades: geográficos,
sociales, culturales, políticos, económicos… y militares, por supuesto. Existe también
su alter ego que requiere atención por nuestra parte: la contrainteligencia, encargada
de detectar, localizar y neutralizar (difundiendo información confusa, contradictoria o
directamente falsa) las acciones de inteligencia de “la otra parte”.
De las múltiples fuentes de obtención de información que podemos encontrar

relacionadas con los distintos campos de aplicación, de cara a este módulo de
ciberseguridad nos vamos a centrar únicamente en tres: HUMINT, o inteligencia de
fuente humana; SIGINT, o inteligencia de señales, entendiendo como tal el tráfico de
datos en nuestra red; y OSINT, o inteligencia de fuentes abiertas.
Dejamos aparte otras fuentes de obtención, como la TECHINT, IMINT, MASINT… con
unos campos de aplicación que se alejan del objetivo de este curso. No obstante se
mencionan al final del capítulo.
1.5.1. Inteligencia humana (HUMINT)

La inteligencia humana (HUMINT) es la más antigua de las disciplinas de obtención de
inteligencia e incluso ha sido descrita como la segunda profesión más antigua. Incluso
Sun Tzu ya ensalzaba y clasificaba por tipos a los espías, diciendo de ellos que eran
una fuente de información necesaria previa a la batalla.
Se trata de una forma activa de obtención de información mediante la que una persona
obtiene información directamente de otra a través de una relación interpersonal.
Queda clara, pues, la importancia de esta fuente de información, siendo la herramienta
“reina” en esta disciplina la Ingeniería Social. Definida como “la práctica de obtener
información confidencial a través de la manipulación de usuarios legítimos” será
tratada más extensamente en un capítulo posterior de este módulo.
23
Ciberseguridad
1.5.2. Inteligencia de señales (SIGINT)

SIGINT, o inteligencia de señales, es la que resulta de la interceptación y análisis de
señales procedentes de la comunicaciones. En nuestro caso estará aplicada al tráfico
de nuestra red, es decir, será la procedente de su monitorizació.
Esta fuente de obtención de información suele necesitar el apoyo de otra disciplina

no mencionada anteriormente en el apartado dedicado al análisis de la información: la
criptología. Se debe a que dado lo vulnerable que es el protocolo http al transmitir los
datos en claro, últimamente se tiende a cifrar el contenido de la información mientras
viaja, por lo que en caso de ser interceptada precisa de una labor de puesta en claro
del contenido previa a su análisis.
Este es un método pasivo de obtención de información para el que precisamos el

apoyo de la tecnología, dada la cantidad de información que circula día a día en
nuestra red y que necesitamos clarificar para quedarnos solo con la que realmente
nos es de utilidad.
1.5.3. Inteligencia de fuentes abiertas (OSINT)

La que se deriva de información públicamente disponible, sin ser necesariamente
secreta, en cualquier tipo de soporte, digital o no. La fuente de mayor aporte es
Internet a través de las tecnologías de crawling, así como la llamada Internet profunda
(deep-web), la no indexada por los buscadores tradicionales y que requieren de
técnicas de web-scraping, más especializadas, para la extracción y procesamiento
de la información.
Estas fuentes pueden ofrecernos tanto información primaria (objetiva, sin tratar)
como información secundaria (ya elaborada, organizada, interpretada). Podríamos
poner como ejemplo información relacionada con una serie de ataques informáticos
a organizaciones similares a la nuestra. Ya tendríamos, por tanto, una información
que contrastar y con una utilidad indudable de cara a preparar la defensa de nuestro
sistema.
24
1.5.4. Otras fuentes de inteligencia (TECHINT, IMINT, MASINT)

Si bien estas fuentes de inteligencia están fuera del objetivo del tema, no está de más
tener un ligero conocimiento de qué son y así saber cómo proveen de información que
puede ser aprovechable.
■■ TECHINT: Technical Intelligence, o inteligencia tecnológica. Originaria del ámbito

militar es una fuente de obtención de información sobre el potencial técnico
del enemigo con el fin de estar preparado por si hiciera uso de él. En el ámbito
de la informática podría entenderse como “estar al día” de los avances de la
tecnología, y centrándonos en ciberseguridad lo sería respecto a las amenazas
de última generación. Esto último ya hemos visto que no es siempre aplicable a
nuestra organización, pero sí lo es estar informado de los ataques y amenazas
empleados contra organizaciones similares a la nuestra.
■■ IMINT: Imagery Intelligence, o inteligencia de imágenes. Deriva también del

ámbito militar como la fuente de obtención de información a través de espionaje
fotográfico por cualquier medio (desde satelitario hasta humano), y tanto en la
región visible del espectro radioeléctrico como en otras. En ciberseguridad tiene
su aplicación en la extracción de información a través de los metadatos que
contienen los ficheros de imagen (y cualquier tipo de fichero informático).
Metadato
Término difícil de definir, se opta por resumirlo como “datos sobre datos” o
“datos sobre información”: datos sobre fechas, creadores, geolocalización…
de ficheros informáticos.
■■ MASINT: Measurement and Signature Intelligence, o inteligencia de medidas y

firmas, es la información obtenida a través de análisis cuantitativos y cualitativos
de múltiples y diferentes datos con el objeto es de identificar características
diferenciadoras asociadas al emisor. Nuevamente, origen militar, donde tiene su
mayor campo de acción, aunque aplicado al campo de la ciberseguridad se
asemejaría al método usado por los antivirus tradicionales: comparar la “firma”
del fichero sospechoso con una base de datos de firmas de virus conocidos, y
en caso de coincidir…
25
Ciberseguridad
1.6. Uso de la ciberinteligencia para potenciar la

ciberseguridad
La relevancia de la ciberseguridad en el día a día ya no es objeto de duda: constantemente
nos llegan noticias sobre incidentes, ataques, vulnerabilidades y fugas de información
que afectan tanto a la reputación como a la economía de las organizaciones. Ya no
se trata solo de ataques que buscan simplemente mostrar la habilidad del atacante,
sino que detrás existen grupos organizados con motivaciones económicas y políticas
que dan soporte y ayudan a su evolución técnica. Así, nuestras organizaciones están
constantemente expuestas a esos riesgos, nuevos, de los que solo sabemos que
antes o después se materializarán.
Así como para minimizar otro tipo de riesgos puede bastarnos un Plan de Contingencias,
para las ciberamenazas necesitamos desarrollar todo un proceso, cíclico como hemos
visto, y que debe evolucionar día a día.
Como quiera que las fases de esa ciberseguridad están establecidas y son, de
algún modo, fijas y estáticas, necesitamos de “algo más” que aporte el dinamismo al
proceso, y ese algo es la ciberinteligencia.
Con cada “vuelta” que da el ciclo de la inteligencia obtenemos nuevos datos que
permiten mejorar la toma de decisiones informada en lo que a la preparación de la
estrategia de ciberseguridad se refiere; la constante monitorización de las fuentes nos
permiten disponer de la última información relativa a las posibles amenazas, con lo que
su detección e identificación se realiza de modo inmediato; la contención, mitigación
y erradicación tan pronto son identificadas se ven facilitadas por la información
puesta a disposición pública tanto por empresas particulares como por organismos
gubernamentales e intergubernamentales (CERT’s), permitiéndonos ajustar los
parámetros de detección de las herramientas de las que disponemos, reduciendo el
número de falsos positivos...
Podríamos resumir diciendo que la ciberseguridad sin ciberinteligencia es una medida

de escasa efectividad que se diluye aún más con el tiempo, y que inteligencia sin
proceso dinámico al que ser aplicada son esfuerzo y gasto dilapidados.
Sin embargo, ambos trabajando conjuntamente potencian su validez y los resultados

obtenidos avalan su utilidad.
26
RESUMEN
■
La ciberseguridad no es una moda pasajera ni una tendencia de mercado: es una
necesidad de primer orden para las organizaciones y, poco a poco, lo va siendo
también para el usuario “de a pie”.
■
La ciberseguridad, como proceso dinámico y en constante cambio, requiere de un
esfuerzo cierto y mantenido para que sea efectiva. Aquello de “instalo y me olvido” no
tiene cabida en el mundo de la seguridad informática.
■
Si bien la ciberseguridad es un proceso dinámico, sigue unas pautas de funcionamiento
constantes: planificamos qué activos queremos en proteger, analizamos toda actividad
susceptible de ser una amenaza para ellos, y caso de confirmarse procedemos a su
neutralización en el menor tiempo posible. Al final, aprendemos y lo aplicamos. Y vuelve
a comenzar el ciclo.
■
Para poder mantener un nivel de seguridad adecuado no podemos limitarnos a
trabajar de modo reactivo (me atacan y respondo) y aprender así. Disponemos de una
herramienta que nos permite estar prevenidos “en avance”: la inteligencia (información
elaborada), que nos ofrece datos objetivos directamente utilizables en el proceso de
planificación de la ciberseguridad.
■
La (ciber)inteligencia trata la información siguiendo unas fases establecidas que
aseguran su adecuación, oportunidad, veracidad y objetividad necesarias para que los
datos finales sean válidos para una organización.
■
La información útil para nuestros fines se encuentra disponible en diversas fuentes,
soportes, formatos, estructura… que han de ser integrados de modo homogéneo para
su tratamiento.
■
La ciberseguridad se apoya en la ciberinteligencia y su capacidad de anticipar ataques
para dar respuesta a las cada vez más avanzadas ciberamenazas que nos acechan.
27
2 2
Ciberseguridad
DIDÁCTICA
UNIDAD
2. Ataques. Defensa

2. Ataques. Defensa
ÍNDICE
OBJETIVOS.................................................................................................................................................................. 33
INTRODUCCIÓN......................................................................................................................................................... 34
2.1. Ciberataques.......................................................................................................................................................... 37
2.2. Ataques más comunes.......................................................................................................................................... 38
2.2.1. Ataques a la red................................................................................................................................................... 38
2.2.2. Ataques a los dispositivos...................................................................................................................................... 40
2.2.3. Ataques a las aplicaciones..................................................................................................................................... 41
2.2.4. Ataques a los datos.............................................................................................................................................. 42
2.2.5. Ataques a los usuarios.......................................................................................................................................... 44
2.3. Métodos de defensa.............................................................................................................................................. 45
2.3.1. Defensa de la red................................................................................................................................................. 45
2.3.2. Defensa de los dispositivos.................................................................................................................................... 46
2.3.3. Defensa de las aplicaciones................................................................................................................................... 46
2.3.4. Defensa de los datos............................................................................................................................................ 47
2.3.5. Defensa de los usuarios........................................................................................................................................ 49
RESUMEN..................................................................................................................................................................... 51
31
2. Ataques. Defensa
OBJETIVOS
■ Comprender qué es un ataque, un ciberataque.
■ Qué persiguen los ciberdelincuentes cuando atacan un sistema.
■ Cuáles son las motivaciones que llevan a atacar los sistemas informáticos.
■ Cuáles son los objetivos de ataques más comunes.
■ Conocer los ataques más comunes.
■ Qué medidas hay que tomar para estar preparados ante los ciberataques.
33
Ciberseguridad
INTRODUCCIÓN
“Casi tres ciberataques “muy peligrosos” cada día. El Ciberataque: acción realizada por individuos o grupos
Centro Criptológico Nacional alerta de “persistentes organizados contra un sistema de información o
ataques de espionaje digital a gran escala” contra cualquiera de sus componentes, con el objetivo de
España…” disponer de la información almacenada o en tránsito
“La Guardia Civil alerta del “riesgo crítico” de un o de los dispositivos que lo conforman sin permiso ni
ataque ciberterrorista. Un alto mando experto en conocimiento previo del legítimo dueño.
ciberseguridad asegura que muchas amenazas Desde el primer virus informático que apareció allá por
provienen de “Estados hostiles””. el año 1972, Creeper, que se limitaba a mostrar un
“¿Qué tan grande y costoso puede ser un ataque mensaje en la pantalla de los ordenadores, hasta el
cibernético para las empresas? Tan solo en último gran ataque de DoS vía memcached servers
Latinoamérica ocurren 33 ataques por segundo”. llevado a cabo el 1 de marzo de 2018 contra la
plataforma GitHub; y desde el mero hecho de mostrar
Estos tres ejemplos de titulares y encabezados de un mensaje en pantalla atribuyéndose la autoría del
noticias con que nos hemos levantado recientemente virus hasta las oscuras intenciones que mueven
se están convirtiendo cada vez más en habituales. incluso a Gobiernos a la creación de herramientas de
¿Por qué? porque el mundo digital, el mundo “ciber”, ataque, se ha recorrido un largo camino.
está cada vez más íntimamente ligado a nuestro día
a día, a nosotros mismos. Y los “malos” están ahí, Mucho antes de que Internet se universalizase y
dispuestos a obtener cuanto beneficio puedan a “colase” en nuestras vidas, y con ello todas estas
nuestra y la de nuestra empresa. Y eso, ¿cómo lo amenazas, los vectores para infectar nuestros equipos,
hacen? como se ha hecho desde el comienzo de los a los hosts finales, éramos los propios usuarios.
tiempos: si quiero algo tuyo que tú, obviamente no me No existía Internet, pero teníamos redes equivalentes
vas a dar de modo voluntario, te lo quito. Te ataco y para de distribución de software: copiábamos y nos
te lo quito. intercambiábamos disquetes (floppys, de 3 ¼’ en la
Ataque: acción de atacar, perjudicar o destruir.1 década de los 90) con software, juegos… y el virus
correspondiente, nos los enviábamos por “snail-
Atacar: perjudicar, dañar o destruir.2 mail”…
Ciber-: indica relación con redes informáticas.3
1 http://dle.rae.es/?id=4AR9Sjs
2 http://dle.rae.es/?id=48mrGJP|48n9xGt|48o83Vt
3 http://dle.rae.es/?id=98ULSyc
34
2. Ataques. Defensa
Aquel “Viernes13” que nos mantenía alejadod del Ahora todos nos hemos convertido en víctimas
ordenador tal día, o los que hacían que se “cayeran” potenciales de estos delincuentes de siempre pero
las letras de los documentos de texto a la base de que hacen uso de la última tecnología para cometer
la pantalla… eran meras travesuras, “pruebas de sus delitos.
concepto” de los pocos programadores que había Desde hace ya muchos años para prevenir los
y que tan solo buscaban el reconocimiento de la delitos había que tomar medidas de seguridad y
comunidad underground, no un beneficio económico que no te robasen en la fábrica o en casa (puerta
ni el deseo real de “romper” los equipos… aunque blindada, alarma…), ahora hemos de tomar medidas
también los había. de ciberseguridad en los mismos lugares: en los de
Pero como ya decíamos en el tema anterior, el trabajo y en casa, también para que no nos roben a
desarrollo de Internet, su expansión y universalización través del ordenador.
(en el sentido de llegar a todas las personas en
todos los lugares del planeta) ha permitido que los
delincuentes amplíen su campo de acción de un
modo exponencial.
35
2. Ataques. Defensa
2.1. Ciberataques
Desde que se hace pública una vulnerabilidad hasta que se desarrolla un parche
y se instala en los sistemas transcurren una media de 13 días; sin embargo, los
ciberdelincuentes tardan solo 6 días, de media, en desarrollar un exploit para atacar
a sus víctimas. Esto significa que existe una ventana mínima de 7 días (o hasta que la
vulnerabilidad se soluciona con un parche desarrollado al efecto) durante los cuales las
organizaciones son vulnerables y están expuestas a robo de datos, infecciones con
ransomware, minado de bitcoins a costa de sus recursos… en resumen, un perjuicio
económico y reputacional.
Vulnerabilidad. Es una debilidad de un sistema informático que permite que

un atacante comprometa su seguridad.
Exploit. amenaza que aprovecha los agujeros de seguridad y las

vulnerabilidades del software.
Y si a esto añadimos el incremento de la superficie de ataque dado por el llamado

Bring Your Own Device (BYOD, o dispositivos particulares empleados en el trabajo
que se conectan generalmente vía WiFi a la red corporativa), computación en la nube,
Internet of Things (IoT, o Internet de las cosas con su fácil uso y escasa seguridad
implementada de fábrica) tenemos un ímprobo trabajo por delante… Esta ciber-
exposición requiere de una aproximación dinámica a la seguridad informática, es decir,
desarrollar con premura en las organizaciones y a todos los niveles una cultura de
ciberseguridad.
Para contrarrestar esas amenazas hay que proteger tanto las redes como los
dispositivos, sin dejar de lado la educación y formación de los usuarios que son, en
última instancia, el eslabón más débil en la cadena de la seguridad.
El primer paso para proteger nuestros activos, nuestros recursos, pasa por conocer
cuáles son los tipos de ataque más comunes a los que podemos enfrentarnos, algo
que vemos a continuación.
37
Ciberseguridad
2.2. Ataques más comunes

En el capítulo anterior, respecto a los objetivos de las ciberamenazas, dejamos
establecido que para cada objetivo, dada su naturaleza peculiar y distinta, existe una
batería de amenazas desarrolladas específicamente.
Pero estas amenazas que vamos a ver ni son las únicas ni son inmutables. Con la
llegada de la IA (inteligencia artificial) y el Big Data nos enfrentamos a un panorama
cambiante en el que las máquinas van a tomar cada vez más relevancia en el campo
de las amenazas…y en el de la defensa.
Por un lado, la inteligencia artificial y su capacidad de aprendizaje automático están cada

vez más cerca de la creación de mensajes falsos y persuasivos para las campañas de
spear phishing que pasan por “auténticos”, por ejemplo, o por la creación de malware
capaz de reconocer que está siendo ejecutado en una sandbox en lugar de en una
máquina en producción y comportarse de un modo inofensivo.
Y, por otro lado, esa misma inteligencia artificial permite que ese aprendizaje automático
sea capaz de detectar ataques a nuestras redes al observar un tráfico de datos inusual,
por ejemplo, e incluso llegar a anticiparse a ellos.
Dependiendo de cuál sea el objetivo de los delincuentes así será su ataque.
Lo primero que un posible atacante va a hacer es recabar cuanta información pueda

sobre el objetivo. Comenzará buscando información disponible en Internet o en
cualquier otro lugar (prensa, publicaciones especializadas…) mediante técnicas de
Open Source Intelligence (OSINT), actividad que les permite recabar una gran cantidad
de información de un modo totalmente anónimo. El segundo paso es investigar la
infraestructura de la red de la organización para tratar de crear un “mapa” con todos
los posibles objetivos y sus características (sus debilidades) para lanzar el ataque.
Y estos ataques pueden ser a la red, a los dispositivos finales, a las aplicaciones, a los
datos o al usuario, a las personas.
2.2.1. Ataques a la red

Dentro de este grupo se incluyen aquellos ataques que se efectúan contra la
infraestructura de la red: tanto a la transmisión de los datos como a la electrónica
que facilita esa comunicación. Es decir, los routers, switches, bridges y cualquier otro
elemento hardware que tenga como misión la de organizar el tránsito de la información.
Los puntos de entrada a partir de los cuales puede ser lanzado un ataque contra
la red corporativa suelen ser el correo electrónico corporativo, visita a páginas web
maliciosas, conexión de dispositivos USB (ya sean pendrives, ya sean otro tipo) y el
acceso a la red de BYOD o dispositivos de visitas o proveedores.
38
2. Ataques. Defensa
Así, los ataques más comunes contra la red que podemos encontrar son:
■■ Ataques de denegación de servicio (DoS) y Denegación de Servicio Distribuida

(DDoS)
Una Denegación de Servicio, Denial of Service, es la que se produce cuando un

servidor recibe de una máquina, o un número reducido de ellas, más peticiones
por segundo de las que puede atender, lo que lleva a una ralentización del
servicio y ocasionalmente a una parada total.
Una Denegación de Servicio Distribuida (DDoS) se diferencia de la anterior en

que en este caso el foco de origen del tráfico, de las peticiones, es un número
muy elevado de máquinas. Es el típico ataque que se realiza con botnets o redes
zombie de ordenadores (o dispositivos IoT) para paralizar un servicio web.
■■ Envenenamiento de tablas ARP (ARP poisoning)
Cada dispositivo conectado a una red guarda unas tablas de emparejamiento

dirección MAC–dirección IP de cada dispositivo conectado a esa misma red
local (LAN) y que se va actualizando dinámicamente.
Figura 2.1. Ejemplo de tabla ARP obtenida en un sistema Windows a través de consola con el comando arp -a.
El envenenamiento ARP consiste en alterar esa pareja MAC–IP mediante

mensajes falsos, consiguiendo el atacante “asignarse” la IP que le convenga,
generalmente la de la puerta de enlace, de modo que todo el tráfico de la red
pase a través de su equipo para extraer información, modificarla o evitar que
llegue a su destino, o redirigir todo el tráfico a un sitio web malicioso que también
está bajo su control (ARP spoofing).
Figura 2.2. Captura de tráfico ARP con Wireshark. Fuente: propia.
39
Ciberseguridad
■■ Ataques a DHCP
DHCP es el protocolo encargado de suministrar los parámetros de configuración

de la red local a los dispositivos que a ella se conectan. Ataques típicos contra
este protocolo son:
□□ DHCP Starvation, o agotamiento del pool de direcciones. El atacante satura

al servidor con peticiones de direcciones IP para supuestos dispositivos que
están conectados a la red con MAC falseada. Una vez que se agotan las IP
disponibles se provoca una denegación de servicio: el servidor DHCP deja de
prestar sus servicios.
Pool de direcciones IP: número de direcciones IP disponibles para

dispositivos que se conectan a una red.
□□ DHCP Spoofing, o falso servidor DHCP. Suplantación del servidor de DHCP

legítimo (que podría haber sido anulado por el ataque anterior) de modo que
es otra máquina bajo el control del atacante la que asigna y modifica los
parámetros de red a los equipos conectados que renuevan o piden una IP
nueva. Podría configurar una puerta de enlace a un servidor DNS malicioso
controlado por delincuentes, por ejemplo, o redirigir el tráfico a páginas con
software malicioso.
2.2.2. Ataques a los dispositivos

Aquí incluimos todos aquellos que se hacen directamente a la máquina física: al
ordenador del usuario o al servidor.
Entre los ataques que se pueden hacer de un modo más obvio están aquellos en los
que, aun tratándose en definitiva de seguridad informática, pertenecen al campo de
la seguridad física, de acceso a la ubicación y afectan directamente a la máquina.
Podrían ser un corte de corriente eléctrica, incendio o inundación de la sala donde se
encuentre o el robo de la máquina en sí.
Los que se pueden llevar a cabo contra la máquina en sí son aquellos en los que se
conectan dispositivos desconocidos u otros sin conocimiento del usuario. Por ejemplo:
■■ Keyloggers. Una aplicación de software o un componente de hardware que

registra las pulsaciones que se realizan en el teclado, la guarda en un fichero
y, según las instrucciones que tengan, envían a través de Internet. En caso de
tratarse de software, este suele ser descargado a través de un troyano o como
parte de un virus.
Pero otra posibilidad es la de un componente de hardware que bien se coloca

entre la conexión USB del teclado y la del ordenador; o bien se “esconde”
físicamente dentro del teclado.
40
2. Ataques. Defensa
■■ BadUSB: dispositivo hardware conectable a través de los puertos USB del equipo,
que puede ser incluso un pendrive “comercial” con un microchip determinado.
A estos USB se les modifica el firmware para hacerlos pasar por otro tipo de
dispositivo, como por ejemplo un teclado. Tan pronto se insertan en el puerto
son identificados como un teclado y proceden a “teclear” automáticamente unas
instrucciones pregrabadas.
Figura 2.3. Bad USB y pendrive.
2.2.3. Ataques a las aplicaciones

Para que puedan darse ataques a los ordenadores de una red los actores deben
haber conseguido un acceso previo a la misma, lo que puede ser indicativo de un fallo
en la seguridad perimetral o un trabajo previo de infección de la máquina a través de
un malware, sin entrar a analizar ahora cómo se ha distribuido.
Los ataques a las aplicaciones instaladas en los equipos comienzan con un

reconocimiento de la máquina o fingerprinting que busca obtener información sobre un
sistema operativo instalado, aplicaciones en ejecución, qué procesos están haciendo
uso de puertos de comunicaciones, y cuáles de estos últimos están “a la escucha”,
abiertos o sin protección.
Una vez recopilada esa información el atacante buscará vulnerabilidades y sus

exploits correspondientes para desplegarlos en el equipo objetivo y tomarlo bajo su
control. Y para esto disponen, en más ocasiones de las deseables, de mucho tiempo,
pues el parcheo de vulnerabilidades en equipos en producción conlleva un riesgo
de incompatibilidad con las aplicaciones ya instaladas que podrían dejar el equipo
inoperativo.
41
Ciberseguridad
Figura 2.4. Resultado de un escaneo de red.
¿Y qué herramientas serán las empleadas para realizar ese fingerprinting o

reconocimiento de las redes o dispositivos objetivo? Más adelante, en el tema 4
Hacking ético–preparación del ataque, las veremos.
2.2.4. Ataques a los datos

Podemos definir dato como elemento primario o unidad mínima de información. Por sí
solos no tienen relevancia, pero si los juntamos, ordenamos y procesamos obteniendo
un resultado, estaremos hablando de información. Y esa información, esos datos, son
el activo más valioso de una organización que se pueden encontrar almacenados o
en tránsito.
No se trata en este módulo, al no ser parte del temario, la protección de los datos en
relación con el Reglamento General de Protección de Datos, materia totalmente legal
y que, además, no entra en los detalles técnicos.
42
2. Ataques. Defensa
La seguridad de los datos, o seguridad de la información, es uno de los dos bastiones

que hay que defender. Y defender significa mantener intactas las características de
los datos en cualquier momento de su ciclo de vida: introducción (en el sistema),
procesamiento, almacenamiento, recuperación (normal), restauración desde backup
y eliminación.
Esas características que deben ser mantenidas intactas son:
■■ Confidencialidad: solo deben ser accesibles al personal que ha de trabajar con

ellos.
■■ Integridad: no deben ser alterados salvo por el personal autorizado.
■■ Disponibilidad: han de estar accesibles para el personal autorizado que los

solicita.
Tríada CIA (Confidenciality, Integrity, Availability): confidencialidad, integridad,

disponibilidad: principios básicos de la seguridad de la información. Con su
correcta gestión se consigue un sistema menos vulnerable.
El ataque típico que puede afectar a la confidencialidad de la información contenida

en una base de datos es la SQLi o inyección de sentencias SQL.
En un formulario de acceso a una base de datos en lugar de escribir el nombre de

usuario y su contraseña se deja el usuario en blanco y en lugar de la contraseña
se escribe una sentencia SQL. De esta manera se engaña al sistema, que entiende
que los datos corresponden al primer usuario con acceso autorizado a la base de
datos, que suele ser el administrador. Los atacantes han conseguido un acceso con
privilegios máximos: ya pueden hacer lo que quieran con la base de datos.
La integridad de los datos tiene su mayor enemigo en una incorrecta elección de quién
tiene acceso a ellos más una errónea asignación de privilegios (lectura, escritura o
ejecución). El riesgo de alteración, ya sea de forma voluntaria o de forma inconsciente,
aumenta de modo directamente proporcional con el número de personas autorizadas,
por lo general con privilegios más altos de los precisos. Además, no debemos dejar de
lado la posibilidad de un malware que afecte a los datos, mostrando valores erróneos
-por ejemplo- como fue el caso del gusano Stuxnet.
Aun cuando no se pueda hablar con rigor de “ataque” una mala praxis es también
peligrosa para la integridad de los datos. ¿Cuántas veces hemos oído aquello de “…si
la copia de seguridad funciona…”? cuando se habla de alteración de datos de forma
no voluntaria ni consciente nos referimos, también, a una incorrecta (si no inexistente)
política de copias de seguridad mediante la que se almacenan datos que una vez
restaurados tras un incidente resultan no ser los correctos (sic).
43
Ciberseguridad
Disponibilidad de los datos es acceder a ellos cuando lo necesitamos a través de

los canales habilitados y siguiendo los procesos establecidos. Esta se verá afectada
si no podemos acceder a ellos -debido a un ataque de denegación de servicio, por
ejemplo-, porque el lugar en que se encontraban almacenados ha variado, o incluso
desaparecido, o porque simplemente el sistema no nos permite el acceso.
Un último punto al que no se suele prestar la atención debida a pesar de ser el

causante de importantes pérdidas de información (data leakage) es el de la eliminación
del hardware: a menudo las organizaciones se deshacen de material obsoleto sin ser
conscientes del riesgo que pueden correr. Recuperar información de un disco duro
que solo se ha borrado o formateado es una tarea realmente fácil… y gratificante
Lo mismo se puede aplicar a discos duros externos, memorias USB, terminales
móviles… Son los lugares de almacenaje de información por excelencia, y por ello
merecedores de la máxima atención cuando se borren para su destrucción, donación
a obras benéficas, disposición en vertedero…
2.2.5. Ataques a los usuarios

Los más fáciles de hacer y los que tienen un mayor retorno de inversión, es decir,
mejor rendimiento, mayor índice de éxito.
Un programa informático no es sino una secuencia de instrucciones que una máquina

va a ejecutar siempre igual: dado un valor de entrada obtendremos un valor de salida.
A mismo valor de entrada mismo valor de salida, independientemente del número de
veces que ejecutemos ese programa. Y si se detecta un fallo se revisa el programa y
se parchea. Y a funcionar de nuevo.
Sin embargo, el cerebro humano no funciona así… exactamente. Haciendo un símil

con un ordenador, dado un “valor” de entrada no estamos seguros de cuál será el
“valor” de salida, pues este último variará en función de la persona. Lo único que está
demostrado estadísticamente es que las personas tienden a responder de un modo
similar ante los mismos estímulos: habrá valores de salida parecidos ante los mismos
valores de entrada.
El usuario es el “único componente de un sistema informático para el que no existen

parches para vulnerabilidades o versiones revisadas y mejoradas”. Estamos, y
estaremos, en la versión 0.0. para siempre.
El ataque al usuario es el más fácil de realizar pues juega con los sentimientos
humanos, que una máquina no tiene, y obtiene unas respuestas fácilmente predecibles.
Así, un correo electrónico engañoso (phishing), una memoria USB encontrada
“accidentalmente” en el aparcamiento del trabajo o un código QR, escaneado con
el móvil BYOD por el “ofertón” de turno, se convierte en la puerta de entrada a la red
corporativa. Ya tenemos al enemigo dentro. Y ahora, ¿qué?
En esto se basa la Ingeniería Social, que recibirá un trato más extenso en el siguiente
capítulo.
44
2. Ataques. Defensa
2.3. Métodos de defensa

Del mismo modo que las aplicaciones se ejecutan por capas en las redes, la seguridad
se debe aplicar también por capas: no hay una única medida de seguridad que proteja
todo el sistema de la organización.
2.3.1. Defensa de la red

■■ Defensa contra DoS y DDoS
Contra un ataque DoS, cuya fuente es una única dirección IP, la defensa es
realmente muy fácil: basta con bloquear (banear) dicha IP en el cortafuegos o
en el router.
Por el contrario, repeler un ataque DDoS es mucho más difícil y, en ocasiones,

imposible. Bloquear las miles de direcciones IP de origen del ataque es imposible,
y la única solución que puede mitigar es tener los servidores virtualizados en
cloud, de modo que se puedan incrementar al momento los recursos destinados
al servicio.
■■ Defensa contra el envenenamiento ARP
Un primer método, sencillo pero que solo se puede aplicar en redes LAN pequeñas
es el de crear manualmente las tablas ARP. Presenta el inconveniente de tener
que modificarlas a mano en cada dispositivo cada vez que haya variaciones en
la estructura de la LAN.
En redes mayores ya hay que recurrir a otro tipo de soluciones dada la complejidad
y consumo de tiempo, que significaría modificar las tablas equipo por equipo.
Para mantener el caché ARP con las tablas falsas se deben generar paquetes
ARP spoofeados constantemente, lo que sería rápidamente detectado por los
sistemas de seguridad de la red: sistemas de detección y prevención de intrusos
(IDS, IPS), neutralizando el ataque (IPS).
Otra posibilidad es la de emplear soluciones comerciales. Independientemente

de las soluciones antimalware, hay otras aplicaciones que realizan una función
llamada DHCP Snooping verificando que cada dirección IP está relacionada con
una única MAC, y que esa MAC pertenece a un dispositivo conocido de la red
(listas blancas), lanzando mensajes de aviso al administrador de la red cuando
esa asignación IP-MAC cambie.
45
Ciberseguridad
■■ Defensa contra ataques a DHCP
El agotamiento de DHCP suele ser el paso previo a la suplantación de identidad

del servidor. Una forma eficaz de evitarlo es la correcta elección, configuración
y administración de los switches de la organización, asegurándonos de que
cuentan con la funcionalidad DHCP Snooping u otras similares que mantienen
control de las tablas de emparejamiento MAC-IP, o binding tables, y avisan de
modo automático al administrador en caso de que detecten un cambio.
2.3.2. Defensa de los dispositivos

Lo primero es, obviamente, restringir el acceso a los dispositivos o a las salas de
máquinas, permitiéndolo únicamente al personal autorizado.
Después, comprobar visualmente que no hay ningún dispositivo físico desconocido

conectado entre el teclado y el equipo para descartar la presencia de un keylogger
externo; si es interno será más difícil detectarlo, y salvo desmontar el teclado, habrá
que recurrir a soluciones vía software.
Por software se dispone de soluciones antimalware que pueden detectar la existencia

de un keylogger instalado en un equipo. Otra medida es la instalación de un firewall,
ya sea por software o por hardware, que además de analizar y filtrar el tráfico entrante
hace lo mismo con el saliente: se evitará que aplicaciones instaladas se comuniquen
con el exterior sin conocimiento ni autorización previa del usuario. Un firewall es una
aplicación que no debe faltar en ningún equipo; y en entornos empresariales se puede
afirmar que su presencia en la red corporativa es imprescindible.
Un tipo especial de firewall es el WAF (Web Application Firewall) cuyo objetivo es la

protección específica de los servidores web mediante la aplicación de reglas estrictas
al tráfico http. ¿Y por qué específico para aplicaciones web? porque generalmente un
servidor web de una organización está ubicado en la DMZ o zona desmilitarizada de
la red, abierto a Internet y primer objetivo de un ataque malicioso.
2.3.3. Defensa de las aplicaciones

Con la técnica del fingerprinting y una vez el atacante tiene toda la información sobre
el target para atacarlo, únicamente queda confiar en que el escenario que se le
presenta no sea halagüeño, es decir, que no encuentre vulnerabilidades ni errores de
configuración, o que el ataque vaya a llevarle mucho tiempo, lo que aumentaría las
posibilidades de ser descubierto.
Y eso ¿cómo se consigue? aplicando una serie de medidas conocidas como hardening
(endurecimiento) del sistema, o reducción de la superficie de exposición al mínimo. En
una ocasiones significará que el atacante no encontrará modo de acceder al sistema
(salvo que disponga de un zero-day) y en otras que tras acceder, no podrá ejecutar
ninguna acción maliciosa.
46
2. Ataques. Defensa
Zero-day: fallo en el software, firmware o hardware, desconocido tanto por

sus desarrolladores como por el público en general, por lo que no ha sido
resuelto (parcheado) y constituye una vulnerabilidad.
El hardening de un sistema comienza por limitar las aplicaciones que se instalarán a

las mínimas imprescindibles para su labor -ya sea un PC de escritorio o un servidor-
y que además deben estar actualizadas. Si en el equipo no dispongo de pantalla
táctil o tableta digitalizadora, por ejemplo ¿necesitaré software de reconocimiento de
escritura manual? Lo mismo se ha de hacer con los servicios no necesarios para el
uso al que se destina el equipo.
Se continuará limitando el número de usuarios que pueden iniciar sesión en dicho

equipo, por supuesto con su correspondiente usuario y contraseña (que deberá
cumplir unos mínimos de complejidad definidos por la política de seguridad de la
organización). No se trabajará con el usuario Administrador u otro equivalente con sus
mismos privilegios, salvo que sea imprescindible para el mantenimiento del sistema.
Para todo lo demás se usará el usuario con los privilegios limitados a los mínimos
imprescindibles.
Una vez que el software necesario haya sido instalado y actualizado se procederá a
su configuración, adoptando las medidas de seguridad que permita. Por ejemplo, y
sin ser una lista limitada:
■■ Deshabilitar la ejecución automática de macros.
■■ Deshabilitar la descarga automática de adjuntos en las aplicaciones de correo

electrónico.
■■ Configurar el correo electrónico para que los mensajes se muestren en texto

plano (y no en formato html).
■■ Bloquear la ejecución automática de scripts por parte del navegador web.
Con estas cuatro simples acciones se evitará un número considerable de riesgos.
2.3.4. Defensa de los datos

Cuando los datos se encuentran en tránsito la única forma de protegerlos es
encriptando la información que se transmite. El protocolo http adolece de un fallo de
diseño: los datos viajan en claro. La consecuencia es que en caso de ser interceptados
el contenido de la información es perfectamente legible.
Para proteger la información en tránsito los servidores web negocian con el navegador
el uso del protocolo https en que la s final significa que los datos viajan encriptados.
Esa negociación es el acuerdo sobre el nivel de cifrado que se va a emplear en el canal
de comunicación seguro que se establece entre ambos.
47
Ciberseguridad
Figura 2.5. Ejemplo: captura de trafico http.
Para defendernos de un ataque SQLi y evitar que el servidor ejecute una sentencia
maliciosa de consulta hay que configurar la base de datos con un sistema de validación
de la sintaxis de entrada de consulta, de modo que, si no se ajusta a lo esperado,
simplemente no ejecute acción alguna; si devolviera algún mensaje de error este
podría ser interpretado y aprovechado por el atacante para variar su estrategia. Así,
sin mensaje de error solo acierta a saber que ese ataque ha fallado, pero sin saber en
qué o por qué, lo que como poco entorpece su acción.
Además, hay que establecer una política de privilegios lo más restrictiva posible, pero
sin perder funcionalidad. De esta manera si el atacante consigue acceder a través de
un usuario “normal” sin privilegios de administración, el daño que podrá causar será
menor, amén de obligarle a buscar una elevación de privilegios, con lo que aumentara
tanto el tiempo que debe emplear dentro del sistema como el riesgo de ser detectado.
Y esa política de privilegios limita el daño, consciente o involuntario, que los usuarios
pueden causar a la información.
48
2. Ataques. Defensa
2.3.5. Defensa de los usuarios

Decíamos que el cerebro del usuario está en su versión 0.0 y no se espera una
actualización de versión, por lo que lo único que resta por hacer es “parchear” a base
de educación y concienciación.
La concienciación del usuario final en ciberseguridad debe ser implementada,

ejecutada, supervisada y actualizada periódicamente, ya que el usuario es el eslabón
más débil de la cadena, pero también el que puede causar un daño mayor.
Una formación básica para el puesto de trabajo, y que sea útil también para “llevar a
casa”, debe hacer hincapié en los siguientes términos:
■■ El software instalado ha de ser legal y estar actualizado, si bien este extremo es

responsabilidad del departamento de informática; así como que el usuario no
disponga de privilegios para instalar programas o aplicaciones por su cuenta.
■■ No se emplea el correo electrónico corporativo para nada que no sea

estrictamente laboral. Antes de abrir un adjunto que pueda venir en el correo
electrónico, será escaneado, al menos, por el antivirus del host.
■■ Si el adjunto viene con un correo electrónico del que no se conoce remitente o

se trata de un correo no solicitado, directamente no se debe abrir.
Figura 2.6. Fuente: https://digitalguardian.com.
49
Ciberseguridad
■■ No se accede tampoco a las direcciones acortadas del tipo https://bit.ly/lo-

que-sea o similares, ni se hace clic donde pone “haga clic aquí”. Y lo mismo
aplicamos a los códigos QR. Evitaremos acabar en páginas de phishing o
landing pages con malware: no es lo mismo ir a www.wikipedia.org que a www.
wikiepdia.org (typosquatting)
Figura 2.7. Fuente: Wikipedia.
■■ No se inserta en el ordenador “ese” pendrive encontrado en el parking de

empleados. Ni aunque sea para buscar “pistas” sobre el propietario para
devolvérselo. No.
50
2. Ataques. Defensa
RESUMEN
■
A lo largo de este capítulo hemos visto que los ataques a sistemas informáticos han
pasado de ser una muestra de herramientas de programadores con el único objetivo
de lograr un reconocimiento entre su comunidad a un nuevo modelo de negocio,
totalmente ilícito, en el que se buscan dos objetivos:
■■ Conseguir, bien de forma voluntaria o de forma “accidental”, tener acceso a

información de una organización tal que la colocara en una posición de desventaja o
causara un perjuicio económico o a su reputación.
■■ Tener acceso a los recursos informáticos de una organización, de modo que puedan
ser empleados para beneficio del atacante, ya sea como plataforma de ataque a un
tercero (redes zombie, bots), ya sea para aprovechar sus prestaciones (minería de
■
monedas digitales).
Los atacantes realizarán una labor previa de evaluación de puntos y medios de acceso
a los recursos de la organización en función del objetivo que tienen marcado antes
de proceder a intentar acceder. La red, las máquinas, las aplicaciones, los datos y los
usuarios serán sus “puertas de acceso”, cada una con unas características y unos
recursos que serán atacados del modo que más probabilidades de éxito presente.
■
Pero se enfrentarán a una ardua tarea si el equipo de seguridad, de ciberseguridad, ha
“hecho los deberes” y ha bastionado el sistema de la organización. Estando al día en
cuanto a las últimas amenazas y sus medidas correctoras, monitorización del uso de la
red y concienciación del usuario final, la organización tendrá un porcentaje elevado de
posibilidades de resistir el envite.
■
Pero, la seguridad al 100 % NO existe, y siempre habrá un zero-day o un usuario con
un mal día… Estemos, como poco, preparados.
51
3 3
Ciberseguridad
DIDÁCTICA
UNIDAD
3. Ingeniería social

ÍNDICE
OBJETIVOS.................................................................................................................................................................. 57
INTRODUCCIÓN......................................................................................................................................................... 58
3.1. Definición............................................................................................................................................................... 59
3.2. Fases...................................................................................................................................................................... 60
3.2.1. Recopilación de información.................................................................................................................................. 60
3.2.2. Desarrollo de la relación........................................................................................................................................ 60
3.2.3. Explotación de la relación...................................................................................................................................... 61
3.2.4. Ejecución............................................................................................................................................................ 61
3.3. Fundamentos psicológicos................................................................................................................................... 62
3.4. Ataques.................................................................................................................................................................. 64
3.4.1. Masivos/dirigidos................................................................................................................................................. 64
3.4.2. Locales/remotos.................................................................................................................................................. 65
3.4.3. Físicos/psicológicos.............................................................................................................................................. 67
3.4.4. Hunting/farming................................................................................................................................................... 70
3.4.5. Ingeniería social inversa (RSE)................................................................................................................................ 71
3.5. Defensa.................................................................................................................................................................. 72
3.5.1. Comunicación...................................................................................................................................................... 72
3.5.2. Formación........................................................................................................................................................... 73
3.5.3. Entrenamiento..................................................................................................................................................... 74
RESUMEN..................................................................................................................................................................... 75
55
OBJETIVOS
■ Descubrir qué es la ingeniería social.
■
Concienciar sobre la importancia que tiene esta ciencia “analógica” para la ciberseguridad
de la organización.
■
Adquirir unas nociones sobre las técnicas, los motivadores psicológicos y los vectores
y medios más comunes con los que se lleva a cabo para ser capaces de reconocerla y
evitarla.
■ Conocer una serie de recursos para enfrentarse con éxito a un ataque de este tipo.
57
Ciberseguridad
INTRODUCCIÓN
Influencia, manipulación, provocación, recopilación 2. El primer movimiento siempre es de confianza

de información, psicología, ciencia, perfilado de la hacia el otro.
personalidad, modelado de las comunicaciones, 3. No nos gusta decir NO.
expresión facial, lenguaje corporal, confundir, pretextar,
secuestro emocional, rapport (atención mutua, 4. A todos nos gusta que nos alaben.
positividad mutua y coordinación) o hacking de capa Sus armas: las palabras, el lenguaje corporal, la
8 o… da igual cómo sea denominado. Al final es el interacción con la víctima, en suma; con ellas se
arte del engaño más refinado y menos tecnológico manipula, se rompe el eslabón más débil de la
que hay, pero de resultados devastadores. seguridad: el ser humano.
A cualquier sistema informático se le puede aplicar ¿Qué se puede hacer ante esta situación?
una política de hardening radical –modo paranoico- en
Educar. Formar. Concienciar. Las organizaciones
cuanto a software y a hardware se refiere, hasta llegar
deben seguir invirtiendo en herramientas tecnológicas,
a una seguridad extrema, casi perfecta. Pero resta
hardware y software, por supuesto, pero también
un último recurso, inseguro, que es el que custodia el
deben empezar a tomarse más en serio el papel
último acceso: el wetware, elemento fundamental e
complementario para la ciberseguridad que juegan los
imprescindible del sistema para el que ni ha habido ni
empleados, todos, no solo los de TI.
se espera haya una versión actualizada que corrija sus
vulnerabilidades. Si un empleado descontento es peligroso por el daño
que puede hacer conscientemente, no lo es menos
Wetware: término con que se define al elemento humano
otro poco cuidadoso que, por ejemplo, abre todos los
de un sistema informático. Humanware, HumanOS o Capa
8 son otras formas (más o menos jocosas) de referirse a adjuntos de todos los correos electrónicos que recibe.
las personas. Y para tener éxito en esta labor de concienciación
nada mejor que, volviendo a citar a SunTzu: “El arte de
Y el comportamiento de las personas está la guerra nos enseña a confiar no en la probabilidad
perfectamente estudiado y se ha demostrado que, de que el enemigo no venga sino en estar preparados
estadísticamente, tendemos a responder de manera para recibirle; no en la posibilidad de que no ataque
parecida ante los mismos estímulos. sino en el hecho de que hemos convertido nuestra
Esto es lo que llevó a Kevin Mitnick a promulgar sus posición en inexpugnable”.
“cuatro principios de la Ingeniería Social”en su libro
“The art of deception”
1. Todos queremos ayudar.
58
3.1. Definición
Según Chris Hadnagy, “La ingeniería social es una mezcla de ciencia, psicología y arte.
Si bien asombroso y complejo, es también muy simple”.
https://www.social-engineer.org/about
La ingeniería social es la ciencia y el arte de hackear a las personas, de persuadir a las

víctimas a realizar ciertas acciones que en principio no están dispuestas a hacer, ya
sea vulnerar la seguridad de un sistema o compartir información personal o privada.
Es la hábil manipulación de la tendencia humana a confiar en los demás.
En su sentido más amplio, es la manipulación psicológica de la víctima por parte del

atacante para obtener una respuesta concreta.
En el contexto del delito cibernético se describe como un método no técnico utilizado

por los cibercriminales para obtener información, realizar un fraude o lograr un acceso
ilegítimo a un sistema informático.
Se trata de una manipulación habilidosa de la tendencia humana natural a la confianza

en los demás que facilita un ataque posterior.
No importa que el ataque tenga un objetivo grande o pequeño: la ingeniería social

va a estar presente siempre, como poco en su fase inicial, porque es el ataque más
fácil que existe y el que tiene un ROI alto, ya que su porcentaje de éxito -y por ende
beneficio obtenido- es elevado, frente a unos costos de ejecución reducidos.
Beneficio − inversión
ROl =
Inversión
Y esta habilidad viene “de serie” con el ser humano. De hecho, nacemos siendo un
poco ingenieros sociales, basta mirar alrededor: ¿Acaso un niño pequeño o un bebé
no son capaces de lograr sus deseos “hackeando” a sus padres? Para obtener ese
caramelo, por ejemplo, les basta con “poner ojitos”; o cambiar de objetivo: los abuelos
son víctimas más propiciatorias. A partir de aquí...
59
Ciberseguridad
3.2. Fases
Los ataques de ingeniería social, como ocurre con los ataques informáticos que vimos
anteriormente, comparten un patrón común en su desarrollo que consta de cuatro
fases: recopilación de información, desarrollo de la relación, explotación de la relación
y ejecución del ataque.
3.2.1. Recopilación de información

A través de cualquier técnica que permita al atacante obtener alguna información
sobre la víctima que servirá para iniciar una relación con ella.
Internet y las redes sociales son fuentes valiosas de información, tanto personal como
laboral, que facilitan la labor de recolección. No en vano el ser humano es social
por naturaleza y cuando se expone públicamente lo hace con un cierto orgullo, con
intención de destacar sobre los demás. Y la forma de destacar es “vendiéndose”,
haciendo pública más información propia de la recomendable, tanto de su ámbito
privado como profesional. De ese modo se pone en peligro tanto a la persona como
a la organización.
3.2.2. Desarrollo de la relación

Una vez que el ingeniero social elige su objetivo se convierte en otra persona. Con la
información obtenida en el paso anterior desarrollará un personaje capaz de ganarse
la confianza de la víctima y comenzar una relación que le permita explotarla para lograr
su meta.
Cuando atacante y víctima coincidan “casualmente,” la situación será hábilmente

manipulada por el ingeniero social hacia un terreno común. Ahora el atacante hará uso
de sus habilidades manteniendo el interés de la conversación en la víctima, haciéndole
preguntas clarificadoras sobre algún aspecto, repitiendo lo dicho para enfatizar la
atención, sonriendo siendo cordial y educado y llevando la relación hasta lo personal
pero sin pasar del punto justo para que la víctima se sienta cómoda, confiada y baje
las defensas que instintivamente levantamos ante los desconocidos. El terreno está
abonado.
60
3.2.3. Explotación de la relación

El objetivo, siguiendo los patrones normales de comportamiento, se encontrará
con las defensas bajas, relajado ante la confianza que le merece el atacante. Este
dirigirá la conversación de modo que la víctima se reafirme en su impresión sobre la
cordialidad del otro, la similitud de gustos y aficiones. La forma de obtener información
será sutil, sin preguntas directas o comprometidas que puedan levantar sospechas. Al
contrario, a base de una conversación amigable con preguntas sencillas, que le irán
proporcionado retazos de valiosa información, terminará predisponiendo a la víctima
a compartir una información personal o empresarial reservada que normalmente no
comunicaría fuera de su ambiente.
3.2.4. Ejecución
Una vez que el atacante obtenga lo que buscaba, se abrirán dos caminos con dos
posibilidades dispares: desaparecer de la escena o mantenerse oculto, en función
de que el tipo de ataque ejecutado sea de hunting o de farming, cuyas definiciones
veremos más tarde. En cualquier caso, aquí acaba el ciclo.
61
Ciberseguridad
3.3. Fundamentos psicológicos

En un ataque dirigido el ingeniero social estudiará a su objetivo: necesidades,
sentimientos, temores, rutinas, gustos, aficiones, curiosidad... Todo ello será
aprovechado para el acercamiento, creando un ambiente psicológico adecuado para
el ataque con la meta final de convencer al objetivo de que el ingeniero social es una
persona de confianza a la que se puede revelar esa información, que además no
“pedirá”, sino que le será brindada por la víctima poco a poco, a cambio de simpatía,
comprensión, admiración..., por lo que sea que la víctima necesite.
O bien, en lugar de realizar una aproximación amable, cabe la posibilidad de que el

atacante lo haga de una forma mucho menos amistosa, bajo amenazas y mentiras.
En el primer caso se influye sobre la víctima, de un modo elegante; en el segundo

se la manipula a través de una distorsión de la realidad, de un modo más rápido y
traumático.
Los fundamentos psicológicos en que se basa la ingeniería social son:
■■ Reciprocidad: respuesta instintiva del ser humano con la que pretendemos

“compensar” al otro cuando recibimos algo de él. El quid pro quo latino que
puede llegar al extremo de que una persona confiese cuál es su contraseña a
cambio de un bolígrafo, por participar en un supuesto concurso de la empresa
a la contraseña más robusta usada por sus empleados...
■■ Confianza: nuestras defensas bajan cuando el interlocutor es amigable, cae bien

y, además, está alineado con los propios intereses. Lo mismo ocurre cuando
sospechamos de lo que solicita, pero si resulta que se lo han pedido a otras
personas y estas han accedido a ello, se tiende a hacer lo mismo que el grupo.
■■ Ego: otro potente motor para hackear la mente con un ataque directo es apelar
a la vanidad de las personas. Si se provoca adecuadamente, la víctima hará
todo lo posible por probar su inteligencia e importancia sin darse cuenta de
la maniobra. Y si cada vez que lo hace es “premiada”, reafirmándole en sus
convicciones, el ataque será un éxito.
■■ Autoridad: usurpando la identidad de un mando superior el atacante tiene

más probabilidades de éxito cuando solicita una información o una acción a
un subordinado del suplantado. Si lo hiciera el becario de turno, lo miraría con
recelo, pero ante el jefe todo son genuflexiones.
■■ Urgencia: la presión para actuar rápidamente so pena de perder una ocasión

como la que nos ofrecen. “Últimas unidades”, “si en 24 horas no ha contestado
entenderemos que no desea /deshabilitaremos esta cuenta de correo...”, “dona
ahora o estos niños morirán de hambre…”
62
■■ Miedo: uno de los sentimientos más poderosos en el ser humano y que dispara
automáticamente los mecanismos de defensa para alejarnos del peligro. Si un
atacante es capaz de imbuir miedo en la víctima a la par que le ofrece una salida
fácil y rápida para esa situación, estará en disposición de conseguir lo que busca
a través de una respuesta irreflexiva y automática.
Estas son las herramientas de las que se valdrá un ingeniero social para conseguir
ganarse la confianza de su víctima, ya esté ejecutando un ataque cara a cara o trate
de engañarla vía correo electrónico fraudulento, por ejemplo.
La elección de unas u otras y la forma de emplearlas vendrá dada por el estudio de las
características del objetivo y la meta que se quiera lograr.
No obstante, hay que hacer notar que un ingeniero social es una persona con una
gran habilidad social y rapidez de reflejos, por lo que será capaz de cambiar su plan
de actuación sobre la marcha, en función de cómo se desarrolle el ataque.
63
Ciberseguridad
3.4. Ataques
Los ataques de ingeniería social se pueden clasificar de muchas maneras, como casi
todo, dependiendo del enfoque que se quiera dar.
Como el objetivo de este módulo es el de dar unas nociones lo más amplias posible,
pero sin entrar en demasiada profundidad en cada uno de los puntos que se tocan,
se muestran a continuación distintas clasificaciones que en ningún caso significa
necesariamente que el concepto que se encuentre en una de ellas no tenga cabida
en alguna de las otras.
Así, se han hecho cuatro clasificaciones, atendiendo a la cantidad de objetivos a

los que se dirige el ataque, a la ubicación de atacante y víctima, a las herramientas
empleadas y, por último, a la duración de la explotación de la víctima.
3.4.1. Masivos/dirigidos
Una primera clasificación, generalista, podría ser en función del grado de elaboración
del ataque y el número de objetivos por ataque.
3.4.1.1. Masivos
Son la mayoría, por lo “barato” que salen. Son ataques impersonales, toscos,
descuidados en la forma y en el fondo, y por tanto fáciles de detectar y contrarrestar.
Aún así, hay un número de víctimas elevado que cae, por lo general de “poco valor”,
pero que dado el escaso esfuerzo que requiere lanzar este ataque ofrece un rendimiento
alto. Y, no olvidemos, pueden ser un trampolín para un ataque de mayor nivel.
Es el clásico ataque de phishing que llega vía correo electrónico de un, por ejemplo,
banco extranjero con el que no tenemos ninguna relación, redactado de forma
incorrecta y que nos quiere “devolver” un dinero recaudado por error. O el de la factura
falsa de Endesa.
3.4.1.2. Dirigidos
Minoritarios, pero en crecimiento. Spear phishing y Whalling. Estos se dirigen ya a
un objetivo concreto, de mayor valor para el atacante, por lo que se trata de ataques
mucho más elaborados, meticulosos y totalmente “personalizados”. Aunque se podría
pensar que debido al perfil del destinatario es más difícil que “piquen”, eso no es así,
ya que antes de ser lanzados tienen un trabajo de campo realizado previamente para
reconocer a la víctima y “ofrecerle” lo que “necesita”.
Buscar la biografía de Víctor Lustig, el hombre que vendió dos veces la torre
Eiffel y timó a Al Capone.
64
Independientemente de cuál sea la técnica empleada para obtener el resultado

pretendido, todos los ataques tienen una característica común: se consigue de una
forma discreta tal, que la víctima a menudo no es consciente de haber sido atacada ni
de que su equipo haya sido infectado, pues no hay ventanas emergentes “avisando”
de decenas de virus identificados tras un escaneo (obviamente no solicitado… ni
real) ni mensajes intimidatorios acerca del cifrado del contenido de la información y
exigiendo un rescate por ella.
3.4.2. Locales/remotos
Otra posible clasificación, no excluyente de las demás, puede ser en función del lugar
en el que se realiza o desde el que se lleva a cabo el ataque. Así, se puede hablar de
ataques locales y ataques remotos.
3.4.2.1. Locales
Consideramos locales los ataques que se realizan en el mismo lugar en que se
encuentran tanto el objetivo como, obviamente, el atacante. Estos son los más difíciles
de ejecutar pues requieren un enfrentamiento cara a cara con la víctima, lo que por un
lado aumenta el riesgo para el atacante, pero por otro lado un buen ingeniero social
sacará un rendimiento realmente alto de ellos.
¿Cómo se llevan a cabo?
Pueden ser tan sencillos como que un extraño que aparezca en recepción con cara de
despistado/desbordado, vestido con ropa de trabajo y un logo cosido en su camiseta,
cargado con un maletín de herramientas. ¿A quién se le ocurriría pensar que no es
un “becario” o un nuevo empleado del grupo de soporte informático? El pretexto no
puede ser más simple ni más efectivo: sabe qué es lo que tiene que hacer, qué reparar,
pero no dónde, ya que es la primera vez que está ahí. Necesita información, que le
ayuden para poder hacer bien su trabajo; y no es cortés ni educado no facilitársela,
amén de que la misión del personal de recepción o del help-desk es precisamente
esa. Y si añadimos que da un poco de pena... Ya está dentro.
Pretexting. Crear y usar un escenario inventado para engañar a la víctima de

tal forma que aumenten las posibilidades de éxito para el atacante.
O tal vez sea ese aspirante a un puesto de trabajo que llega a entregar su currículum al
jefe de Recursos Humanos, precisamente el mismo día en que este ha empezado sus
vacaciones, que llevado por su nerviosismo rasga o mancha de café el documento.
¿Cómo va a ser capaz de negarse a imprimir uno nuevo la secretaria cuando el
“aspirante” le entrega un USB donde lo lleva en formato electrónico?
65
Ciberseguridad
Pero si hay alguien que realmente pasa desapercibido en unas oficinas es el personal
de limpieza. Cierto es que suelen ser personas habituales, pero tampoco nos extraña
que de cuando en cuando venga personal nuevo, con ropa nueva y se encargue de
limpiar las mesas de trabajo, de vaciar las papeleras...
Esta activida se llama Dumpster diving o Trashing hurgar en la basura. Con las prisas
y la comodidad, no siempre se pasan los papeles por la trituradora antes de tirarlos.
O si no hay una política adecuada para deshacerse del material informático obsoleto
o no se hace un borrado, desmagnetizado o incluso rotura física de un disco duro o
una memoria USB, estos pueden acabar en la basura, en un punto limpio, donados a
una ONG… ¡o en un mercadillo!
Acudir a un mercadillo, tipo rastro, o tienda de segunda mano (algo más

caro y menos productivo) y adquirir un disco duro o tarjeta de memoria de
segunda mano. Nos sorprenderá el resultado.
Pero antes de poder acceder al interior, habremos de pasar los filtros de seguridad
que, supuestamente, están controlados por personal especializado y preparado.
Que lo están. Pero, ¿también para contrarrestar la ingeniería social? ¿El Tailgating?
Posiblemente no conozcan ni el nombre, pero es cómo se denomina al hecho de
“colarse” entre un grupo de empleados a través de un control de acceso. Y ahora que
hay que salir a la calle a fumarse un cigarrillo, ¿está pendiente el vigilante de cuántos
salen, de si se ha acercado alguien a pedir fuego y se ha quedado charlando con ellos
para entrar después con el grupo?
3.4.2.2. Remotos
En contraposición a los locales, el atacante se sitúa fuera de la ubicación en que se
encuentra el objetivo. Ahora su medio para convencer a la víctima es la tecnología: una
llamada de teléfono, un mensaje de correo electrónico, un SMS…
El atacante no está sometido a la presión del cara a cara, pero tampoco juega con
la interacción humana a su favor. En este tipo de ataque el éxito se asienta sobre
un trabajo de campo previo sobre la víctima, tal que esta ya esté predispuesta a
creer el pretexto forjado por el ingeniero social. O, simplemente, se envían miles de
correos electrónicos con la esperanza de que alguno de los destinatarios sea cliente
del banco y esté esperando la devolución del Impuesto sobre la Renta o tenga un
corazón sensible y quiera ayudar a esa pobre chica rusa que solo busca un marido
fuera de su país…
66
Dentro de este grupo hay uno brillante. Recibes un mensaje por WhatsApp de un
desconocido que te dice que hace años él tenía ese número de móvil, que estableció
como el de recuperación de un servicio web en caso de olvido de contraseña, lo
que acaba de ocurrirle. Te pregunta si molestaría el reenviarle el código que en breve
te llegará, si no tienes inconveniente. ¿Quién se va a negar? Es hacer un favor a un
usuario que no puede acceder a su ¿correo? ¿banco? ¿perfil de red social? Da igual.
No nos cuesta nada hacerlo y así se lo decimos. Al momento de darnos las gracias
nos llega un SMS con el código de verificación, que copiamos, pegamos y enviamos
a nuestro amable desconocido. Este nos da las gracias por haberle salvado la vida…
pero se olvida mencionar que nuestra cuenta de lo-que-sea acaba de dejar de ser
nuestra. Un ataque de ingeniería social de libro, en remoto, apoyado en las propias
herramientas de recuperación de acceso de la aplicación pretextada.
3.4.3. Físicos/psicológicos
Una tercera clasificación, entremezclada con las anteriores, en la que el criterio
empleado es el de la herramienta motivadora: física o psicológica.
3.4.3.1. Físicos
Aquí el cebo rey es el pendrive “perdido” accidentalmente en el aparcamiento, o que
se ha caído de un bolso o de un bolsillo en los lavabos. La intención inmediata de
cualquiera que se lo encuentre es la de devolvérselo al desafortunado propietario que
lo ha perdido, y para eso no queda otra que conectarlo en un ordenador para ver si
entre la información que guarda hay algo que lo identifique.
Claro que lo más fácil es que contenga, entre otros, un fichero del tipo *.bat que
se autoejecuta nada más conectarlo al PC. Ese autoexec.bat, oculto por supuesto,
puede limitarse a recolectar contraseñas almacenadas, a grabar pulsaciones de teclas
o puede establecer un backdoor que deje la estación de trabajo a merced de un
atacante.
¿Hay alguna diferencia entre un USB perdido y ese otro en que el solicitante
del puesto de trabajo llevaba su CV?
Pero si un USB perdido puede levantar sospechas y ser entregado “a los de informática,
que ellos sabrán” ¿quién se resiste a un regalo? Porque podría ser que un comercial
nuevo en la zona, ansioso de tener una oportunidad para vender su producto deje,
como detalle, media docena de cargadores USB para smartphone, que sin duda irán
a parar a la dirección de la empresa, junto con la publicidad del producto ofertado.
67
Ciberseguridad
3.4.3.2. Psicológicos
Son, básicamente, cualquiera de los ataques de ingeniería social. Tanto da que se
haga vía teléfono, correo electrónico o cara a cara. El ataque va directo contra la
mente de la víctima.
Supongamos que se quiere conseguir el nombre y número de extensión interior de un

directivo de la empresa. Da igual que un atacante, haciéndose pasar por un técnico
de soporte, se presente físicamente o que llame por teléfono cuando su objetivo es el
empleado que atiende la centralita telefónica. ¿Por qué? Tiene mucha y valiosa, aunque
poco valorada, información a su alcance: TODA la organización, el quién es quién y
dónde localizarle. Pero desarrolla un trabajo de escasa especialización, tan monótono
y repetitivo, acostumbrado a facilitar constantemente información, posiblemente sin
entrenamiento en seguridad, que basta una palabra amable, un poquito de empatía
para conseguir un nombre, un cargo, una extensión...
En el punto de “Fundamentos psicológicos” decíamos que la urgencia y el miedo eran

herramientas del Ingeniero Social. Correctamente usados sobre la víctima propicia, en
este caso parte de un ataque masivo, consigue resultados en cuestión de minutos.
El usuario recibe un correo “avisándole” de la suspensión de su cuenta de correo
electrónico y urgiéndole a solucionarlo mediante la cumplimentación de un sencillo
formulario: nombre, apellidos, cuenta de correo electrónico, fecha de nacimiento,
contraseña... El miedo a perder la cuenta de correo, sumado a la urgencia para
evitarlo más la facilidad brindada para evitarlo mediante un formulario con unos datos
básicos y conocidos se combinan para que la víctima facilite una respuesta inmediata
e inconsciente, sin detenerse a pensar.
68
Figura 3.1. Respuesta a un phishing (caso real).
Una vez se hicieron con el control de la cuenta de correo, el siguiente paso de los
delincuentes fue preparar un correo del tipo spear-phishing dirigido a todos y cada
uno de los contactos de la libreta de direcciones de la cuenta, que durante varios días
se mantuvo hackeada, que no secuestrada. Afortunadamente, a uno de los contactos
que recibió el correo le causó gran extrañeza una petición de dinero tan extravagante
de una conocida y tuvo el buen criterio de telefonear al marido de la víctima, amigo
suyo, antes de transferirlo.
Nótese la complejidad de la contraseña de la cuenta de correo. Su resistencia

a un ataque de fuerza bruta se puede comprobar en:
https://howsecureismypassword.net/
69
Ciberseguridad
Tras el envío masivo de correos el atacante trató de eliminar su rastro borrando todos
los enviados con el cebo… ¡pero se olvidó de borrar el que la víctima envió con sus
datos de acceso!
La historia terminó felizmente al recuperar el control de la cuenta de correo con un

simple cambio de contraseña más compleja que la anterior.
3.4.4. Hunting/farming
Cuando un ingeniero social se fija un objetivo no escatimará tiempo en la preparación
del ataque para contar con las máximas garantías de éxito. Y una vez lanzado el
ataque, empleará el mínimo tiempo necesario para lograr lo que busca. En función
del tiempo que permanezcan obteniendo información podemos hablar de técnicas de
hunting o de farming.
Figura 3.2. Fuente: https://akifrases.com/frase/142163.
3.4.4.1. Hunting
El hunting se da cuando el atacante busca una información específica y muy concreta,
y su interacción con la víctima termina tan pronto la consigue. De esta manera se llega
a la cuarta fase del ciclo, y el atacante “desaparece” de la escena.
Se caracteriza por llevarse a cabo con la mínima exposición directa posible y escaso
o nulo contacto personal.
La información obtenida será empleada, generalmente, como apoyo facilitador para

una acción posterior. Podría tratarse de una contraseña de acceso a un servidor,
del nombre del director de recursos humanos o la cuenta del correo electrónico
corporativo del director general…
70
3.4.4.2. Farming
El farming es totalmente opuesto al hunting, ya que el atacante busca mantener el
acceso a la víctima durante el máximo tiempo posible, “exprimiéndola” para obtener la
mayor cantidad de información posible o aprovecharse de sus recursos.
La instalación de un troyano, de un keylogger o de un backdoor es un ataque que

responde a este tipo, ya que buscan permanecer en el sistema sin ser detectados
la mayor cantidad de tiempo posible. Para ello se valdrán de artimañas para que el
usuario descargue y ejecute un adjunto malicioso, visite una página web falsa…
3.4.5. Ingeniería social inversa (RSE)

La Ingeniería Social Inversa, o RSE por sus siglas en inglés (Reversing Social
Engineering) es una táctica en la que el atacante se muestra como la solución a un
problema que ha creado él.
Esta táctica se desarrolla a través de tres pasos básicos:
1. Sabotaje inicial.
2. Asistencia.
3. Infiltración.
El ingeniero social crea un problema, real, que provoca un impacto en el sistema y se
asegura de que ese problema se conozca.
A continuación “aparece” y se ofrece a resolverlo. Para ello hace gala de sus

conocimientos sobre el particular (no en vano ha sido él quien ha provocado el
problema) lo que le coloca en una posición psicológica de autoridad frente a los
demás, ofreciéndose a resolverlo.
Impelida por la urgencia para continuar con su trabajo, o incluso temiendo haber sido
responsable del problema, la víctima aceptará agradecida el ofrecimiento de ayuda. A
partir de este momento o tras haber solucionado el incidente, el atacante, ayudándose
del ascendiente logrado sobre los miembros de la organización que le prestarán cuanta
ayuda precise, se encuentra en disposición de cumplir su objetivo.
Es esta una técnica compleja, poco habitual pero sumamente efectiva, que presenta
un elevado grado de dificultad para su ejecución. Previamente exige una buena
cualificación técnica del ingeniero social, quien además deberá emplear gran cantidad
de tiempo y recursos en la investigación del objetivo y en la preparación del ataque.
Por ello, la defensa frente a este tipo de ataques es la más difícil, ya que la víctima se
encuentra en la necesidad vital de que el incidente sea solucionado y el atacante, lejos
de ser percibido como una amenaza, lo es como una valiosa ayuda.
Una modalidad online de este ataque, lanzado de forma masiva e indiscriminada, es

el llamado scareware: programa malicioso que a través de pop-ups informa al usuario
de una falsa infección en el sistema, ofreciendo al mismo tiempo el “único” software
capaz de eliminarla. Táctica burda que basa su éxito en la conjunción de un usuario
poco avezado más la motivación del miedo a un daño inmediato.
71
Ciberseguridad
3.5. Defensa
Reconocer un ataque de Ingeniería Social es esencial para una protección adecuada.
Y mientras llega ese ataque se deben tomar unas medidas básicas: No revelar
información personal ni datos confidenciales a través de canales no seguros, tener
cuidado al compartir información, evitando la exposición en internet y redes sociales
(estos datos facilitan el trabajo del ciberdelincuente), tener instaladas y actualizadas
aplicaciones antivirus y antimalware en las estaciones de trabajo examinar y verificar
cuantos ficheros adjuntos se reciban, independientemente de que se conozca o no al
remitente y, por último, lo más difícil: sentido común y precaución.
Debemos ser conscientes de que la Ingeniería Social es tanto física como digital, tan
antigua como actual (¿os suena el timo de la estampita? En la película española de
1959, Los tramposos vemos un ejemplo claro de Ingeniería Social: la urgencia por
coger el tren, la avaricia, la confianza -en el alzacuellos-…)
La preparación mediante una concienciación continua es la mejor defensa en este

caso. La realización de “ataques controlados” (pruebas de penetración) con una
retroalimentación adecuada, seguimiento y análisis permitirán mitigar este riesgo.
Comunicación, formación y entrenamiento son las armas que permitirán a la

organización defenderse frente a los ataques de ingeniería social.
3.5.1. Comunicación
Todo el personal debe conocer y adoptar las medidas de seguridad establecidas en
la política de ciberseguridad, cada uno en función de su rol, de sus privilegios dentro
Con carácter general se debe dar difusión y conocimiento a esas políticas, definir
los procesos más sensibles para la organización, qué se puede hacer y qué no con
la información que se conoce por motivo del puesto de trabajo y las repercusiones
potenciales sobre el conjunto en caso de que las políticas no se cumplan. En todo
caso unos mínimos podrían ser:
■■ Normas de acceso a los recursos de la organización.
■■ Política de contraseñas.
■■ Cómo manejar la información sensible.
■■ Uso de dispositivos personales en la red corporativa (USB, tablets,

smartphones...).
■■ Cómo, cuándo y a quién reportar e informar sobre un incidente de seguridad.
72
3.5.2. Formación
Con objeto de que la organización funcione como un todo en lo que a seguridad se
refiere, es necesario que las políticas de seguridad sean conocidas por el total de los
trabajadores, independientemente del puesto que desempeñen o que pertenezcan o
no a ella.
Esas normas deben ser accesibles, comprensibles y estar actualizadas. Del mismo
modo se aconseja la realización de talleres de concienciación de forma periódica,
anualmente sería lo idóneo, con el fin de mantener el nivel de atención de los empleados.
La formación es la mejor herramienta para proteger la organización de las amenazas y

reducir su probabilidad de éxito en caso de que se lleven a cabo. La forma de lograrlo
es conseguir que el personal sea consciente de que se está sometido a amenazas
y de que conozcan tanto las técnicas que los atacantes pueden emplear como las
medidas para contrarrestarlas.
Esta formación debe incluir, sin limitarse a ello:
■■ Políticas de seguridad.
■■ Concienciación sobre los daños que un incidente pueden causar a la organización,

así como sobre su responsabilidad en el mantenimiento de la seguridad de la
organización.
■■ Importancia de un riguroso control de acceso a las instalaciones.
■■ Riesgos que conlleva el uso de dispositivos ajenos a la organización (USB

particulares o “encontrados” en el aparcamiento o en los lavabos, tabletas,
smartphones o portátiles tanto personales como de personal ajeno...).
■■ Riesgos de la instalación de software no suministrado por la organización (en

caso de que el usuario tenga privilegios suficientes para ello).
■■ Proactividad frente a adjuntos en correos electrónicos y enlaces directos.
■■ Verificación del solicitante ante peticiones de información personal o sensible

por teléfono, correo electrónico o mensajería instantánea. Si es necesario se
devuelve la llamada para facilitar la información requerida.
■■ Concienciación sobre la exposición de datos personales y laborales en internet:

redes sociales personales como Facebook, o profesionales como linkedin son
auténticos filones para los ingenieros sociales.
73
Ciberseguridad
3.5.3. Entrenamiento
Y como información no es sinónimo de conocimiento, se hace imprescindible la puesta
en práctica de lo aprendido en los talleres de concienciación. ¿Cómo? Llevando a
cabo de forma periódica, también, ataques controlados y auditorías de seguridad.
Sobre todos los empleados, pues independientemente del puesto que ocupen en
la estructura, todos forman parte de ella y son un potencial punto de acceso y de
pivotaje para un atacante.
Por un lado el propio departamento de IT pueden hacer esos ataques controlados

mediante herramientas y técnicas propias de hacker para comprometer el sistema y
a los usuarios; por otro, la contratación de una auditoría de seguridad con todas las
garantías legales dado el nivel de acceso a información privada que puede llegar a
alcanzar.
74
RESUMEN
■
Los recursos humanos son el factor más descuidado en las organizaciones, fuera de
los departamentos de IT, en lo que a concienciación sobre la seguridad se refiere.
■
Irónicamente, son bien el primer punto de acceso a los sistemas bien su última barrera
de defensa ante una intrusión. Una vez las organizaciones se dan cuenta de ello,
normalmente de una forma traumática, toman las medidas oportunas pero ya con
carácter reactivo.
■
Con el estudio de este capítulo se han adquirido unas nociones generales acerca de
qué es la Ingeniería Social, cuáles son sus métodos y tácticas, y de cómo una actividad
analógica, ha llegado a convertirse en la punta de lanza de los ciberataques dirigidos
más exitosos.
■
Se ha visto que un ataque de Ingeniería Social, sea del tipo que sea, se ajusta a un
proceso de cuatro fases, en cada una de las cuales se puede actuar para que el ataque
fracase:
1. La fase de recopilación de información se ve dificultada si la disponibilidad de la

misma es escasa o nula. Se debe controlar la información relativa a la empresa que
se hace pública.
2. La fase de desarrollo de la relación de confianza se dificulta con la concienciación
de los usuarios sobre la importancia de cuánto conocen en virtud de su puesto y en
cómo puede ser aprovechado por un atacante.
3. La fase de explotación, en la que la información pasa de víctima a atacante, se
dificulta de modo análogo a la de la fase anterior. Concienciación del usuario sobre
la difusión de información corporativa fuera del ámbito laboral, especialmente ante
extraños, por muy cordiales que parezcan.
4. La fase de ejecución no tiene, por cuanto significa, más solución que la de que el
■
atacante no llegue a ella. Una vez llegado ahí nada se puede hacer.
La dirección de la organización, como última y máxima responsable de su correcto
funcionamiento, debe ser consciente de la existencia de este riesgo, para el que no hay
solución tecnológica alguna, y proveer de formación, concienciación y actualización a
la totalidad de los empleados, sin excepción.
■
Como bien reza el dicho: una cadena se rompe siempre por el eslabón más débil. En
la cadena de la seguridad el eslabón más débil es el ser humano y, de entre estos, el
más débil es siempre el menos concienciado.
75
4
Ciberseguridad
4
DIDÁCTICA
UNIDAD
4. Hacking ético-preparación del ataque

ÍNDICE
OBJETIVOS.................................................................................................................................................................. 81
INTRODUCCIÓN......................................................................................................................................................... 82
4.1. Objetivos de un pentesting. Definición................................................................................................................ 83
4.2. Tipos de auditoría.................................................................................................................................................. 85
4.3. Metodología........................................................................................................................................................... 88
4.3.1. El equipo de auditoría........................................................................................................................................... 90
4.3.2. Reconocimiento: footprinting y fingerprinting............................................................................................................. 92
4.3.3. Alcance de la auditoría........................................................................................................................................ 111
4.3.4. Documentación relevante para un trabajo de pentesting........................................................................................... 112
4.3.5. Informe de intrusión externo. Auditoría básica a máquina virtual ................................................................................ 116
RESUMEN................................................................................................................................................................... 129
79
OBJETIVOS
■ Dotar al alumno de una visión en conjunto de qué es una auditoría de hacking ético.
■
Definir los distintos tipos de auditoría existentes y su alcance dentro de la competencia del
hacking ético.
■
Describir el proceso de auditoría de hacking ético y los programas utilizados para ello.
■
Establecer una metodología de trabajo y pautas necesarias para la redacción de un
informe final.
■
Establecer un protocolo de actuación, seguimiento y adaptación para conseguir una
mejora en los resultados.
81
Ciberseguridad
INTRODUCCIÓN
El hacking ético es una disciplina profesional dentro Las empresas cada vez son más complejas, como
del campo de la seguridad informática que permite puede entenderse de la necesidad de realizar esta
evaluar el nivel de vulnerabilidad y el riesgo en el que serie de pruebas. Cada día se maneja mayor volumen
se encuentran los sistemas informáticos o los activos de información y esta debe ser protegida de manera
de una organización mediante un acuerdo previo con activa. La idea de acercarse a un pentesting continuo
el cliente. cobra vida desde hace tiempo en las empresas,
aunque los elevados costes de un equipo humano
Un auditor de seguridad puede realizar proyectos
dedicado a ello hacen que las empresas no puedan
de hacking ético a distintas organizaciones que así
realizar auditorías plenas en un rango temporal
lo soliciten. Realizar una de estas pruebas puede ir
pequeño.
desde una auditoría a un sitio web hasta una prueba
de estrés contra los servidores de la organización. Por otro lado, cada día va apareciendo un número mayor
Existen algunas pruebas más vistosas que otras, pero de incidentes de seguridad, no solo en pequeñas,
el objetivo es presentar al cliente de forma clara las sino también en grandes organizaciones desde hace
acciones que se van a repetir durante las distintas unos meses, todos los días nos levantamos con algún
pruebas y el resultado de estas. nuevo incidente de seguridad que ha desembocado
en el robo de los datos de una compañía, en el robo
Las pruebas llevadas a cabo en un proceso de
de las identidades de los empleados o en un fraude
auditoría son muy dispares y las iremos desgranado a
que obliga a la empresas víctima a realizar una
lo largo del temario.
comunicación con sus clientes, que no suele salir
Las auditorías son clasificadas en tres tipos: caja barata en términos de daño reputacional y, por tanto,
blanca, caja negra y caja gris. Este tipo de clasificación en términos económicos.
permite identificar el ámbito y contexto de actuación.
Es cierto que hoy en día hay cada vez más entidades
auditables, es decir, tecnología que debe ser evaluada
y de algún modo fortificada.
82
4.1. Objetivos de un pentesting. Definición

El objetivo principal de un proceso de hacking ético es el de realizar una serie de
pruebas acordadas con el cliente, la empresa u organización objeto, con el fin de
averiguar fallos de seguridad en algún ámbito que pueda afectar a la empresa y/o a la
producción de esta.
En líneas generales, el objetivo fundamental de un proceso de hacking ético es la de

detectar, investigar y explotar las vulnerabilidades existentes en un sistema de interés.
Es importante recalcar lo del interés, ya que si la información que contiene ese sistema
es menos valiosa que el tiempo que llevaría a un hacker acceder a ella, nadie la querría.
El pentesting llevado a cabo en un proceso de hacking ético verificará y evaluará

la seguridad, tanto física como lógica, de la red donde se encuentran los sistemas,
de los propios sistemas de información, de la configuración de los servidores, de
las bases de datos, de las aplicaciones, de los elementos para mitigar el impacto
de las amenazas e incluso de la concienciación de los empleados encargados en la
productividad empresarial.
¿Quiénes son los encargados de llevar a cabo este tipo de procesos? los conocidos
como hackers éticos son también conocidos como pentéster, y son los encargados
de realizar las pruebas de penetración o intrusión a los sistemas. Un hacker ético es
un experto en el campo de la seguridad, teniendo altos conocimientos en sistemas
de redes de datos. Su principal función es la de atacar los sistemas realizando las
pruebas que describiremos a continuación, haciéndolo en nombre de sus clientes,
siempre y cuando ataquen activos de estos. No hay diferencias importantes entre un
hacker y un hacker ético, ambos utilizarán sus conocimientos para lograr sus fines.
Por todo ello, surgió la necesidad de definir los distintos tipos de hackers. En el mundo
de la seguridad informática se suele denominar hacker de sombrero blanco a los
hackers éticos, debido a que en las películas del oeste el bueno siempre llevaba un
sombrero blanco y el malo un sombrero negro.
Un hacker de sombrero blanco atacará una empresa o activo de esta utilizando todo
su conocimiento y habilidades. Una vez conseguido el robo de esta información,
vulneración o merma de un servicio, informará a los responsables de la empresa para
que solucionen los fallos encontrados y, por lo tanto, fortifiquen y eleven la seguridad
de la empresa.
Un hacker de sombrero negro atacará una empresa o activo de esta utilizando todo
su conocimiento y habilidades. Una vez conseguido el robo de esta información,
vulnerabilidad o merma de un servicio, venderá dicha información a la competencia
de la empresa, la aprovechará para hacer daño económico o reputacional a esta o
chantajeará a los responsables de la seguridad informática de la empresa solicitando
un “rescate” a cambio de no hacer públicos o efectivos dichos ataques posibles.
Tras el ferviente crecimiento del interés por las nuevas tecnologías y el hacking en
general, han ido surgiendo individuos que no son puramente clasificables dentro del
grupo de hackers de sombrero blanco ni negro.
83
Ciberseguridad
Los hackers de sombrero gris son aquellos que, usando sus conocimientos, consiguen
encontrar una vulnerabilidad en un sistema para posteriormente informar a la empresa
afectada, pero solicitando algún tipo de remuneración a cambio de la información
antes de hacerla pública. No pueden encajarse dentro de sombrero blanco porque
la empresa no ha solicitado dicho trabajo, ni dentro de sombrero negro porque no
aprovechan los datos obtenidos para hacer un daño directo a la empresa.
Los hackers de sombrero verde podría, definirse como un “aprendiz de hacker”.

Todavía no tiene los conocimientos suficientes como para ser considerados de
sombrero blanco ni negro, por lo que serán encasillados en esta nomenclatura.
Los hackers de sombrero azul trabaja, fuera de las empresas de consultoría informática,
probando sistemas y buscando fallos antes de que salgan a producción para que
puedan ser parcheados.
Los script kiddie son un tipo de hacker que no pueden considerarse como tal. No
posee, los conocimientos suficientes para poder ser considerados hackers, pero
utiliza, herramientas y scripts que no entienden ni controlan para hacer sus ataques. A
menudo no saben que alcance tendrá su ataque, pero de igual modo lo ejecutan por
el placer de hacer daño.
Los hacktivista utilizan la tecnología y sus conocimientos para anunciar un mensaje

social, ideológico, religioso o político. La mayoría de los hacktivistas realizan ataques
de defacement de sitios web o de denegación de servicio DDoS (es un ataque a un
sistema de computadoras o red que causa que un servicio o recurso sea inaccesible
a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la
red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los
recursos computacionales del sistema de la víctima).
84
4.2. Tipos de auditoría

El objetivo de una auditoría de seguridad es el de generar un informe del estado de la
seguridad.
Podemos definir la auditoría según dos criterios:
■■ El conocimiento que se tiene de la estructura de la empresa.
■■ El origen de las posibles amenazas.
Según el conocimiento que se tenga de la estructura de la empresa, como

se verá a continuación:
■■ Auditoría de caja negra.
La auditoría de caja negra permite al auditor tomar el rol de un hacker, el cual

no conoce ninguna característica del interior de la empresa u organización. En
otras palabras, la visión global del sistema es ciega, ya que no se conoce cómo
se organizan interiormente los sistemas y redes. El auditor se encargará de
recopilar todo tipo de información sobre el objetivo esta información es pública,
y después irá tomando contacto con los sistemas y servicios públicos de la
empresa objeto.
Estas dos fases se suelen denominar footprinting a la recopilación de información

pública sobre el objetivo y fingerprinting a la fase de enumeración e interacción
con los sistemas y servicios públicos descubiertos.
Esta interacción permitirá al hácker estudiar vías de ataque y poder tener una
pequeña idea del ente al que se enfrenta.
■■ Auditoría de caja blanca.
La auditoría de caja blanca se enfoca en el rol de un usuario interno de la

organización o empresa, el cual dispone de acceso a los sistemas internos o a
la totalidad o parte de los datos críticos de esta.
En este tipo de auditorías se revisan configuraciones de sistema, políticas,

servicios y redes y códigos de aplicaciones, con el fin de encontrar puntos críticos
que permitan a los usuarios con cierto grado de privilegios obtener acceso. El
entorno empresarial puede ser un esquema complejo y foco de vulnerabilidades
que, aunque no se ven, existen. Es importante la realización de este tipo de
auditorías para comprobar lo que un usuario con ciertos privilegios puede llegar
a lograr.
Existen ciertas herramientas que pueden aportar una visión completa de los
sistemas y que permiten automatizar la auditoría. Hay que recordar que en un
proceso de hacking lo ideal es automatizar lo posible, sin perder el control sobre
lo que se está realizando, y realizar manualmente lo que se considere importante
detectar y, posteriormente, explotar.
85
Ciberseguridad
■■ Auditoría de caja gris.
La auditoría de caja gris permite al atacante tomar el rol de un cliente, un empleado

con pocos o ningún privilegio o un empleado de una ubicación concreta, por
ejemplo, un empleado de contabilidad. El auditor dispone de una visión a medias
de los sistemas, se encuentra dentro de la empresa, pero no dispone del mismo
nivel de acceso que en la caja blanca. Es, por ejemplo, realizar la auditoría desde
la posición de un empleado descontento que intenta acceder a la información
a la que no tiene acceso, simulando el ataque interno a la empresa. Un ejemplo
sencillo sería simular un empleado del área de contabilidad que quiere acceder
a información almacenada en un servidor, a la cual solo tiene acceso un
administrador. El empleado intentará conocer la infraestructura interna, aunque
puede conocer algo de ella, intentará elevar privilegios probando identidades de
otros compañeros hasta lograr su objetivo o buscando una brecha de seguridad.
Es importante remarcar que antes de comenzar a realizar este tipo de auditoría

sea del tipo que sea hemos de concretar con la empresa objeto de la auditoría,
o sea, nuestro cliente, qué tipo de auditoría desea, para centrarnos única y
exclusivamente en las necesidades solicitadas.
Según el origen de las posibles amenazas diferenciaremos dos tipos de

auditorías:
■■ Auditoría interna.
Su objetivo es evaluar la seguridad de la red interna de una empresa ante la

posibilidad de recibir ataques por parte de un ciberdelincuente que haya
conseguido alcanzar la red interna o ataques provenientes del propio personal
interna de esta.
■■ Auditoría externa.
Su objetivo es evaluar la seguridad de la infraestructura de la empresa de ataques

realizados desde el exterior de su perímetro. Puede incluir la revisión de reglas
del firewall, configuración del IDS y del IPS, control de acceso a los routers,
control de ataques DDoS, etc…
IDS: un sistema de detección de intrusiones (de sus siglas en inglés Intrusion

Detection System) es un programa de detección de accesos no autorizados
a un computador o a una red.
86
IPS: un sistema de prevención de intrusos (por sus siglas en inglés Intruder

Prevention System) es un software que ejerce el control de acceso en una
red informática para proteger a los sistemas computacionales de ataques y
abusos. La tecnología de prevención de intrusos es considerada por algunos
como una extensión de los sistemas de detección de intrusos (IDS), pero en
realidad es otro tipo de control de acceso, más cercano a las tecnologías
cortafuegos.
Ataque DDoS: un ataque de negación de servicio, también llamado ataque

DoS (por sus siglas en inglés, Denial of Service), es un ataque a un sistema
de computadoras o red que causa que un servicio o recurso sea inaccesible
a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad
con la red por el consumo del ancho de banda de la red de la víctima o
sobrecarga de los recursos computacionales del sistema atacado. Un
ejemplo notable de ello se produjo el 27 de marzo de 2013, cuando el
ataque de una empresa a otra inundó la red de correos basura, provocando
una ralentización general de Internet e incluso a puntos clave como el nodo
central de Londres.
Los ataques DoS se generan mediante la saturación de los puertos con
múltiples flujos de información, haciendo que el servidor se sobrecargue y
no pueda seguir prestando su servicio.
87
Ciberseguridad
4.3. Metodología
Todo trabajo de auditoría se regirá por una metodología dividida en fases. No hay un
solo camino para hacerlo pero, para asegurarnos de la eficacia y rigor en el mismo
,tendrán que abarcar las siguientes fases:
Hemos de hacer notar que el proceso de auditoría no debería ser una acción puntual
aislada en el tiempo, sino que debería ser una actividad continua debido al continuo
avance y cambio sufrido por las tecnologías e infraestructuras. Por ello, el gráfico
anterior muestra una cadena de procesos que, al llegar al último paso, se vuelve a
empezar por el principio para asegurar un nivel de seguridad cercano lo más posible
al completo, aunque nunca se podrá llegar a una seguridad plena.
Fases
A continuación procedemos a enumerar cada una de estas fases, así como las
aplicaciones o web que suelen utilizarse para llevarlas a cabo:
1. Acuerdo y autorización:
□□ Se define el ámbito, los objetivos y el alcance.
□□ Se presupuesta el trabajo.
□□ El cliente debe autorizar al/los trabajador/es, mediante un contrato, a realizar

el trabajo.
□□ Se firma un acuerdo de confidencialidad con el cliente.
□□ Se fijan los tiempos de trabajo.
88
2. Reconocimiento y enumeración:
□□ Footprinting (recolección de información pública del objetivo en Internet):
●● Dominios y redireccionamiento (Whois, DIG, DNSRecon).
●● Información personal en RRSS (trabajadores, personal técnico, etc.).
●● Direcciones de correo electrónico (TheHarvester, Maltego).
●● Documentos indexados por buscadores (Google Dorks).
●● Información de metadatos (Exisftools, FOCA).
3. Escaneo y análisis:
□□ Fingerprinting, (recolección de información que consiste en interactuar

directamente con los sistemas para aprender más sobre su configuración y
comportamiento):
●● Análisis de puertos (nMap).
●● Dispositivos conectados a Internet y servicios (Shodan).
●● Escaneo web (WPScan, Joomscan, CMSmap, Plecost, Nikto).
●● Enumeración de directorios (dirb, burpsuite, wfuzz).
●● Escaneo de vulnerabilidades (Nessus, Acunetix, OpenVas).
●● Análisis manuales.
4. Explotación:
□□ Explotación de vulnerabilidades detectadas en la fase de escaneo:
●● Exploits.
●● Ataques MiTM (man in the middle).
●● DDos (Denial of service).
●● Ataques de diccionario y fuerza bruta.
5. Post-explotación:
□□ Escalar privilegios.
□□ Entender el entorno y a quien está detrás (information gathering).
□□ Descubrir listas de tareas (Netstat, bases de datos, …)
□□ Extraerde contraseñas (etc/passwd, etc/shadow, archivo SAM).
□□ Eliminar, bloquear o anular software de protección (antivirus, firewall, IDS).
89
Ciberseguridad
□□ Crear puertas traseras para un posterior acceso (crear persistencia en el

acceso al sistema).
□□ Pivoting (una vez comprometido un sistema, buscar otros dispositivos

conectados que puedan ofrecernos más control sobre la misma o información
adicional).
□□ Borrado de huellas (bien borrando las huellas que hemos generado con el
acceso al sistema o saturando de información basura los logs de este para
que sea más difícil nuestra identificación y modus operandi).
6. Generación de informe:
□□ El informe final ha de contener al menos:
●● Resumen ejecutivo.
●● Objetivos, alcance y nivel de seguridad final.
●● Descripción de la metodología utilizada.
●● Detalle de las vulnerabilidades encontradas clasificadas según el nivel de
riesgo.
●● Recomendaciones.
●● Conclusiones.
Hay que remarcar que no se realizan todas las acciones anteriormente descritas en
cada trabajo de pentesting. Todas estas acciones se irán seleccionando dependiendo
del alcance o de los intereses que necesitemos en cada caso concreto.
Las fases 4 (explotación) y 5 (post-explotación) se enmarcan en el siguiente módulo

del temario, hacking ético, ejecución del ataque.
4.3.1. El equipo de auditoría

El equipo de auditoría debemos diferenciarlo en dos partes totalmente distintas. Por
un lado, prepararemos un equipo técnico compuesto de personas y por otro el equipo
tecnológico que usaremos.
El equipo técnico lo definiremos sobre el contrato antes de comenzar la auditoría.

Analizaremos la carga de trabajo total que tendremos que desarrollar y el tipo de
acciones que ejecutar. Podemos necesitar expertos en redes que analizarán y
atacarán sistemas e infraestructuras de comunicaciones, expertos en programación
para implementar scripts que realicen ataques masivos a vulnerabilidades conocidas,
o incluso expertos en psicología social para realizar un ataque de OSINT profesional.
Siempre existirá un responsable del proyecto, el cual realizará las labores de

interlocución con los responsables de la empresa contratante del trabajo.
90
El resto del equipo que participará en la auditoría deberá ser reflejado en el contrato
de esta, indicando qué parte realizará cada integrante, así como el detalle de su CV
que pueda ser relevante para prestigiar el trabajo que realizaremos, como pueden ser:
■■ Cargo en la empresa.
■■ Trabajos anteriores importantes.
■■ Certificaciones de seguridad.
■■ Certificaciones informáticas.
■■ Charlas y conferencias realizadas.
■■ Titulaciones disponibles.
■■ Premios obtenidos.
■■ Valores añadidos.
En cuanto al equipo tecnológico que usaremos, dependerá totalmente de las
necesidades solicitadas, del tiempo que dispongamos y de las características propias
del proyecto. Además, tampoco hay una única ruta que seguir, pues, por ejemplo,
para realizar una búsqueda de información de la empresa en Internet podemos usar
desde nuestro ordenador portátil, nuestro smartphone o un ordenador ARM. Lo que
sí ha de llevar consigo un hacker obligatoriamente es un ordenador portátil con un
sistema operativo con herramientas de pentesting.
Existen distribuciones Linux enfocadas concretamente a auditorías, como pueden ser:
Última versión (a 28 de
Distribución Basado en Logo
octubre de 2018)
Kali Linux Debian GNU/Linux 2018.3 (Rolling) (21-08-18)
Parrot Sec OS Debian GNU/Linux 4.2.2 (10-09-2018)
GNU/Linux y DART (Digital

DEFT Zero Advanced Response 2018.2 (01-09-2018)
Toolkit)
Figura 4.1. Fuente: web oficial de Kali Linux https://www.kali.org/, Parrots Sec OS https://www.parrotsec.org/, y DEFT www.
deftlinux.net/.
91
Ciberseguridad
Todas ellas no dejan de ser una distribución Linux a la que se le han instalado y
personalizado distintas herramientas específicas para realizar auditorías. Tenemos
otra opción que es la de instalar en nuestra distribución Linux algo que nos resulte
familiar su manejo, las herramientas que vayamos a necesitar o incluso algún paquete
predefinido de dichas tools, como DART (Digital Advanced Response Toolkit).
Para realizar una auditoría, también puede utilizarse como sistema operativo Microsoft
Windows, pues la mayoría de estas tools específicas han sido implementadas en
versiones para Linux y Windows, por lo que podremos usar Windows como sistema
base para nuestro trabajo, aunque lo normal es usar Linux.
4.3.2. Reconocimiento: footprinting y fingerprinting

Llegados a este punto es cuando comenzaremos realmente a realizar la auditoría. Ya
tenemos unos objetivos fijados, un tiempo establecido y un equipo técnico con unas
tareas establecidas. Es hora de comenzar a analizar los elementos necesarios.
La ruta de trabajo siempre ha de ir de las tareas más amplias a las más concretas. El
primer paso será la obtención de información de fuentes abiertas (OSINT).
Footprinting
Como se han mencionado anteriormente, el footprinting es una etapa, la primera
de un test intrusión, en la que el atacante recoge información de todo tipo sobre el
objetivo. Su fuente es toda internet, por lo que se puede encontrar gran cantidad de
información.
Después hay que filtrar toda la información para quedarse con lo más importante,
pero un proceso como este es importante, ya que seguramente descubrirá activos
de la organización en Internet, los cuales se pueden convertir en posibles vectores de
ataque.
El primer paso en el footprinting es seleccionar el objetivo sobre el que se llevará a

cabo el proceso de obtención de información global. A continuación, se exponen
diversas vías o maneras con las que poder obtener información a priori:
■■ Visitar el o los sitios web de la organización, servicios y aplicaciones con el fin

de encontrar errores y conocer la superficie de información que tiene el objetivo.
■■ Búsqueda de enlaces mediante motores de búsqueda, como Google o Bing,

fichero robots.TXT, errores en llamadas, etcétera.
■■ Algo interesante es descargar todos los sitios web de la organización para

poder estudiarlos y descubrir enlaces o textos que pueden haber quedado en
las propias páginas.
92
■■ Por supuesto se debe utilizar los dorks para preguntar a los motores de
búsqueda. Esto puede ser automatizado con herramientas como FOCA.
Es importante recabar la máxima información posible sobre el dominio, para
después ir afinando las búsquedas con los tricks que el auditor puede conocer.
Más adelante se verán en diferentes verbos para obtener mejores resultados en
búsquedas con estas técnicas, gracias a la GHDB, google hacking database.
Ver tabla de abajo.
■■ Las versiones anteriores de páginas web también deben ser consultadas, por
ejemplo, mediante el uso de archive.ORG.
■■ ¿Cómo saber el tamaño aproximado de la organización? Es importante listar los

dominios y subdominios de esta. Toda la información que se puede obtener de
esto es información crucial, por ejemplo, listar el máximo de direcciones IP, con
lo que se podría obtener una idea aproximada del número de máquinas de las
que consta la organización.
■■ El estudio de los metadatos de los documentos públicos de una organización es

algo importante, ya que, gracias a estos, se pueden conocer datos de interés de
una organización. En los metadatos se puede conocer desde emails, software,
usuarios, impresoras, etc. Cuantos más metadatos se conozcan, más inferencia
se puede realizar y, en algunos casos, pueden provocar fugas de información
importantes, como por ejemplo información sobre conexiones LDAP.
■■ Apoyarse en servicios como el DNS para saber por dónde navegan los empleados
de la organización. Esto puede ser realmente útil para conocer aplicaciones
que pueden ser vulnerables a técnicas de Evilgrade. Por ejemplo, si el auditor
descubre que el DNS de la organización es vulnerable a DNS caché snooping,
puede preguntar al servidor por dominios que utilizan las aplicaciones en sus
actualizaciones. Los dominios por los que preguntaría serían vulnerables a la
técnica de Evilgrade.
■■ El DNS y el servidor de correo pueden ayudar a obtener información sobre la

organización. Otros ejemplos son la transferencia de zona con la que se puede
obtener un mapa de máquinas jugoso. La transferencia de zona puede realizarse
por cuatro formas, y el error consiste en que el servidor DNS está confiando
en que quien pide tiene acceso a dicha información. Se puede obtener, como
se ha mencionado anteriormente, un mapa de máquinas externas, incluso
direcciones IP de máquinas de la red interna, lo cual permite al auditor conocer
la infraestructura interna o parte de ella. Por otro lado, se puede realizar fuerza
bruta sobre el servidor DNS con el fin de conocer nuevos subdominios que
pueden no haberse conocido antes. No es un proceso rápido, pero con un
diccionario adecuado se puede conseguir un buen resultado. También se puede
nrealizar resoluciones inversas, es decir, partiendo de una dirección IP conseguir
un dominio objetivo.
93
Ciberseguridad
■■ Conocer información a través del uso de servicios web pueda ayudar a

conocer datos de los dominios de la empresa objetivo que pueden ser
relevantes posteriormente. Por ejemplo, conocer direcciones IP, subdominios,
registradores, localización en mapas, servicios con los que se relacionan, etc.,
son solo algunos datos que se pueden conocer gracias a los servicios web
como: netcraft, cuwhois, 123People, iptools, etc.
■■ Comprobar de la existencia de los denominados hosting compartido. Esto es

un valor añadido importante, ya que la seguridad del servidor puede radicar
en el dominio más débil. Para esto se puede utilizar el verbo IP en el motor
de búsqueda Bing, con el que dándole una dirección IP se puede obtener un
listado de dominios que se encuentran indexados bajo esa dirección. Otra forma
de llevar a cabo esto puede ser mediante el servicio Serversniff, disponible en
Internet.
■■ La obtención de email es algo importante, ya que más adelante se puede llevar

a cabo ataques de ingeniería social, phishing, o incluso el comienzo de un APT.
Existen herramientas mediante que, pasándoles el nombre de dominio, realizan
búsqueda de los correos electrónicos de los empleados de la organización por
Internet. Otras herramientas lo que permiten es verificar si la cuenta de correo ha
sido comprometida y sus credenciales se encuentran en algunas de las bases
de datos conocidas. Con Maltego se puede conseguir, a partir de una dirección
de correo electrónico, conocer en qué sitios web aparece y obtener más cuentas
de correo electrónico.
OPERADOR DESCRIPCIÓN EJEMPLO

Hacking libro filetype.pdf. Esta consulta nos
La búsqueda nos mostrará únicamente el tipo mostrará solamente archivos pdf que contenga
filetype
de archivo que le indiquemos. la palabra hacking y la palabra libro en su
contenido.
filetype:pdf intext:”hola mundo” assembler. Esta
Busca una palabra o una frase en el contenido
consulta nos mostrará solamente documentos en
intext del archivo. También pueden utilizarse
pdf relacionados con el lenguaje assembler y que
expresiones.
en sus textos contengan la frase “hola mundo”.
link:"prograbasic.blogspot.com" Esta
Este operador busca en los contenidos los consulta nos mostrará todas las páginas que
link links que se dirijan hacia el que le hemos en su contenido tengan un link hacia el blog
proporcionado. prograbasic.blogspot.com. Realmente útil si
deseas ver qué sitios apuntan hacia el tuyo.
Este operador buscará lo que le indiquemos inurl:admin.php Esta consulta nos mostrará links
inurl pero en la URL. Ideal si quieres buscar ciertos hacia archivos php llamados admin.php, ideal si
archivos en el servidor. quieres buscar un login en un sitio web.
Este operador es muy útil, buscará lo que
intitle:"teoría de cuerdas". Nos mostrará sitios
le indiquemos solamente en los títulos de
web relacionados con teoría de cuerdas, pero
intitle las páginas web. Ideal para buscar temas
los resultados, debido a que fueron buscados en
completos y no solo contenido relacionado con
títulos, nos mostrarán artículos más extensos.
los temas de la búsqueda
94
Análisis de la información
Después de haber recolectado el máximo posible de información se debe analizar
y entender qué datos son los importantes en el comienzo de un pentesting. A
continuación, se exponen los elementos que se pueden diferenciar del resto de la
información por tener un valor añadido para el pentester:
■■ Nombres de empleados: esta información puede ser válida más adelante, ya

que con ella se pueden hacer combinaciones para lograr un nombre de usuario,
un correo electrónico, realización de técnicas de ingeniería social con dicha
persona, o incluso técnicas de fuerza bruta sobre un usuario y contraseña.
■■ Datos de la intranet: estos datos pueden ayudar al auditor a inferir la topología

de la red interna, así como los elementos de seguridad que pueden encontrarse
protegiendo los activos de la organización. Hay que tener en cuenta que en este
tipo de información pueden existir datos sobre elementos como balanceadores
de carga, firewalls, IDS, etcétera.
Además de la intranet se puede conseguir los siguientes datos:
□□ Carpetas o archivo ocultos que pueden proporcionar información sensible.
□□ Teléfonos y direcciones con las que se puede realizar ingeniería social.
□□ Datos personales.
□□ Contraseñas.
□□ Protocolos, arquitecturas de red, reglas de elementos de seguridad, etc.
□□ Versiones de software embebido en archivos. Esta información vale para

saber qué tipo de software y versión se utiliza, por lo que se puede saber si
existen vulnerabilidades. Esto es extensible a los sistemas operativos.
■■ Puntos externos como ISP, donde se pueda interceptar comunicaciones. Si

en el canal existen puntos no seguros, se podría interceptar la comunicación y
obtener información sensible.
■■ Documentación interna que por error fue publicada. Gracias a los buscadores
se puede encontrar indexado todo tipo de información, hasta procedimientos
internos de seguridad de una empresa.
■■ Cuentas de correo electrónico.
■■ Puertos abiertos en máquinas de la organización, por ejemplo, mediante el uso

del truco de la barra. Con esta información se podrá ver igual qué servicio hay
detrás de dicho puerto, versión de software, etc.
■■ Máquinas y servicios que se han ido encontrando a través de todo el proceso

de footprinting.
95
Ciberseguridad
Fingerprinting
EL siguiente paso de nuestra auditoría será el correspondiente al fingerprinting. Consiste
en recolectar información interactuando directamente con los sistemas para aprender
más sobre su configuración y comportamiento. Como el proceso de fingerprinting es
susceptible de hacer saltar las alarmas al interactuar directamente con dispositivos y
servicios del objetivo, realizaremos un PoC (Probe of Concept – Prueba de concepto)
en el que mostraremos un caso real de análisis del footprinting sobre una web pública
(www.maella.es) y el fingerprinting lo haremos sobre una máquina virtual corriendo
un sistema operativo llamado Metaexploitable, diseñado con unas vulnerabilidades
conocidas para su análisis y aprendizaje.
Prueba de concepto
Supongamos que nos contrata el Ayuntamiento de Maella (provincia de Zaragoza)
para realizar una auditoría a su página web. Realizando un simple ping a la dirección
www.maella.es y este nos devuelve la dirección IP en la que tenemos alojada dicha
página.
Figura 4.2. Detalle de ejecución del comando ping www.maella.es.
Una vez conocida la IP, que es 213.192.239.193, podemos hacer un escaneo de

puertos de dicha IP, que nos dirá los puertos abiertos que están operativos en esta IP,
es decir, los servicios que están funcionando. Utilizaremos la herramienta NMAP del
siguiente modo:
nmap -v -p 1-65535 -sV -O -sS -T4 213.192.239.193
96
donde especificaremos -v para que la salida sea visible por pantalla, -p 1-65535 para
que el escaneo de puertos sea para el rango desde el 1 hasta el 65535, -T4 para
indicar el nivel de profundidad del escaneo y por último 213.192.239.193 como target
la IP objeto de análisis.
El resultado final es la presencia de un solo puerto abierto, el 80.
Figura 4.3. Detalle de ejecución del comando nmap -v -p 1-65535 -sV -O -sS -T4 213.192.239.193.
Ya sabemos pues que la página web que estamos analizando se encuentra en la

IP 213.192.239.193, pero puede que sea un alojamiento compartido, esto es, que
en ese mismo servidor, con esa misma dirección IP, existan otros dominios de otras
páginas web. Esto es común al contratar hostings en diversos proveedores de
servicio. Puede darse el caso de que la página web esté construida con un sistema
robusto, actualizado o sin vulnerabilidades conocidas, pero pudiese darse el caso de
que otra web alojada en este mismo servidor no reúna las mismas condiciones, por lo
que podría intentarse hackear la web más vulnerable y desde ahí pivotar para poder
acceder a nuestra web fruto del análisis.
97
Ciberseguridad
Para analizar esto, usaremos el buscador BING, propiedad de Microsoft, y en la barra

de búsqueda introduciremos IP:213.192.239.193. El buscador nos mostrará todas las
webs que responden a esa dirección IP:
Figura 4.4. Detalle de búsqueda en BING (www.bing.es) de la cadena IP:213.192.239.193.
Seguiremos buscando información sobre el dominio, como puede ser la empresa

responsable del alojamiento o la que se encargó de su diseño y programación. Para
ello haremos una búsqueda whois en la web www.nic.es o en cualquiera que nos
ofrezca este tipo de información. Al hacerlo, obtendremos los datos del primer registro,
fecha de expiración, empresa de hosting contratada, …
98
Figura 4.5. Detalle del whois de la web www.maella.es
Podemos continuar nuestro análisis con el programa FOCA (Fingerprinting Organizations

with Collected Archives), que podemos descargar de la web oficial gratuitamente.
Con FOCA podemos analizar un site de Internet, en el caso de esta PoC lo haremos
con maella.es . El resultado es el análisis de los metadatos de los ficheros públicos
subidos a la web. El programa buscará de entre todos los ficheros ubicados en el
site los metadatos. Los metadatos son datos de los datos, es decir, campos de
texto incrustados en los ficheros como la fecha de creación, fecha de último acceso,
resolución, autor, software utilizado para su modificación, sistema operativo en el que
se ha trabajado con un fichero, etc. Estos metadatos son utilizados por el sistema
operativo y los distintos programas para mejorar la experiencia de trabajo con ellos,
como pueden ser búsquedas más precisas y complejas, ordenación de ficheros por
fecha, información para una óptima apertura y trabajo con los ficheros, etc. FOCA
automáticamente analiza toda la web objeto del análisis utilizando los motores de
búsqueda de Google, Bing y Exalead, pudiendo seleccionar una extensión concreta
de fichero o varias de ellas, descarga los ficheros a nuestro ordenador y analiza
los metadatos que contienen, arrojando información tan sensible y deseada por el
pentester como el sistema operativo donde se generó el fichero, nombres de usuario,
links embebidos en los ficheros, contraseñas, versiones de programas usadas por el
creador e incluso el nombre de las impresoras instaladas en el equipos donde se editó
el fichero.
99
Ciberseguridad
Figura 4.6. Detalle del programa FOCA con el que hemos descargado los ficheros PDF de la web maella.es.
Figura 4.7. Detalle del programa FOCA donde se aprecia la dirección IP del alojamiento, el tipo de servidor de páginas web (en
este caso Apache) y los puertos abiertos a internet (en este caso el 80 y el 443).
100
Otra información importante que nos muestra FOCA es el nombre de los programas y
la versión utilizada para la generación y edición de los ficheros analizados. Al conocer
este dato, pueden buscarse vulnerabilidades conocidas para esa versión de software
en concreto, por lo que es información muy interesante a la hora de preparar un
ataque dirigido.
Figura 4.8. Detalle del programa FOCA donde se aprecia el nombre y versión del software hallado en los metadatos, como
por ejemplo PDFCreator 2.3.0.103, LibreOffice 4.3, PDFCretor 2.5.15 para Windows XP e incluso un software
específico de creación de ficheros nativo de la impresora RICOH MP C4504ex.
Existen multitud de sitios web donde se publica información sobre exploits con los
que preparar un ataque a un sistema o a un software instalado con una vulnerabilidad
conocida. En nuestra PoC hemos visto que existen documentos creados con un
software nativo de una impresora RICOH C4504ex, y en la web podemos buscar si
existe algún exploit para él. Vemos que existe un exploit para realizar un ataque de
Cross-Site Request Forgery (Add Admin) que nos permite añadir un usuario de tipo de
administrador partiendo de un usuario sin privilegios. La vulnerabilidad fue publicada
el 27 de agosto de 2018 bajo la nomenclatura CVE-2018-15884.
101
Ciberseguridad
Figura 4.9. Detalle de la web https://www.exploit-db.com en la que hemos realizado la búsqueda de la cadena “Ricoh”.
102
Figura 4.10. Detalle de la web https://www.exploit-db.com donde nos muestra información sobre el exploit CVE-2018-
15884 llamado RICOH MP C4504ex Printer - Cross-Site Request Forgery (Add Admin).
Continuamos con el análisis de los metadatos arrojados por FOCA, concretamente

en un apartado curioso denominado “Juicy Files”, traducido como “ficheros jugosos”.
Son ficheros encontrados en esta web que pueden considerarse como especialmente
interesantes de ser analizados. En este caso, nos ha encontrado el fichero robots.txt,
la carpeta wp-admin y el fichero wp-admin/admin-ajax.php.
103
Ciberseguridad
Figura 4.11. Detalle del programa FOCA con la información de los “Juicy Files”.
Podemos seguir obteniendo información interesante, no de la web actual, sino de la

web tal y como era en versiones anteriores. Para ello podemos usar servicios como
http://www.archive.org , web que hace capturas de la mayoría de web y las guarda.
Podemos seleccionar la fecha que queramos y ver cómo era esa web en dicha fecha.
Por ejemplo, en nuestro PoC, vemos el aspecto que tenía el 10 de enero de 2006, e
incluso navegar por ella.
104
Figura 4.12. Detalle de la web almacenada por archive.org el 10 de enero de 2006.
Un fichero que no podemos dejar de mirar es el robots.txt . Simplemente añadiendo

a la URL principal en la barra de navegación de nuestro navegador el texto “/robots.
txt” , accedemos al fichero que el programador ha configurado para que los motores
de búsqueda de las arañas de los principales buscadores no indexen. La idea es, si
no quieres que lo indexen los buscadores, ¿qué oculta? En este caso vemos que el
programador no quiere que indexen la carpeta wp-admin, que es donde se guarda el
acceso al panel de gestión de Wordpress.
105
Ciberseguridad
Figura 4.13. Detalle del contenido del fichero robots.txt.
Existen extensiones para el navegador, como ChromeSnifferPlus, que simplemente

con navegar por una web nos da información de los sistemas con los que está hecha
una web, en este caso, Wordpress 4.9.8 corriendo bajo un Apache.
Figura 4.14. Detalle de la información arrojada por la extensión para Chrome ChromeSnifferPlus.
106
También se pueden investigar los nombres de los buzones de correo que estén
relacionados con figuras importantes de la organización que estemos auditando.
Podría ser un buen vector de ataque conseguir los correos electrónicos personales de
alguien de dentro de la organización. Para ello, podemos usar el programa Maltego,
con el que podemos hacer una búsqueda de posibles cuentas de correo de una
persona proporcionándole el nombre y apellidos. Maltego buscará por numerosas
redes sociales, foros, publicaciones, …
Figura 4.15. Detalle de información de una persona importante dentro de la organización.
107
Ciberseguridad
Figura 4.16. Detalle del programa Maltego con la información obtenida.
Existen también programas específicos para buscar vulnerabilidades de sitios web

o equipos conectados a la red. Los más famosos son Nessus (que dispone de una
versión Home, limitada pero funcional: https://www.tenable.com/products/nessus-
home) o Acunetix.
Podemos automatizar varios escáneres de vulnerabilidades de una forma rápida y

eficaz.
108
Figura 4.17. Detalle de escaneo de maella.es con Nessus en el que ha encontrado nueve vulnerabilidades, ninguna de ellas
crítica.
Figura 4.18. Detalle del escaneo con Nessus en el que nos muestra información como que el sistema operativo bajo el que corre
el server de páginas web es un Windows Vista.
109
Ciberseguridad
Figura 4.19. Detalle de escaneo de maella.es con Acunetix, en el que nos muestra información del nivel de seguridad encontra-
do, un árbol de directorios encontrados, las vulnerabilidades, …
110
Figura 4.20. Detalle de escaneo con Acunetix, en el que nos muestra la información relativa a una de las vulnerabilidades, en
este caso, un fallo en uno de sus formularios con “HTML form without CSRF protection”, en el que se puede hacer
un ataque de CSRF o XSRF.
4.3.3. Alcance de la auditoría

Es importante recalcar que en un trabajo de auditoría informática no hemos de
buscar todo tipo de vulnerabilidades posibles. El trabajo para el que nos contratan
ha de estar definido antes de empezar con la auditoría, y hemos de contar con el
permiso por escrito del responsable de la empresa u organización. Por ejemplo, si nos
contratan para comprobar el nivel de exposición de una página web, analizaremos las
vulnerabilidades del servidor web, única y exclusivamente. No nos extralimitaremos.
Si nos contratan para comprobar el uso que hacen los usuarios o trabajadores de los
pendrives dentro de una empresa, eso será lo que analizaremos.
111
Ciberseguridad
4.3.4. Documentación relevante para un trabajo de pentesting

En este apartado es recomendable añadir una muestra de dos documentos importantes
que cumplimentar a la hora de realizar un trabajo de pentesting.
4.3.4.1. Contrato de confidencialidad

CONTRATO DE CONFIDENCIALIDAD
CONTRATO DE CONFIDENCIALIDAD QUE CELEBRAN POR UNA PARTE

______________, REPRESENTADA POR _______________ Y POR LA OTRA PARTE
D. ________________ AL TENOR DE LAS DECLARACIONES Y CLAÚSULAS
SIGUIENTES:
DECLARACIONES
Declara la Empresa____________________________, por conducto de su

representante:
■■ Que es una sociedad mercantil debidamente constituida, como consta

en la escritura pública________________________, otorgada ante
D._________________, notario de _________.
■■ D. __________________ vecino de_________ con documento de identidad

____________ en representación de la mencionada empresa.
■■ Que es su voluntad obligarse en los términos de este contrato.
Declara el Comprador, por medio de:
■■ D. ____________________ vecino de____________ con documento de

identidad_______________ en representación propia.
■■ Que es su voluntad obligarse en los términos de este contrato.
Declaran las partes, por conducto de sus representantes:
1. Que han decidido transmitirse mutuamente cierta información confidencial,

propiedad de cada una de ellas, relacionada con tecnologías, planes de negocios
internos y otros tipos, a la que en lo sucesivo se le denominará “Información
Confidencial”, relativa a la venta de una de las partes de los servicios de
___________________________
2. Que cualquiera de ellas, en virtud de la naturaleza de este contrato, podrá

constituirse como parte receptora o parte divulgante.
112
3. Que se reconocen mutuamente la personalidad con la que comparecen a

celebrar el presente convenio y manifiestan su libre voluntad para obligarse en
los términos de las siguientes:
CLAÚSULAS
PRIMERA. Las partes se obligan a no divulgar a terceras partes la “Información

Confidencial” que reciban de la otra, y a darle a dicha información el mismo tratamiento
que le darían a la información confidencial de su propiedad.
Para efectos del presente convenio, “Información Confidencial” comprende toda la

información divulgada por cualesquiera de las partes ya sea en forma oral, visual,
escrita, grabada en medios magnéticos o en cualquier otra forma tangible y que se
encuentre claramente marcada como tal al ser entregada a la parte receptora.
SEGUNDA. La parte receptora se obliga a mantener de manera confidencial la

“Información Confidencial” que reciba de la parte divulgante y a no darla a una tercera
parte diferente de sus abogados y asesores que tengan la necesidad de conocer
dicha información para los propósitos autorizados en la Cláusula Sexta de este
convenio, y quienes deberán estar de acuerdo en mantener de manera confidencial
dicha información.
TERCERA. La parte receptora se obliga a no divulgar la “Información Confidencial” a

terceros, sin el previo consentimiento por escrito de la parte divulgante.
CUARTA. La parte receptora se obliga a tomar las precauciones necesarias y apropiadas

para mantener como confidencial la “Información Confidencial” propiedad de la otra
parte, incluyendo, mas no limitando, el informar a sus empleados que la manejen, que
dicha información es confidencial y que no deberá ser divulgada a terceras partes.
QUINTA. La parte receptora está de acuerdo en que la “Información Confidencial”

que reciba de la otra parte es y seguirá siendo propiedad de esta última, y a usar
dicha información únicamente de la manera y para los propósitos autorizados en la
Cláusula Sexta de este contrato y que este instrumento no otorga, de manera expresa
o implícita, derecho intelectual o de propiedad alguno, incluyendo, mas no limitando,
licencias de uso respecto de la “Información Confidencial”.
SEXTA. La parte receptora se obliga a utilizar la “Información Confidencial” de cualquiera

de las otras partes, únicamente para la compra de una de ellas de la empresa y/o
marcas relativas a servicios y productos objeto del contrato.
SEPTIMA. Las partes convienen que en caso que la parte receptora incumpla parcial
o totalmente con las obligaciones a su cargo derivadas del presente contrato, la parte
receptora será responsable de los daños y perjuicios que dicho incumplimiento llegase
a ocasionar a la parte divulgante.
113
Ciberseguridad
OCTAVA. No obstante lo dispuesto en contrario en este convenio ninguna parte tendrá

obligación de mantener como confidencial cualquier información:
1. Que previa a su divulgación fuese conocida por la parte receptora, libre de

cualquier obligación de mantenerla confidencial, según se evidencie por
documentación en su posesión;
2. Que sea desarrollada o elaborada de manera independiente por o de parte del

receptor o legalmente recibida, libre de restricciones, de otra fuente con derecho
a divulgarla;
3. Que sea o llegue a ser del dominio público, sin mediar incumplimiento de este
convenio por la parte receptora;
4. Que se reciba de un tercero sin que esa divulgación quebrante o viole una
obligación de confidencialidad.
NOVENA. La vigencia del presente convenio será indefinida y permanecerá vigente

mientras exista relación comercial entre ambas partes.
DECIMA. Dentro de los 7 días hábiles siguientes a la fecha de terminación del presente
convenio o, en su caso, de su prórroga, toda la “Información Confidencial” transmitida
de manera escrita, grabada en un medio magnético o de otra forma tangible, a la
parte receptora por la divulgante, deberá ser devuelta a la parte divulgante o, en su
caso, destruida en presencia de un representante autorizado de la parte divulgante, a
elección de la parte divulgante. En caso de que la parte receptora no cumpla con la
devolución o la destrucción en presencia de un representante autorizado de la parte
divulgante dentro del plazo establecido en la presente Cláusula, la parte receptora.
se hará acreedora a la Pena Convencional establecida en la Cláusula Séptima del
presente Contrato.
DECIMO PRIMERA. Las obligaciones establecidas en este convenio para la parte

receptora, respecto a la confidencialidad, de la “Información Confidencial” y al uso de
la misma, prevalecerán a la terminación de este instrumento, por un periodo de por lo
menos dos años a partir de dicha terminación.
DECIMO SEGUNDA. Este convenio constituye el acuerdo total entre las partes
respecto a dicha “Información Confidencial” y sustituye a cualquier otro entendimiento
previo, oral o escrito, que haya existido entre las partes.
DECIMO TERCERA. Ninguna de las partes podrá ceder sus derechos y obligaciones
derivados del presente Contrato.
DECIMO CUARTA. Este convenio solamente podrá ser modificado mediante

consentimiento de las partes, otorgado por escrito.
114
DECIMO QUINTA. Para la interpretación y cumplimiento del presente contrato, las

partes se someten a la jurisdicción de las leyes y tribunales de _________, renunciando
desde ahora a cualquier otro fuero que pudiera corresponderles por razón de sus
domicilios presentes o futuros o por cualquier otra causa, señalando desde este
momento como sus domicilios legales los siguientes:
D. _______________________. D. _________________
Calle _____________ Calle_________________
Ciudad_______ Ciudad__________
Enteradas las partes del contenido y alcance del presente contrato, lo firman a fecha
___________________
Firma. Firma.
4.3.4.2. Informe final

En este apartado mostraremos un ejemplo de informe final proporcionado a la empresa
contratante una vez finalizados todos nuestros análisis.
115
Ciberseguridad
4.3.5. Informe de intrusión externo. Auditoría básica a máquina

virtual
Introducción
En el presente informe se pretende resaltar las vulnerabilidades del sistema operativo
facilitado por la empresa XXXXX. Se utilizarán diversas técnicas de penetración, para
poder averiguar dichas vulnerabilidades, así como la forma de solucionarlas. Se
adjuntará una captura de pantalla para una información más clarificada. Por otro lado,
las técnicas y herramientas utilizadas han sido aprobadas por el cliente, para su uso
en dicho objetivo. Cualquier uso que se haga de las mismas, por parte no profesional,
podría estar incurriendo en un delito, tipificado en el código penal. El informe es
realizado como auditoría de seguridad del sistema operativo antes mencionado, para
su análisis y comprobación del estado de seguridad del sistema. En ningún caso la
información que de aquí se pueda sacar, será utilizada por la empresa contratada,
bajo ningún concepto.
Toda la información aquí recogida es estrictamente CONFIDENCIAL.
Objetivo y alcance
El objetivo de este análisis de seguridad es conocer el estado de seguridad de la
información de la infraestructura de tecnologías de la información y las comunicaciones
del servidor.
La auditoría aquí presentada es básica, para ver las vulnerabilidades que se pueden
sacar sin apenas investigación.
Primeros pasos
En la máquina “objetivo”, asumimos que hará de servidor DHCP, por lo que en nuestro
Kali configuramos la red como cliente DHCP y revisamos la IP asignada, en este caso
192.168.17.129:
116
Conociendo nuestra IP, hacemos un escaneo de HOSTS de dicho segmento de red

con NMAP:
Vemos que hay cinco HOST, por lo que vamos a analizar cada uno de ellos:
Nmap scan report for 192.168.17.1
117
Ciberseguridad
Este es un posible candidato a ser analizado, pues tiene puertos abiertos. Aparentemente
es un Windows 7 u 8 con servicio de http entre otros, aunque actualmente no ofrece
ninguna página:
Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2016-01-14 18:09 CET
Host is up (0.0059s latency).
All 100 scanned ports on 192.168.17.2 are closed
MAC Address: 00:50:56:E5:6E:FF (VMware)
118
Nmap done: 1 IP address (1 host up) scanned in 2.94 seconds
Aparentemente no nos interesa, es un ROUTER ADSL:
119
Ciberseguridad
Este HOST también tiene puertos abiertos, y parece correr un OpenBSD:
Este si que ofrece una web que puede ser visitada con material MP3 que puede
escucharse:
No nos interesa por ser el BROADCAST de la red
No nos interesa por ser nuestra dirección IP
Así pues, una vez analizada la red vemos que nuestros objetivos tienen la IP
192.168.17.130 y la 192.168.1.1
120
Clasificación de las vulnerabilidades

• • • • Crítica: un atacante podría tomar el control total sobre el host, por ejemplo
acceso a lectura y escritura del sistema de ficheros, ejecución de comandos arbitrarios.
• • • • Alta: acceso a información sensible en el host, incluyendo sistemas de seguridad

o acceso a ficheros comprometidos, revelación de directorios y configuraciones
locales.
• • • • Media: recopilación de información sensible del host, como versiones del

software. Esta información puede hacer que el atacante se centre y focalice en esas
versiones su arsenal, hasta conseguir su objetivo.
• • • • Baja: posibilidad de recopilación de información general de host, como puertos

abiertos, servicios en ejecución etc. Esta información es útil para poder buscar las
vulnerabilidades específicas.
121
Ciberseguridad
Análisis de vulnerabilidades (target 192.168.17.1)

Una vez estudiada la red, localizado el objetivo y visto que tiene varios puertos abiertos
ofreciendo servicios, procedemos a analizar las posibles vulnerabilidades con NESSUS:
Enumeración de las vulnerabilidades
SMB Signing Disabled
Riesgo: • • • • 2/4
Puerto: n/a
La autenticación no es necesaria en el servidor SMB remoto. Un atacante remoto no

autenticado puede aprovechar esto para realizar ataques man-in-the-middle contra el
servidor SMB.
Solución: hacer cumplir la firma de mensajes en la configuración del host. En Windows,

esto se encuentra en la configuración de directiva “Servidor de red Microsoft: firmar
digitalmente las comunicaciones (siempre)” . En Samba , el ajuste se llama ‘la firma del
servidor’ . Ver los ‘ver también’ enlaces para obtener más detalles.
122
Análisis de vulnerabilidades (target 192.168.17.130)

Una vez estudiada la red, localizado el objetivo y visto que tiene varios puertos abiertos
ofreciendo servicios, procedemos a analizar las posibles vulnerabilidades con NESSUS.
Enumeración de las vulnerabilidades
Riesgo : • • • • 2/4
Puerto: n/a

autenticado puede aprovechar esto para realizar ataques man-in-the-middle contra el
servidor SMB.

digitalmente las comunicaciones (siempre)” . En Samba , el ajuste se llama ‘la firma del
servidor’ . Ver los ‘ver también’ enlaces para obtener más detalles.
123
Ciberseguridad
MS11-030: Vulnerability in DNS Resolution
Riesgo: • • • • 4/4
Puerto: 5355/UCP
Un bug en la forma en que los procesos de cliente de Windows DNS instalados LINK-
Multicast Nombre Resolución (LLMNR) consultas locales puede ser explotado para
ejecutar código arbitrario en el contexto de la cuenta NetworkService .
Tenga en cuenta que Windows XP y 2003 no son compatibles con LLMNR y una
explotación exitosa en esas plataformas requiere acceso local y la capacidad de
ejecutar una aplicación especial . En Windows Vista, 2008 , 7 y 2008 R2 , sin embargo,
el problema se puede explotar de forma remota.
Solución: Microsoft publicó parches de seguridad que deberían ser instalados de

inmediato.
MS12-020: Vulnerabilities in Remote Desktop
Riesgo: • • • • 3/4
Puerto: 3389/TCP
Existe una vulnerabilidad remota de código arbitrario en la aplicación del Protocolo

de escritorio remoto (RDP) en el host remoto de Windows. La vulnerabilidad se debe
a la forma en que RDP tiene acceso a un objeto en la memoria que se ha inicializado
incorrectamente o se ha eliminado .
124
Si RDP se ha habilitado en el sistema afectado, un atacante remoto no autenticado

podría aprovechar esta vulnerabilidad para provocar que el sistema ejecute un código
arbitrario mediante el envío de una secuencia de paquetes RDP especialmente
diseñados para ello.
Este plugin también comprueba una vulnerabilidad de denegación de servicio en

Microsoft Terminal Server.
Tenga en cuenta que este script no detecta la vulnerabilidad si la opción ‘Permitir solo
las conexiones desde equipos que ejecuten Escritorio remoto con Autenticación a
nivel de red ‘está habilitada o la capa de seguridad está establecido, en “SSL (TLS
1.0)” en el host remoto .
Solución: Microsoft publicó parches de seguridad que deberían ser instalados de

inmediato.
Microsoft Windows Remote Desktop Protocol

Server Man-in-the-middle Weakness
Riesgo: • • • • 2/4
Puerto: 3389/TCP
La versión remota del Escritorio remoto Protocolo Server (Terminal Service) es

vulnerable a un ataque man-in-the-middle. El cliente RDP no hace ningún esfuerzo para
validar la identidad del servidor al configurar el cifrado. Un atacante con la capacidad
para interceptar el tráfico desde el servidor RDP puede establecer el cifrado con el
cliente y el servidor sin ser detectado. Un ataque MiTM de esta naturaleza permitiría
al atacante obtener información sensible transmitida, incluyendo las credenciales de
autenticación.
Existe este bug porque el servidor RDP almacena una clave privada codificada RSA
en la biblioteca mstlsapi.dll. Cualquier usuario local con acceso a este archivo (en
cualquier sistema Windows) puede recuperar la clave y utilizarla para este ataque.
Solución:
■■ Forzar el uso de SSL como una capa de transporte por este servicio si lo admite
y/o
■■ Seleccionar la opción ‘ Permitir solo las conexiones desde equipos que ejecuten
Escritorio remoto con Autenticación a nivel de red’ si está disponible.
125
Ciberseguridad
Riesgo: • • • • 2/4
Puerto: n/d

autenticado puede aprovechar esto para realizar ataques man-in -the-middle contra
el servidor SMB.

digitalmente las comunicaciones (siempre)”. En Samba , el ajuste se llama ‘la firma del
servidor’. Ver los ‘ver también’ enlaces para obtener más detalles.
Terminal Services Doesn’t Use Network Level

Authentication (NLA) only
Riesgo: • • • • 2/4
Puerto: 3389/TCP
Los Servicios de Terminal remoto no está, configurados para utilizar la autenticación

a nivel de red (NLA) solamente. NLA utiliza el protocolo Security Support Provider
credenciales (CredSSP) para realizar la autenticación de servidor fuerte sea a través de
/ SSL o Kerberos mecanismos TLS, que protegen contra ataques man-in -the-middle.
Además de mejorar la autenticación, NLA también ayuda a proteger el equipo remoto
de los usuarios y software maliciosos, completando la autenticación del usuario antes
de establecer una conexión RDP completa.
Solución: habilitar a nivel de red de autenticación (NLA) en el servidor RDP remoto.

Esto se hace generalmente en la pestaña ‘remoto’ de la configuración del “sistema en
Windows de directiva“ Servidor.
126
Conclusión
Los objetivos de la auditoría y, por lo tanto, los campos que hay que solucionar son
los mostrados a continuación:
127
RESUMEN
■
Un trabajo de pentesting consiste en realizar una serie de ataques hacia un sistema
o activo de una empresa u organización con la finalidad de conocer el estado de la
seguridad del mismo e informar a los responsables para su subsanación.
■
Las técnicas utilizadas por el pentester son las mismas que utilizaría un pirata
informático, con la única diferencia del objetivo final.
■
Un pirata informático buscará esas vulnerabilidades para hacer un daño a la empresa o
solicitar un rescate a modo de chantaje por no publicar dichas vulnerabilidades.
■
Un hacker o pentester será contratado por la empresa con la finalidad de encontrar
brechas de seguridad que serán posteriormente puestas en conocimiento del
responsable de seguridad de la empresa para su subsanación.
■
Ningún sistema estará nunca completamente seguro, por lo que un pentesting
continuo será la única forma de acercarnos lo máximo posible a un estado que podría
considerarse “seguro”.
129
5
Ciberseguridad
5
DIDÁCTICA
UNIDAD
5. Hacking ético - ejecución del ataque

ÍNDICE
OBJETIVOS................................................................................................................................................................ 135
INTRODUCCIÓN....................................................................................................................................................... 136
5.1. Hacking ético. Ejecución del ataque.................................................................................................................. 137
5.1.1. Definicion.......................................................................................................................................................... 137
5.1.2. Metodología...................................................................................................................................................... 137
5.1.3. Objetivo del ataque............................................................................................................................................. 138
5.1.4. Ataque.............................................................................................................................................................. 148
5.1.5. Explotación....................................................................................................................................................... 149
5.1.6. Post-explotación................................................................................................................................................ 151
5.1.7. Borrar logs y matar procesos (borrado de huellas)................................................................................................... 152
5.1.8. Persistencia....................................................................................................................................................... 154
5.1.9. Pivoting............................................................................................................................................................ 155
RESUMEN................................................................................................................................................................... 157
133
OBJETIVOS
■ Conocer cuál es el proceso de ejecución de un ataque de pentesting.
■
Conocer los objetivos más comunes para nuestro ataque.
■
Entender la necesidad de una metodología de ejecución.
■
Conocer los tipos de ataques que podemos realizar.
■
Conocer los procesos post-explotación.
■
Poder relacionar la ejecución del ataque con la preparación del ataque visto en el tema 4.
135
Ciberseguridad
INTRODUCCIÓN
En este tema abordaremos la segunda fase de una Todas las redes internas de una empresa utilizarán
auditoría. En el tema cuatro vimos cómo obtener casi siempre el protocolo TCP/IP, pero los rangos
información relevante de fuentes de información asignados a sus direcciones variarán ligeramente.
abierta. Llegados a este punto debemos ser capaces Seguramente todas las organizaciones dispondrán
de acceder al interior de la red corporativa, a los datos de un sistema antivirus, pero es muy difícil que
de un equipo, o a manipular alguno de los servicios coincidan en marca y versión todas ellas. Por ejemplo,
que estén corriendo en la infraestructura auditable si conocemos la manera de saltarnos una protección
Se trata de una prueba de fuego en la que del antivirus Panda, existe una pequeña posibilidad de
demostraremos que un atacante ajeno a la organización que al ir a aprovechamos en una auditoria de dicho
puede reproducir ciertas técnicas consiguiendo algún conocimiento, justamente el antivirus instalado en la
tipo de aprovechamiento de la seguridad actual. organización sea Panda. Podríamos encontrarnos con
otras aplicaciones de seguridad como ESET, AVG o
El pentester tendrá que ir analizando sobre la marcha MCAFEE. Si nuestro vector de ataque es una red wifi,
los dispositivos y servicios que se vaya encontrando podemos encontrarnos con cifrado WPA, WEP, WPA
para ejecutar el ataque. No existe una sola técnica 2 y próximamente WPA 3. Es probable que incluso
que pueda definir todo el proceso, sino que es encontremos redes wifi sin cifrar o detrás de un portal
una prueba de estrés cambiante y única en cada cautivo. Todas estas redes serán gestionadas por
organización. Las técnicas que usemos contra una hardware ofrecido por Movistar, Orange, Vodafone,
empresa en un test de intrusión difícilmente serán Yoigo, o libres como TP link, de link, Cisco, Ubiquity,
las mismas que utilizaremos contra otra. Cada etcétera.
organización configura su red, sus equipos, sus
servidores, su correo electrónico, su red wifi e incluso Veremos algunas de las herramientas que imitan a los
su política de concienciación de sus trabajadores de utilizados para la explotación y tipos de explotación.
formas distintas. No serán extrañas unas de otras, Veremos en qué consisten las técnicas de escalada
pero sí tendrán sus matices. En el mercado existen de privilegios, movimiento lateral o pivoting, obtención
multitud de marcas comerciales y cada una de ellas de información interna o information gathering,
implementa el funcionamiento de una forma distinta, persistencia, etcétera.
apoyándose siempre en el protocolo estándar.
136
5.1. Hacking ético. Ejecución del ataque

La detección y explotación es una de las fases más importantes, ya que es el instante
en el que el auditor identificará y demostrará la posible existencia de vulnerabilidades,
aprovechándose de ellas para poder obtener un resultado positivo en la prueba.
5.1.1. Definicion
La ejecución del ataque en una auditoria proporciona información sobre el estado de
la seguridad de los distintos segmentos de red de la empresa. Estos segmentos de
red son ubicaciones internas que no disponen de grandes privilegios de conectividad
con sistemas que contienen información sensible.
Uno de los posibles roles del auditor será el de un empleado cuyo equipo se encuentra
en uno de dichos elementos de red, con el fin de encontrar las vías que dispone este
supuesto empleado para acceder a información sensible a la que no está autorizado.
Otro posible rol que es utilizado en este tipo de auditorías es el de un invitado de la

empresa que se conecta con su equipo a la red corporativa. El objetivo es el mismo
que el del rol del empleado, visualizar o sustraer información sensible.
El tercero de estos roles es el de un intruso que aprovecha vulnerabilidades desde el

exterior de la empresa para conseguir el mismo fin.
El proyecto OWASP es un proyecto sin ánimo de lucro que se encarga de definir las 10
vulnerabilidades mas extendidas encontradas en las organizaciones a nivel mundial,
del cual hablaremos más adelante.
Un auditor no se centrará en este top 10, sino que ampliará la lista según vaya viendo
en la ejecución de su trabajo qué brechas de seguridad va encontrando. Las pruebas
se detallarán durante el proceso y se documentarán en forma de diario. Esta redacción
informará a la empresa que contrata el servicio de las técnicas y objetos interesantes
encontrados durante las distintas jornadas.
5.1.2. Metodología
La mayoría de los auditores planifican una misma metodología distinta en un pequeño
porcentaje, pero por regla general debería contener los siguientes puntos:
■■ Definición y planificación.
■■ Reconocimiento externo.
■■ Compromiso inicial.
■■ Acceso interno.
■■ Elevación de privilegios y persistencia.
■■ Reconocimiento interno y movimiento lateral.
■■ Exfiltración de información y documentación.
137
Ciberseguridad
5.1.3. Objetivo del ataque

En un trabajo de auditoría de seguridad informática hemos de fijar claramente unos
objetivos sobre los que realizar el ataque. Las medidas que ejecutemos dependerán de
nuestro objetivo cuya información hemos averiguado en la adquisición de información,
tarea básica y previa a estas tareas. Los vectores de ataque sobre los que actuaremos
serán los recopilados en fases previas y diferirán en unos trabajos de otros por la propia
estructura de implementación de las redes de comunicación de la empresa. Dichos
vectores los podemos diferenciar por su propia topología de red. Habrá instalaciones
de comunicaciones informáticas en unas empresas en las que podemos definir un
ataque con acceso a redes cableadas, a redes wifi, a servicios que la empresa tenga
en el Cloud o incluso definir ataques de ingeniería social incluyendo acceso físico a las
instalaciones.
5.1.3.1. Redes cableadas e intrusión física

Aunque hacer uso del ámbito físico para realizar una intrusión pueda parecer complejo,
en ocasiones es más simple que el acceso mediante vías digitales. Un aspecto
diferencial que hay que tener en cuenta al involucrar el ámbito físico es que este se
encuentra fuertemente ligado a las personas de la organización, motivo por el cual
puede ser algo más simple de desarrollar.
Por el contrario, también hay que tener presente que realizar una instrucción física
sobre una obligación conlleva riesgos más elevados que hacerlo desde el ámbito
digital, como sería el caso de una instrucción a nivel de perímetro mediante redes wifi.
Hay que tener en cuenta que posiblemente a la hora de llevar a cabo una intrusión física
o acceso a una red cableada dentro de la propia empresa tendremos posiblemente un
único intento o, como mucho, un par de ellos, para lograr o no la intrusión.
Se recomienda por lo tanto dedicar una gran cantidad de tiempo a recopilar toda la
información posible acerca de la ubicación y empleados, planificar las acciones que
serán desarrolladas, las posibles interacciones que se producirán o no con empleados
internos, así como probar previamente la evasión de los sistemas de seguridad física
identificados. El acceso a las redes cableadas de la empresa conlleva por norma
general el acceso personal al interior de la propia empresa para poder conectar
nuestro dispositivo de hackeo o hacer uso de un dispositivo propio de la empresa
para nuestros fines.
Se podría haber planificado un acceso físico a la empresa y al registro de archivos

con documentación escrita en papel a la empresa y el registro de archivos con
documentación escrita en papel con la que poder robar información que posteriormente
utilizaríamos para otros fines. Pensemos en el típico robo de información física en el
que se accede a un recinto ajeno y se roba un dosier con contraseñas o nombres de
usuario.
138
Si nuestro objetivo es apagar las redes cableadas, hemos de identificar un punto en

el que conectar nuestro propio dispositivo. Una roseta en la pared de conector RJ 45.
Una impresora de red que está conectada a la misma en una zona poco transitada
de la empresa puede ser un buen comienzo para este vector de ataque. Mediante
ingeniería social, o mediante el análisis de vulnerabilidades en la seguridad y vigilancia
de una parte de la empresa, podríamos acceder con nuestro portátil a una oficina,
conectarlo a la red cableada e intentar realizar los ataques que creamos oportunos
para conseguir información o instalar una puerta trasera con la que conectarnos
desde el exterior una vez hayamos salido de la oficina. Podríamos hacernos pasar por
el servicio técnico que concreta una cita con un empleado para ir a revisar su equipo
y usar este mismo equipo del empleado para el mismo fin que queremos hackear.
Con la evolución de los ordenadores ARM, unos dispositivos pequeños y potentes,

podríamos diseñar una nueva forma de vector de ataque, configurando una Raspberry
Pi con herramientas previamente instaladas que introduciremos de forma oculta en la
empresa, la conectaremos a su red cableada, y podemos ocultarla en falsos techos
o falso suelo gracias a su pequeño tamaño. Para un ataque más duradero en el
tiempo tendremos que conectarla a la red eléctrica para que se alimente, o si estamos
pensando en un ataque a corto tiempo, podremos instalarle unas baterías. Dicha
Raspberry puede tener instalado un sniffer de redes cableadas y una antena wifi con
la que nos enviará al exterior la información esnifada de la red cableada.
Figura 5.1. Imagen de una Raspberry PI, un dispositivo del tamaño de una tarjeta de crédito que podemos alimentar con baterías
y esconder para hacer ataques a redes wifi o cableadas.
139
Ciberseguridad
Figura 5.2. Imagen de un Wifi Pinneapple Nano, diseñado para realizar ataques Man-in-the-Middle..
Figura 5.3. Captura de pantalla del programa Wireshark, un sniffer de redes que captura paquetes y nos enseña el contenido.
140
Otra manera de conseguir información desde el interior mediante una instrucción

física podría ser la instalación de micrófono, cámaras ocultas, o incluso sensores de
movimiento, con los que conseguir audio, pulsaciones de teclas sobre un teclado, o
frecuencia de paso de personal de la empresa en una determinada zona.
5.1.3.2. WIFI
Nuestro objetivo es el ataque mediante técnicas de hacking a una red wifi. Como
tenemos la ventaja de que podemos hacerlo desde el exterior de las inmediaciones de
la empresa, con un portátil desde la acera de enfrente, desde una cafetería cercana o
desde un coche aparcado en el parking de la empresa, podremos intentar romper la
seguridad de la wifi y acceder a la red interna de la empresa como si de un dispositivo
legítimo se tratase. Los diferentes tipos de redes que pueden ser identificadas durante
la actividad del pentesting son casi infinitas, pues cada empresa implementará su red
asociado, a sus necesidades.
Las redes wifi pueden presentar los distintos sistemas de seguridad:
■■ Open: redes que carecen de medidas de seguridad que realizan el envío de

tráfico en texto plano. Dentro del ámbito empresarial es posible identificar este
tipo de infraestructura desplegada en redes para invitados de la organización.
■■ WEP: redes que cuentan con ciertas medidas de seguridad pero que en la
actualidad son completamente vulnerables debido a las múltiples vulnerabilidades
públicas, y la capacidad de lograr identificar la clave en texto plano en la red.
Este tipo de red podría ser identificada en localizaciones o infraestructuras
secundarias que no cuenten con revisiones periódicas.
■■ WPA /WPA 2 Personal: redes con medidas de seguridad adecuadas que

hacen uso de una única clave de acceso a la red. Pueden ser identificadas
en localizaciones o infraestructuras secundarias que sean utilizadas por
determinados departamentos o para funciones concretas. Esta tipología de red
puede estar haciendo uso o no de DWPS, en tal caso la seguridad de la red
dependerá de la complejidad de la contraseña y el filtrado que aplique el punto
de acceso al realizar pruebas de fuerza bruta.
■■ WPA/WPA 2 Enterprise: redes con medidas de seguridad adecuadas que

requieren la autenticación del usuario mediante usuario y clave. Normalmente su
usuario corporativo perteneciente al dominio Microsoft interno de la urbanización
es la tipología de red habitual que suele encontrarse en las redes corporativas
Una vez que hemos enumerado el tipo de seguridad con el que cuenta la empresa en
sus redes wifi, procederemos a romper dicha seguridad. Existen multitud de programas
y herramientas que nos ayudarán a vulnerarla. Dependiendo del tipo de configuración,
podríamos acceder a la red en unos segundos, en unos minutos o incluso no será
posible su acceso si la seguridad es alta debido a una buena configuración del punto
de acceso, la elección de una contraseña robusta, la segmentación de la red correcta,
el uso de un portal cautivo bien configurado, o incluso en situaciones extremas el
uso por parte del administrador de la red de la empresa de listas blancas y negras de
direcciones MAC.
141
Ciberseguridad
Tras vulnerar la seguridad de la red wifi y acceder a la red interna a través de este punto
de acceso, tendremos que volver a hacer un análisis para conseguir una enumeración
de activos que nos encontremos en este nuevo paso.
El equipo necesario para la ejecución de este ataque a la seguridad de la red wifi

constará o podrá constar de los siguientes:
■■ Antenas wifi: necesarias para ampliar las capacidades del equipo a la hora de
ejecutar el ataque y posteriormente en la intrusión si fuera necesario. Dependiendo
del tipo de localizaciones es posible que sea necesario hacer uso de antenas
dirigidas y omnidireccionales.
■■ Dispositivos: para realizar parte de las acciones es recomendable hacer uso

de dispositivos tales como Raspberry Pi, Orange Pi como Pi Zero, Arduino o
similares. Debido al reducido tamaño de estos, pueden meterse en un bolsillo o
en una mochila mientras van capturando, realizando las acciones necesarias. A
su vez es fácil configurar estos dispositivos para que levanten o se conecten a
una red wifi generada por el equipo desde la que gestionar los dispositivos con
un móvil o un portátil a través de una conexión SSH.
■■ Portátiles.
■■ Baterías adicionales tanto para los equipos utilizados como para los portátiles.
■■ Servidores externos para aquellos casos donde se vaya, a lanzar pruebas para
redireccionar a los usuarios algún tipo de aplicación falsa publica en Internet, que
dependiendo de la envergadura de nuestro ataque no tienen por qué ser grandes
equipos, sino simplemente un ordenador o dispositivo en el que almacenar los
datos que vayamos obteniendo y extrayendo de la organización.
142
Existen también herramientas online con las que podremos obtener diversa información,
como la web de wigle.net:
Figura 5.4. Captura de pantalla de la web Wigle.net , donde podemos obtener información OSINT sobre nombres de redes wifi
(SSID) y las direcciones MAC de los dispositivos que las emiten.
Figura 5.5. Captura de pantalla de la web Wigle.net con mayor zoom. Aquí se leen las MACs de los dispositivos.
143
Ciberseguridad
5.1.3.3. Fugas de información

Las fugas de información son otro vector de ataque. Consisten en la extracción de
información que puede ser intencionada o accidental. Las extracciones accidentales
las encontraremos por azar cuando un empleado incurra en algunas negligencias como
por ejemplo mandar un correo electrónico con información sensible a una o varias
cuentas que no deberían ser las receptoras de dicha información, cuando encontremos
un pendrive perdido en la puerta de una empresa, documentación sensible echada al
contenedor de reciclaje de papel, información en una caja de cartón sobre un envío
o recepción de un paquete que podamos encontrar en la basura, etcétera. También
podemos forzar la situación para que esta información salga de la empresa moviendo
nosotros algún hilo, utilizando la ingeniería social podremos obtener estos resultados.
Supongamos el caso de un atacante que prepara un Rubber Ducky, un dispositivo
con tamaño similar al de un pendrive, pero que internamente trabaja como un teclado.
Si conseguimos acceder a la empresa simulando por ejemplo ser un técnico, o un
aspirante a un trabajo que necesita imprimir un currículum que tenemos almacenado
en un pendrive, que resulta no ser tal sino un Rubber Ducky, podremos extraer
información de la empresa. Si conocemos el correo electrónico de un trabajador de
la empresa podemos mandarle un correo electrónico solicitando para una encuesta
algún dato sensible de la empresa, o si conseguimos suplantar la identidad de algún
cargo superior, podremos pedirle incluso informes para que nos los devuelva por
correo electrónico.
144
Figura 5.6. Rubber Ducky original (fuente: web oficial hak5.org).
Este dispositivo está a la venta por 44,99$ más transporte y aduana en su web oficial:
■■ https://shop.hak5.org/products/usb-rubber-ducky-deluxe
En el blog elladodelmal.com, se habla de este dispositivo ya en 2014. Podemos leer

información sobre él en la siguiente dirección:
■■ http://www.elladodelmal.com/2014/05/usb-rubber-ducky-un-teclado-
malicioso.html
145
Ciberseguridad
Figura 5.7. Imagen detallada de Rubber Ducky del blog elladodelmal.
A raíz del desarrollo de este dispositivo aparecieron en el mercado otros similares

que pueden configurarse de modo que el funcionamiento es el mismo que el Rubber
Ducky original, pudiendo encontrarlos en webs de electrónica por poco más de 3€. Es
el caso del ATMEGA32U4.
Figura 5.8. Imagen detallada del dispositivo USB ATMEGA32U4.
146
5.1.3.4. Ataque a servicios cloud

El ataque a servicios Cloud tiene dos fines fundamentales. El primero es atacar al
propio servicio Cloud, para comprometerlo, obtener información o sabotearlo.
El segundo puede ser comprometer dicho servicio para desde allí hacer una
enumeración de activos que estén comunicados o relacionados con el Cloud para
seguir evolucionando en nuestro ataque. Existe la posibilidad del uso de herramientas
que pueden ser utilizadas para hacer uso de una aplicación web como proxy para
lograr el acceso a la red interna en la que el servidor se encuentre conectado. Uno de
los principales aspectos que deberá ser tenido en cuenta es la tecnología que esté
siendo utilizada en el servidor, siendo SPX, PHP y JSP las que más favorecerán la
intrusión. La herramienta más conocida para desarrollar esta acción es ReGeorg. Es
una herramienta desarrollada por la empresa de seguridad Sensepost y que cuenta
con los recursos necesarios para desplegar la herramienta en servidores que hagan
uso de la tecnología ASPX, PHP y JSP.
Puede encontrarse en el repositorio oficial de ReGeorg en:
■■ https://github.com/sensepost/regeorg
Para hacer uso de ReGeorg se debe subir el recurso en cuestión, ya sea PHP, ASPX
o JSP, a la aplicación web objeto mediante el vector identificado ya sea mediante la
subida de ficheros directa, una inyección SQL, una inyección en una imagen, etcétera.
Una vez subido el fichero es necesario ejecutar script Python, que hace de cliente en
la máquina del auditor, y donde se indica la ruta exacta donde se encuentra el recurso
subido. De forma opcional también se puede indicar el puerto local que se va a poner
a la escucha, en caso contrario la herramienta hará uso del puerto 8080 definido
por defecto. Tras ejecutar el script se establece un túnel, de tal forma que todas las
comunicaciones que sean enviadas a través del puerto local que haya sido definido,
saldrán a través de la máquina vulnerada. Consiste por lo tanto en desplegar un proxy
mediante el uso de tecnología web, y de hecho puede ser usado como tal mediante
cualquier tipo de herramienta para la gestión de proxys como por ejemplo proxichains.
Figura 5.9. Captura de pantalla del comando de descarga de ReGeorg del repositorio de Github.
147
Ciberseguridad
Figura 5.10. Captura de pantalla del comando de comprobación de la descarga correcta de ReGeorg.
Figura 5.11. Captura de pantalla de la ejecución de ReGeorg. Tras la “-u”, habría que escribir la ruta exacta de nuestro upload.
5.1.4. Ataque
Una vez que hemos recuperado toda esta información estamos preparados para
realizar el ataque. Haremos uso de las vulnerabilidades detectadas, moviendo las
fechas de seguridad que hayamos identificado en las fases previas. Nuestra intención
es tener acceso real la red interna de la empresa. La ya nombrada organización
OWASP se encarga de numerar el Top 10 de las vulnerabilidades a nivel mundial. La
mayoría de los servicios que utilizan las empresas y que presentan vulnerabilidades
tendrán un porcentaje elevado se corresponde con esta enumeración. En 2017 el Top
10 de riesgo en seguridad de aplicaciones fue la siguiente:
■■ Inyección: SQL, NOSQL o LBAP, ocurren cuando se envían datos no confiables

a un intérprete de manera que podemos engañar y hacer que se ejecuten
comandos involuntarios sin la debida autorización.
148
■■ Pérdida de autenticación: permite a los atacantes comprometer usuarios y

contraseñas asumiendo la identidad de otros usuarios.
■■ Exposición de datos sensibles: puede accederse a datos sensibles de salud,

información personal, información financiera, tarjetas de crédito, identidades,
etcétera, por falta de cifrado en su almacenamiento o tránsito.
■■ Entidades externadas XML: los procesadores XML mal configurados en

documentos pueden utilizarse para revelar archivos internos.
■■ Pérdida de control de acceso: una mala implementación de restricciones a

usuarios no autenticados puede permitir ver archivos sensibles, modificar datos,
cambiar derechos de acceso, etcétera.
■■ Configuración de seguridad incorrecta: existen falta de parches o

actualizaciones, componentes desactualizados, cabeceras HTTP con datos
expuestos, etcétera.
■■ Secuencia de comandos en sitios cruzados XSS: una aplicación que maneje

datos no confiables y que sean enviados al navegador web sin una validación
y codificación apropiada, como por ejemplo ejecutando un java script en el
navegador.
■■ Deserialización insegura: una aplicación recibe objetos dañinos que pueden ser
manipulados o borrados por el atacante con el fin de enviar indicciones o elevar
sus privilegios de ejecución.
■■ Componentes con vulnerabilidad desconocidas: tales como biblioteca,

frameworks y otros módulos configurados para ejecutarse con privilegios que
no les corresponde.
■■ Registro y monitoreo insuficientes: la falta de respuesta ante incidentes por las

empresas permite a los atacantes mantener el ataque en el tiempo, pivotar a
otros sistemas y manipular sus datos.
Podemos encontrar la lista completa mucho más detallada en la siguiente URL:
■■ https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
5.1.5. Explotación
Llegados a este punto el auditor decidirá qué vector de ataque es el más adecuado para
realizar el ataque. Una de las herramientas más conocidas es Metasploit. Metasploit
nos permite aprovechar una vulnerabilidad conocida a través de un framework
amigable para el usuario, como si fuese una asistente que nos irá conduciendo por
sus menús para elaborar nuestro ataque con todas las opciones que nos permitan la
vulnerabilidad sobre la que queremos ejecutar el ataque.
149
Ciberseguridad
Figura 5.12. Captura de pantalla de Metasploit.
150
Figura 5.13. Captura de pantalla de Metasploit y el uso del comando “show exploits”, que nos muestra todos los exploits
disponibles en la versión actual que tengamos instalada.
5.1.6. Post-explotación
La siguiente fase de nuestra auditoría parte de la posición en la que nos encontramos:
hemos analizado una infraestructura, hemos hecho un inventario inicial de
vulnerabilidades, hemos conseguido acceder a la red corporativa haciendo uso de
una vulnerabilidad conocida en Metasploit como una inyección SQL, una contraseña
olvidada en un fichero, un nombre de usuario y contraseña que nos ha proporcionado
involuntariamente un empleado, etcétera, y ahora nuestra intención es seguir
aprovechando este acceso conseguido con las siguientes subfases en la post-
explotación.
5.1.6.1. Information gathering

Si tenemos la suerte de que el equipo que hemos comprometido ya dispone de
información sensible, procederemos a su extracción: tenemos un tiempo limitado,
pues estamos dentro de la infraestructura, pero los sistemas antiintrusos de la misma
puede ser que nos detecten. Por ello nuestra velocidad es crucial. Hemos de investigar
nuevas vulnerabilidades, fallos de seguridad o cualquier otra característica informativa
que nos permitan elaborar un ataque posterior en caso de que este sea frustrado.
Obtendremos toda la información posible desde nuestra nueva posición, como:
nombres de equipo, rangos de red, versiones de programas, sistemas operativos y
versiones de antivirus, etcétera. Nos estamos preparando para hacernos más fuertes,
ahora que no somos un atacante externo a la organización sino que nos encontramos
dentro de sus dominios.
151
Ciberseguridad
5.1.6.2. Escalada de privilegios

La escalada de privilegios es una acción que nos permitirá avanzar en nuestro dominio
de la organización comprometida. Una vez que estamos dentro de ella buscaremos
la forma de ser un administrador con un acceso mayor a los recursos. Por ejemplo, si
hemos accedido a través de una red wifi y nos encontramos conectados a la red de la
empresa como un usuario invitado, probaremos a loguearnos como un administrador
para seguir recorriendo la red hacia nuevos objetivos más críticos. Si la red está bien
configurada esto no será posible, pero es nuestro trabajo intentarlo.
5.1.7. Borrar logs y matar procesos (borrado de huellas)

Una tarea indispensable en la realización de una auditoria o pentésting es el estado
del borrador de huellas. Hemos accedido a un sistema de forma no esperaba por
el administrador legítimo de la empresa. Puede ser que tengan implementado un
sistema de monitoreo de tráfico de red, un identificador de intrusos o un cortafuegos,
por lo que intentaremos acceder a los logs tanto del sistema comprometido como
de estos servicios de red, para eliminar todo rastro que haya podido generarse con
nuestra intrusión y nuestros escaneos. Esta acción tiene dos puntos. Por un lado lo
haremos con la intención de evitar ser detectados y por otro lo haremos para evitar
que si llegamos a serlo, sea más complicado para el administrador o responsable de
la red cortarnos el acceso, averiguar cómo lo hemos conseguido, y así de esta forma
mantener el acceso al sistema.
Las huellas de nuestro paso quedarán almacenadas en los logs del sistema y en
procesos que hemos tenido que ejecutar y correr para llevarlo a cabo. Podemos
eliminar los ficheros log o las bases de datos donde esto queda registrado, o podemos
contaminarlos con una cantidad de datos falsos tan grande que sea imposible deducir
cuáles son los buenos y cuáles son los malos. Lo primero sería eliminar todo registro,
pero presentarían saltos entre los registros por fecha y hora, dando la pista de que
algo inusual ha sucedido. Por ello a veces es mejor contaminar los logs con cantidades
ingentes de datos repetidos o falsos con la intención de que nuestro paso por la
empresa quede oculto por la sobreinformación.
No es una tarea sencilla, el simple acceso utilizando vulnerabilidades de un servidor

web Apache; puede llegar incluso a ser imposible eliminar todos los logs y huellas.
Tendríamos que borrar todos los siguientes ficheros de un sistema Linux:
■■ apache/logs/error.log
■■ apache/logs/access.log
■■ etc/httpd/logs/acces.log
■■ etc/httpd/logs/error_log
■■ etc/httpd/logs/error.log
■■ usr/local/apache/logs/error_log
■■ usr/local/apache/logs/error.log
152
■■ var/log/apache/error_log
■■ var/log/apache2/error_log
■■ var/log/apache/error.log
■■ var/log/apache2/error.log
■■ var/log/error_log
■■ var/log/error.log
■■ var/log/access_log
■■ var/www/logs/access_log
■■ var/www/logs/access.log
■■ usr/local/apache/logs/access_log
■■ usr/local/apache/logs/access.log
■■ var/log/apache/access_log
■■ var/log/apache2/access_log
■■ var/log/apache/access.log
■■ var/log/apache2/access.log
■■ var/log/access.log
■■ var/www/logs/error_log
■■ var/www/logs/error.log
Sí hemos utilizado una Shell, tendríamos que eliminar también el Bash History,
eliminando los ficheros .bash_history o .sh_history. Pero hay que recordar hacerlo
justamente antes de salir, pues si no seguimos alimentando estos ficheros con
cualquier nueva acción.
Los procesos que hemos ejecutado para nuestro beneficio sería interesante matarlos
para que no sigan ejecutándose.
153
Ciberseguridad
Una acción recomendada para conseguir despertar al administrador del sistema es

la de cambiar la fecha y la hora varias veces mientras estemos ejecutando nuestra
intrusión, con el fin de conseguir información falsa contaminando el sistema. Si solo
ejecutamos el cambio de fecha y hora una vez, no conseguiremos hacerlo plenamente,
pues es muy sencillo calcular desde qué hora hasta qué hora y con qué intervalo se ha
efectuado dicho cambio. Sin embargo, si lo cambiamos varias veces durante nuestro
ataque con fechas y horas adelantadas en el tiempo o retrasadas, nuestras huellas
estarán más confusas.
La diferencia entre un hacker y un pirata informático en esta tarea de eliminar huellas

puede determinar la forma de borrarlas. Un hacker en un trabajo de auditoría intentará
borrar las huellas para ganar persistencia. Un pirata informático las borrará para evitar
ser descubierto o identificado. No le importa tanto el estado en el que se quede el
sistema, puesto que ya lo ha vulnerado, ha robado la información y simplemente quiere
escabullirse. Una acción que podría realizar un pirata informático es la de la eliminación
completa del sistema. Podría borrar todos los ficheros, hacer que el sistema operativo
quedase inservible, borrar bases de datos y configuraciones de dispositivos, pues su
tarea ya está hecha o su intención era la de hacer un daño, por lo que la destrucción
del sistema digital de la empresa no le importa.
5.1.8. Persistencia
Hemos comentado que nuestro paso por el sistema pende de un hilo, a expensas de
que nos descubran dentro del sistema, por lo que una tarea indispensable que hemos
de realizar es la de persistencia. Nos dejaremos preparado un plan B, C, D, y tantos
como podamos para poder volver a acceder al sistema sin tener que pasar por todas
las fases anteriores que hemos tenido que implementar para llegar hasta aquí. Una
vez dentro de la infraestructura tenemos una posición privilegiada, por lo que será más
sencillo prepararnos un acceso secundario que solo conoceremos nosotros para una
futura intrusión en caso de que el vector de ataque actual que estamos atacando sea
descubierto o cerrado.
Podemos crearnos un usuario control de administrador del que conoceremos

la contraseña, y con el cual podremos acceder desde un equipo en un futuro. Si
pensamos que crear un administrador puede alertar a los responsables, podemos
crearnos varios usuarios con privilegios menores, pero los necesarios para acceder a
nuestro objetivo. Podemos instalar un backdoor o configurar una VPN o túnel hacia el
exterior. Existen herramientas automatizadas con las que podremos conseguirlo. No
es muy complejo crear un troyano y dejarlo instalado en el equipo comprometido, que
convertirá dicho equipo en un servidor de conexión al que accederemos desde nuestro
panel de control del troyano. Un ejemplo de este programa generador de troyanos es
DARKCOMET, proyecto abandonado desde 2012, aunque todavía existen en la web
lugares donde poder descargar este software malicioso. Un auditor experto nunca
lo utilizará, puesto que estos generadores de troyanos y gusanos son casi al 100 %
detectados por cualquier sistema antivirus. Las firmas y huellas que generan estos
ejecutables maliciosos son conocidos por todas las casas de antivirus. Lo mejor será
generar nuestros propios troyanos o programas automáticos de tunneling para evitar
ser descubiertos.
154
Actualmente existen los programas conocidos como RATS (Remote Administration

Tools), programas similares a DarkComet, que generan mediante un asistente un
ejecutable que podemos dejar en el equipo comprometido, mandarlo por correo
electrónico o instalarlo en el teléfono móvil de algún conocido. Con la instalación
y ejecución de este programa tendremos acceso completo a todos los ficheros
almacenados en el dispositivo, como fotografías y vídeos, a sus inicios de sesión,
control total sobre el dispositivo, e incluso ver lo que el usuario está viendo por pantalla.
5.1.9. Pivoting
Durante el proceso de intrusión interna el pentéster necesitará tener la capacidad
de acceder remotamente a sistemas internos de la organización, ya sea para lograr
acceso al sistema y analizarlo en busca de información sensible, o para acceder a
redes internas sobre las que inicialmente no se tuviera visibilidad. En ocasiones, esto
implicará hacer uso de sistemas comprometidos para lograr visibilidad y acceso a
redes y sistemas no accesibles de manera inicial.
Aunque dependiendo de la intrusión interna realizada, estas técnicas pueden variar

debido al tipo de sistemas, bien sea un entorno Windows o Linux, sistemas intermedios
de seguridad como cortafuegos, etcétera. Algunas de las principales técnicas y
herramientas pueden ser utilizadas a nivel interno para desarrollar estas acciones de
movimiento lateral, en las que la idea general es la de controlar un equipo con mayor
acceso a activos del sistema desde un ordenador en una zona menos privilegiada que
sí hemos podido comprometer.
Un ejemplo de esta acción es la de hacer uso del protocolo SMB. Es un protocolo

de la capa de aplicación que fue diseñado para la compartición de archivos e
impresoras en entornos Windows. Esta funcionalidad permite la conexión entre
sistemas, permitiendo tanto el intercambio de ficheros como la posibilidad de ejecutar
comandos del sistema de forma remota. El uso de este protocolo podrá utilizarse tanto
para el acceso mediante usuarios locales del sistema, como mediante usuarios de
dominio con privilegios suficientes para ello. Es un protocolo muy conocido, por lo que
seguramente estará bien configurado y monitorizado, pero podemos encontrarnos
en la situación de que no lo esté. Un ejemplo sería haber comprometido un equipo
que no contiene ninguna información que nos interese, pero que sí que tiene acceso
a una carpeta compartida en red en un servidor de datos. Utilizaremos este equipo
comprometido para acceder a la carpeta compartida del servidor y extraer los datos
que nos interesen, ya que de otro modo sería imposible, pues el servidor con los datos
importantes no hemos conseguido comprometerlo.
Otro ejemplo sería el de explotar el servicio de escritorio remoto RDP, permite a

los usuarios de Windows acceder gráficamente y de forma remota a un sistema.
Dependiendo del entorno en el que se encuentre el pentéster, es posible que sea
la única forma de interactuar con ciertos sistemas internos sobre los que se quiere
saltar o pivotar para lograr acceso a otros sistemas no accesibles de forma directa.
Es recomendable que, en aquellos casos en los que se utilice el servicio RDP para
acceder a un sistema remoto, se tenga una continua monitorización de los usuarios
que se encuentren activos en ese momento. Esto puede ser especialmente relevante
si existen controladores de dominio o si existe acceso a puestos de escritorio
convencional.
155
Ciberseguridad
El uso de RDP es común durante un proceso de intrusión interna, y existen ciertas

acciones, funcionalidad y herramientas que pueden ser utilizadas durante el proceso
de inclusión interna y movimiento lateral. Podemos encontrarnos también con que el
servicio RDP no esté activado, pero podemos forzar su activación para el siguiente
reinicio de la máquina que queramos comprometer añadiendo al registro una
instrucción:
■■ C:\> reg add “hklm\system\currentcontrolset\control\terminalserver\Winstations\

RDP-TCP” /f /v PortNumber /t REG_DWORD /d 443
Si conseguimos ejecutar esta instrucción en un equipo, dejaremos preparado para

su próximo reinicio que se active el servicio RDPP, por lo que nuestra intrusión en el
sistema podrá ser ejecutada en un futuro.
Un tercer vector de ataque es la dirección de puerto sin túneles. Si detectamos

un sistema con un servicio en un puerto concreto, podemos modificar un puerto
conocido hacia ese servicio para conseguir atacarlo fuera del posible monitoreo de
sistemas anti intrusiones. En sistemas UNIX las técnicas utilizadas son distintas, pero
podemos atacar la configuración de conexiones SSH o dejarnos un script escrito en
Bash, Phyton o PHP con el fin de conseguir conexiones inversas que atacaremos en
un futuro.
156
RESUMEN
■
En este tema hemos abordado distintas cuestiones relacionadas con la propia acción
de realizar un ataque real y efectivo contra la infraestructura de una empresa. Hemos
visto distintas herramientas conocidas para comprometer los activos interesantes o
deseados analizando los distintos sectores posibles de ataque. Hay que remarcar que
no es un proceso estático, sino que cada auditoría será totalmente distinta, dependiendo
de la información que ya hemos obtenido previamente. Cada empresa desarrolla sus
sistemas de seguridad de una forma totalmente única, instala unos sistemas operativos
según sus necesidades, e incluso instala y adquiere sistemas de seguridad y antivirus
dependiendo de su propia economía interna, por lo que se extiende ante nosotros un
extenso abanico de posibilidades, técnicas, vulnerabilidades, ataques, un etcétera casi
infinito. Es elección del pentéster el uso de todo ello, o de una mezcla de conocimientos
personales con los que logrará comprometer a la empresa.
■
El fin de todo este proceso no es otro que el de hacer efectivo un simulacro de ataque
real, descubrir que realmente puede vulnerar los sistemas, de una manera puntual o
prolongada en el tiempo mediante la aseguración de persistencia, la efectividad del
ataque hacia los activos más críticos haciendo uso de pivoting o movimiento lateral, el
acceso a información privada no accesible a usuarios ajenos mediante la elevación de
privilegios, ym una vez conseguido este ataque dirigido hacia la empresa, demostrará
la existencia de fallos con el único fin de informar a la organización para la subsanación
de todas estas brechas .
■
Las herramientas y técnicas mencionadas son solo la punta del iceberg de toda una
caja de herramientas inmensa con la que el pentéster cuenta.
157
6 6
Ciberseguridad
DIDÁCTICA
UNIDAD
6. Análisis forense de redes y equipos

ÍNDICE
OBJETIVOS................................................................................................................................................................ 163
INTRODUCCIÓN....................................................................................................................................................... 164
6.1. Definición............................................................................................................................................................. 165
6.2. Metodología......................................................................................................................................................... 167
6.3. Equipo necesario................................................................................................................................................. 169
6.4. Fases.................................................................................................................................................................... 171
6.4.1. Adquisición........................................................................................................................................................ 172
6.4.2. Preservación..................................................................................................................................................... 200
6.4.3. Análisis............................................................................................................................................................. 203
6.4.4. Informes........................................................................................................................................................... 213
6.4.5. Presentación..................................................................................................................................................... 213
RESUMEN................................................................................................................................................................... 217
161
OBJETIVOS
■ Comprender qué es el análisis forense.
■ Comprender la finalidad del análisis forense.
■
Conocer los métodos, el equipo y el proceso que conlleva la realización de un análisis
forense.
■ Conocer qué es la cadena de custodia y su importancia.
■ Conocer la serie de medidas necesarias para no comprometer la cadena de custodia.
■
Conocer el proceso de generación de informes necesarios dependiendo de la finalidad
para la que hayamos hecho el análisis forense.
163
Ciberseguridad
INTRODUCCIÓN
El último cuarto del siglo XX está plagado de Pocos meses después la compañía Google lanzó
acontecimientos que pronosticaban la inminente su sistema operativo Android, el cual permitía ser
introducción de los procesos cotidianos del ser instalado en infinidad de dispositivos de innumerables
humano en la era de la informática. El envío del primer marcas de smartphones, dotando a la tecnología de la
correo electrónico a finales de 1971, la invención del telefonía móvil de unas prestaciones nunca vistas hasta
primer PC por parte de HP en agosto de 1981, el el momento: navegación web, correo electrónico,
diseño y comercialización de los Apple Mac en enero GPS, aplicaciones de ofimática, juegos, aplicaciones
de 1984 con una interfaz gráfica amigable para todos multimedia, aplicaciones de comunicaciones, …
los usuarios, la implementación en 1990 del protocolo Con estos nuevos dispositivos, tanto los PC como
HTTP y el desarrollo de Mosaic, el primer navegador los smartphones, todos ellos interconectados y
web, en marzo de 1993 o la puesta en funcionamiento compatibles entre ellos y con la gran versatilidad que
del motor de búsquedas de Google en septiembre poseen, se han ido introduciendo en nuestras rutinas
de 1998, son los comienzos de los grandes hitos diarias tanto de ocio como de productividad, hasta
tecnológicos que comenzaban a modificar la forma el punto de que prácticamente todo lo que hacemos
de comunicarnos, relacionarnos y los procesos diariamente se hace usando uno de estos dispositivos
productivos. total o parcialmente. Extrapolando su uso a todas las
Paralelamente, los teléfonos móviles cursaban su actividades humanas diarias, podemos pensar que
propia evolución y mejora. En 1992 los PDA de IBM también los delitos, espionajes, actividades delictivas
incorporaban funciones de mensajería y ofimática. y demás acciones abusivas son llevadas a cabo o
Entre 2002 y 2004, los HTC con sistema operativo al menos están relacionadas con el uso de dichos
Microsoft Windows Pocket PC, los dispositivos Palm dispositivos.
con su Palm OS y los Blackberry con el Blackberry Nace así pues la técnica del análisis forense, la cual
OS comenzaban a popularizarse entre todos los se encarga de investigar los sistemas de información
sectores de la tecnología de consumo. Pero el hecho para poder estimar si un dispositivo ha sido usado
que marcó un antes y un después fue el anuncio del para la comisión de un delito o acción concreta,
iPhone y el iOS en 2007. recabar información sobre ese delito o acción, su
modo de ejecución o, también, la inocencia de que
dicha acción no se perpetró.
164
6.1. Definición
El análisis forense digital o análisis forense informático es el manejo de técnicas
informáticas y analíticas especializadas y concretas a los dispositivos tecnológicos o a
parte de sus componentes, que permiten conseguir la identificación, la preservación,
el análisis y la presentación específica de datos que sean válidos y fiables dentro de
un proceso legal o aclaratorios de unos hechos en el que esté involucrado el uso de
las TIC.
Dichas técnicas conllevan la reconstrucción el bien informático en un laboratorio

controlado a un estado inicial original, el análisis de datos residuales fruto de la
manipulación de información, la autenticación de estos mismos datos y la explicación
de las características técnicas del uso y manejo que se aplicó a los datos y componentes
de hardware informático. Para la obtención de dicho fin se usa tecnología que
permita mantener la integridad de los datos y del procesamiento de estos unida a
la especialización y conocimientos avanzados en materia de informática y sistemas
para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido.
El conocimiento del informático forense abarca el conocimiento no solamente del
software sino también de hardware, seguridad, redes, hacking, cracking, recuperación
de información y cualquier otra rama de la informática que se precise.
La informática forense ayuda a detectar pistas sobre ataques informáticos, sobre

robos de información, conversaciones o timelines de emails y chats, almacenamiento
de ficheros con información necesaria para la consumación de un delito haciendo uso
de las TIC o, desde el lado de la defensa, ayudar a demostrar la no implicación en
unos hechos.
La importancia y relevancia de esta información y poder mantener su integridad se

basa en que las evidencias digitales o electrónicas son sumamente frágiles. El simple
hecho de darle doble clic a un archivo modificaría la última fecha de acceso al mismo
o, en el caso de ejecución de aplicaciones o comandos, podrían suponer la pérdida de
dichas pistas, su modificación o el incremento en la complejidad de un uso posterior
de las mismas.
Paralelamente a las evidencias visibles, un forense informático puede llegar a recuperar

información que haya sido borrada desde el sistema operativo, bien accidentalmente
o intencionadamente. Se han de tener muy presentes el principio de intercambio de
Locard así como el estándar de Daubert, dos normas aplicadas con anterioridad a los
procesos forenses físicos que ahora se aplican a los procesos forenses digitales:
Principio de intercambio de Locard: cada vez que se hace contacto con

otra persona, lugar, o cosa, el resultado es un intercambio de materiales
físicos.
165
Ciberseguridad
Estándar de Daubert, se considera la admisibilidad del testimonio de los

expertos con acuerdo a la teoría científica, y donde la prueba debió ser
respaldada por el conocimiento científico para que el testimonio de los
expertos sea pertinente. En este sentido, se consideran cinco criterios
mínimos como requisito de admisibilidad de la prueba:
a) Haber sido examinada a través del método científico
b) Haber sido sometida a una revisión previa
c) Contar con estándares establecidos
d) Tener un rango de error conocido o potencial
e) Tener una amplia aceptación por una comunidad científica relevante
por su importancia en el análisis de criminalística y la admisibilidad de
pruebas que un perito forense debe presentar como testimonio en un
juicio, respectivamente.
Es muy importante mencionar que la informática forense no tiene parte preventiva, es

decir, la informática forense no tiene como objetivo prevenir delitos. De ello se encarga
la seguridad informática. Habitualmente ambos términos pueden confundirse, por lo
que aclaramos que la seguridad informática tiene un carácter preventivo mientras que
la informática forense tiene como objetivo la aclaración, demostración y validación de
unos datos o procesos informáticos según sea el caso necesario.
166
6.2. Metodología
Para la realización de un análisis forense digital podemos destacar las siguientes fases:
1. Identificación del incidente.
2. Recopilación de evidencias.
3. Preservación de la evidencia.
4. Análisis de la evidencia.
5. Documentación y presentación de los resultados.
Cabe destacar que estas cinco fases son una guía muy simple con la que abordar
un análisis forense digital, ya que cada una de ellas puede complicarse o incluso
necesitar de una complejidad distinta, dependiendo del asunto que queramos abordar,
el entorno de trabajo con el que nos encontremos, el tiempo del que dispongamos o
incluso el estado de los equipos informáticos que tengamos que analizar.
El objetivo buscado depende directamente del fin que queramos conseguir. Debido
a la gran cantidad de información que se almacena en un dispositivo electrónico
cualquiera hoy en día, sería imposible analizar toda ella. Pensemos en un ordenador
“normal” que podamos tener en nuestra casa o en nuestra oficina. No hace falta que
sea un CPD de una gran empresa multinacional para poder encontrar cientos de
gigabytes o varios terabytes de información almacenada en nuestros discos duros,
tanto internos como externos, pendrives, memorias internas en teléfonos móviles,
tarjetas SD, memoria de dispositivos MP3 o MP4, grabadores de TV, videoconsolas,
relojes inteligentes, pulseras FitSmart, cámaras de videovigilancia con grabaciones
en su memoria…, y un largo etcétera que no enumeraremos completamente por ser
amplísima desde que Internet de las Cosas (Internet of Things - IoT) nos invadió. Tal
vez de todo ello tengamos conciencia de su existencia, pero hay otra lista inmensa
si añadimos los datos almacenados en la nube, tales como correos electrónicos
que guardamos en Gmail, Hotmail, Yahoo…, ficheros guardados en Google Drive,
DropBox, Mega, One Drive… Existe un tercer grupo de información que son los logs
que se crean cada vez que nos conectamos a una red wifi o cableada, a una red 3G
o 4G, dispositivos BlueTooth… información bastante opaca para el usuario medio,
ya que no es una información que el usuario utilice, sino que se va modificando y
ampliando automáticamente con el uso que hagamos de nuestros dispositivos.
Toda una maraña de direcciones IP, direcciones de páginas web (URLs), nombres
de servidores, resoluciones DNS, números identificativos de estaciones de telefonía,
tiempos de conexión, y otro largo etcétera de datos van quedando registrados en un
historial de uso en nuestros dispositivos, en los servidores de los que hacemos uso y
en los logs de las compañías telefónica y de internet.
167
Ciberseguridad
Tras esta ingente lista de lugares en los que nuestra información queda guardada,
volvemos al tema que estamos tratando, el objetivo buscado en un análisis forense.
Hacemos hincapié, en la imposibilidad técnica y humana de analizar toda esa
información. Nuestro objetivo será concreto, claro y definido acorde con la necesidad
creada. Si por ejemplo el delito que se cometió fue el envío de un correo electrónico
amenazante, buscaremos restos o indicios de dicho correo, posibles documentos
en los que se redactó dicho correo, inicios de sesión, conexiones, cookies, ficheros
temporales… que lo relacionen con el servidor de mail desde el que se envió el correo
analizado.
168
6.3. Equipo necesario

No olvidemos que nuestro trabajo, una vez hayamos creado el informe inicial del espacio
que rodea el equipo que analizar, será crear una imagen del disco duro o pendrives del
lugar para analizarlos posteriormente. Imaginemos que tenemos que realizar un análisis
forense de los equipos de una oficina en la que hay cinco ordenadores de sobremesa,
cada uno de ellos con un disco duro interno de 1TB, un disco duro externo USB de
500GB donde realizan su copia de seguridad y dos pendrives de 32GB. Tendríamos
que crear veinte imágenes de las veinte unidades encontradas y, si además contamos
con el factor tiempo, que la mayoría de las veces no es el suficiente, tendremos que
pensar en que necesitamos veinte ordenadores completos que realicen el trabajo de
creación de imágenes o veinte clonadoras de disco simultáneamente (en el supuesto
de tener que hacer el trabajo en un tiempo muy reducido). Estas máquinas clonadoras
suelen valer entre 3 000€ y 10 000€.
Figura 6.1. Máquinas clonadoras de la marca ICS-IQ. La de la izquierda se corresponde con el modelo “ROADMASSTER-3 X2
FORENSIC HARD DRIVE ACQUISITON/DUPLICATOR/ANALYSIS LAB” y la de la derecha es la“MobileForensicsSystem
iDC-4501”.
Cabe destacar también que hoy en día la clonación de discos ya no se suele utilizar.
Esta técnica es necesaria para la realización de análisis forense, pues para preservar la
prueba nunca se ha de trabajar directamente sobre esta, sino que se hace una copia
y todos los trabajos de análisis se realizan sobre la copia, teniendo la certeza de que
la copia es una fiel imagen del original. En el caso expuesto anterior, necesitaríamos
diez discos duros iguales (en marca y modelo) a los encontrados en la oficina del
ejemplo, y diez pendrives con la misma característica (misma marca y modelo). Aparte
de la complejidad de poder encontrar estos componentes de hardware iguales a los
hallados en la oficina, hemos de pensar en el consiguiente desembolso económico de
tal acción, así como el espacio físico que ello conlleva. Para ello, la técnica utilizada
ahora mismo es la de copiar cada unidad en una imagen.
169
Ciberseguridad
Una imagen es un fichero que contiene la totalidad de una unidad de almacenamiento.

Ello nos permite realizar varias copias de la prueba, pues es un fichero con el que
podemos trabajar como otro cualquiera, podemos almacenar en una unidad de
nuestra propiedad varias imágenes de pruebas, enviarlas o compartirlas con otros
compañeros para colaborar en el estudio, almacenarlas en la nube, …
Para preservar la prueba nunca se ha de trabajar directamente sobre esta,

sino que se hace una copia y todos los trabajos de análisis se realizan sobre
la copia.
170
6.4. Fases
A la hora de realizar un análisis forense es importante seguir una hoja de ruta o protocolo
de actuación, con el fin de no cometer errores ni dejarnos ningún hilo suelto y así
conseguir un enfoque más profesional de la misma, evitando que el trabajo realizado
no sea completo, erróneo o incluso refutado por un análisis paralelo realizado por otro
analista. Una posible guía (no hay un único camino) podría ser la siguiente:
■■ Adquisición: los datos que hemos de analizar están obligatoriamente

almacenados en dispositivos electrónicos. En esta fase nos encargaremos de
acceder físicamente a estos dispositivos.
■■ Preservación: una vez que tenemos en nuestras manos el dispositivo electrónico

objeto de nuestro análisis tendremos que realizar copias de este y almacenarlas
o cederlas de una forma controlada.
□□ Copias: para garantizar la inmutabilidad del dispositivo electrónico original,

realizaremos copias de este en otros medios sobre los que realmente
realizaremos los análisis.
□□ Cadena de custodia: en esta fase garantizaremos tanto que las pruebas se

almacenan de una forma correcta evitando su manipulación externa, daño
físico o mutabilidad de los datos que contienen. También, si hemos de cederlo
a terceros, lo haremos de una forma documentada.
■■ Análisis: los datos contenidos en los medios pueden ser muy extensos,
complejos o no ser concluyentes con el fin buscado. En esta fase extraeremos
la parte de los datos que sí serán objeto de nuestro análisis, obtendremos
conclusiones, deduciremos hechos pasados o seleccionaremos parte de ellos
como conclusión.
■■ Informes: los responsables encargados de recibir la información no siempre

serán entendidos en las ciencias informáticas, por lo que redactaremos un
informe explicando todo el proceso.
□□ Presentación: la tarea de presentar las conclusiones es igual de importante

que todas las fases anteriores. Es la forma que tenemos de comunicar
nuestros descubrimientos a nuestro cliente.
●● Defensa en juicio: si nuestro informe tiene como finalidad la defensa o

fiscalidad de un caso, enfocaremos nuestro informe hacia este fin.
●● Uso interno: si nuestro informe tiene como finalidad el esclarecimiento de

un hecho en un proceso interno de una empresa, se definirán medidas de
acción para evitar su repetición en un futuro o la forma de mitigar el efecto
una vez sufrido dicho hecho.
171
Ciberseguridad
6.4.1. Adquisición
Un ordenador tal y como lo conocemos hoy en día es una máquina electrónica que
recibe y procesa datos, para convertirlos en información conveniente y útil, que pueda
ser interpretada por humanos, por otros ordenadores o por ciertos componentes
electrónicos como autómatas o maquinaria con los que efectuar un trabajo concreto.
Un ordenador está formado físicamente por numerosos circuitos integrados y muchos
componentes de apoyo, extensión y accesorios, que en conjunto pueden ejecutar
tareas diversas con suma rapidez y bajo el control de un programa (software). En
lo más básico de la informática, un ordenador podría considerarse una placa base,
un procesador y una memoria RAM correctamente alimentados. Solo con esos
componentes ya puede procesarse la información. Lo más extendido en la informática
de usuario o comercial es que además se le añadan otros periféricos, como unidades
de almacenamiento no volátil (discos duros, pendrives, unidades de CD y/o DVD…)
en los que almacenar información que podamos usar posteriormente, una pantalla
(monitor, proyector, display LCD…) que permita mostrar al usuario estados con los
que interactuar, periféricos de entrada (teclado, ratón, pantalla táctil…) con los que
introducir nuevas instrucciones, periféricos de comunicaciones (tarjetas ethernet,
tarjetas wifi, dispositivos bluetooth…) con los que transmitir la información, y un largo
etcétera de periféricos diseñados para una multitud de tareas que el trabajo con
información requieren.
Nosotros haremos un estudio especial centrándonos en los dispositivos de

almacenamiento, pues, al contrario de los demás componentes, que son estáticos,
su uso hace que puedan considerarse componentes “vivos”, donde se almacenan
tanto la información que el usuario guarda como la información que el sistema guarda
para su correcto funcionamiento, para su posterior análisis de errores o para optimizar
tareas comunes y repetitivas.
Desde el punto de vista del análisis forense, tenemos que tener en cuenta que el
componente fundamental de un ordenador que tenemos que analizar son los
periféricos de almacenamiento. En el caso de los discos duros internos tendremos
que abrir la caja del ordenador, bien sea en formato torre o un portátil, extraerlo y
analizarlo desde nuestro equipo especial de análisis. Por ello, hemos de seguir una
metodología que nos permita recabar toda la información disponible sin contaminar el
estado inicial del equipo. Existen pistas minúsculas que nos aportan información sobre
cómo se ensambló un equipo, si este ha sido intervenido en algún momento, hábitos
de uso tanto del equipo como del entorno en el que se encuentra el mismo, hábitos
del usuario… Muchas veces una simple observación cuidadosa nos permitirá saber si
el equipo ha sido reparado anteriormente, si ha sido ampliado e incluso si un puerto
USB suele utilizarse para conectar algún dispositivo o no.
172
Cuando tengamos que realizar un análisis forense de un equipo informático hemos de

empezar a recopilar información desde lo más general a lo más concreto. Es común
entre los informáticos, forenses y técnicos, que ante un equipo que no funciona bien
por alguna causa, lo primero que se hace es desmontar la chapa lateral o superior
del ordenador para “echar un vistazo”. Para hacerlo, desenchufamos los cables y
quitamos los tornillos de la chapa lateral de la torre para poder acceder al interior. Al
hacerlo, nos damos cuenta de la posición en la que estaban conectados los cables,
por ejemplo, si un equipo tiene cuatro puertos USB traseros en los que se enchufa
un ratón, un teclado, una impresora y un disco duro, luego es imposible recordar qué
puerto ocupaba cada uno de ellos.
Para evitar esto, se proponen una serie de reglas que deberían seguirse en este orden:
1. Observamos el puesto de trabajo. Anotamos o fotografiamos el puesto tal y

como está antes de tocar ninguna de sus partes. Podemos identificar si el
usuario es diestro o zurdo por la posición del ratón a un lado u otro del teclado.
En las proximidades de la zona de trabajo podemos encontrar post-its, notas,
recortes, pegatinas… que nos pueden decir incluso el trabajo que realiza
el usuario, por ejemplo, si encontramos notas pegadas en la pantalla con un
número de cuenta bancario podemos intuir que dicho usuario es el encargado
de revisar las cuentas de la empresa, si encontramos una dirección FTP con
nombre y contraseña, intuiremos que una de sus tareas es la de realizar copias
de seguridad, etc.
2. Observaremos las marcas de uso que podamos ver en el teclado o en la pantalla

de un teléfono. Si es en un teclado veremos las teclas en las que la serigrafía
está más gastada. Puede arrojarnos pistas de si se ven más castigadas las letras
“W”, “A”, “S” y “D” es que ese equipo se usa habitualmente para jugar, o en el
caso del teclado numérico las teclas “+”, “-” e “Intro”, diríamos que ese equipo
se usa para meter contabilidad, facturación o hacer presupuestos. No siempre
se gasta la serigrafía, sino que puede verse tal vez que esas teclas tienen un
brillo especial con respecto al resto por presentar una superficie más pulida.
En una pantalla de teléfono, hay veces que puede saberse cuál es el patrón de
desbloqueo o PIN por las marcas de grasa que quedan en la pantalla.
173
Ciberseguridad
Figura 6.2. Teclado usado con teclas gastadas y sucias delatando hábitos de uso.
Figura 6.3. Pantalla de teléfono móvil delatando posible patrón de desbloqueo.
3. Observaremos la distribución de los cables. Anotaremos o fotografiaremos

el puerto al que está conectado cada uno de los mismos o marcaremos e
identificaremos cada uno de ellos. Puede ser interesante poder reproducir a
posteriori el estado inicial de dispositivos y periféricos. Cada uno de los puertos
traseros de comunicaciones tiene una dirección de memoria asignada. Hay veces
que los sistemas operativos asignan una letra de unidad distinta si conectamos
una misma unidad de almacenaje a un USB diferente (E:, F:, G: …).
4. Observaremos los hábitos de uso que el usuario nos ha dejado. Un puerto limpio,
sin polvo nos indica que ese puerto suele tener un cable conectado que impide
que la suciedad penetre en él. Un puerto sucio hace presuponer su poco uso.
Señales de agua en un lateral de la torre indica que el equipo suele estar ubicado
en el suelo, lugar donde la fregona ha manchado el mismo. Polvo en la parte
superior nos dice que no suele tener objetos encima, por estar normalmente
alojado en un cubículo de tamaño similar al del ordenador o en un lugar poco
accesible. Pegatinas identificativas al lado de cada uno de los puertos indica que
el grado de conocimientos de usuario sobre informática no están más allá que
su simple manejo para el desarrollo de su labor en la empresa. Incluso si nos
fijamos bien, podemos saber si ha estado en un lugar en el que las paredes han
sido pintadas de blanco hace poco.
174
Figura 6.4. Puertos USB con polvo indican su poco uso.
Figura 6.5. Puertos del lector de tarjetas llenos de polvo indican su poco uso.
Figura 6.6. Detalle de pegatina de vinilo autodestruible que al ser manipulada se resquebraja, indicando un intento de intrusión
al equipo, normalmente usadas por servicios técnicos y fabricantes para el control de garantías.
175
Ciberseguridad
Figura 6.7. Detalle de pegatina identificativa de fabricante. Esta pegatina es de un ordenador Fujitsu de sobremesa. Podemos
ver el modelo: ESPRIMO E700 E85+, que es el modelo comercial y el modelo técnico: DT8-D3061, la corriente
de entrada necesaria: de 100 a 240 voltios, de 50 a 60 hertzios y de 1,5 a 3,5 amperios, el número de serie:
YLCU054324. También puede verse el detalle de que este modelo se fabricó en su día por Fujitsu y se comercializó
con una licencia COA de Windows 7 Professional. Posteriormente se reacondicionó y se vendió con licencia de
Windows 10 Home..
5. Llegados a este punto, y habiendo anotado y fotografiado todo este entorno,

procedemos a abrir el equipo. La mayoría de los ordenadores comercializados
tendrán un sistema de cierre que consta de dos chapas laterales, sujetas por dos
tornillos cada uno localizados en la parte posterior del equipo. Estos tornillos son
de estrella, siendo la mejor herramienta para quitarlos un destornillador Phillips
PH2. Se desaconseja el uso de destornilladores eléctricos, ya que tanto los
tornillos como las chapas de la caja del ordenador están hechas con acero de
muy baja dureza y podríamos estropear la rosca si no hemos ajustado el par de
la herramienta. A modo de curiosidad, el acero con el que se hacen las cajas de
ordenador suele ser acero SPCC de 0,4 mm. Las siglas SPCC vienen de Steel
Plate Coldrolled Common, viniendo a ser un estándar japonés en la fabricación
de este tipo de material. Una pequeña parte de ordenadores viene con un sistema
de cierre propietario de la marca, constando de pestañas o manivelas de presión
que hacen que al ser pulsadas se libere una parte del chasis, pudiendo levantarla
o deslizarla. Este tipo de cierre suele ser poco habitual y existe gran variedad
de ellos, por lo que lo más cómodo es, si no se consigue encontrar el modo,
buscar en Youtube el modelo del equipo seguido de la frase “how to open”,
“disassemble” o similares.
176
Para alcanzar el interior de un equipo portátil, suele ser mejor utilizar un

destornillador tipo Phillips PH0. Ante la gran variedad de modelos existentes en
el mercado, no explicaremos los pasos de cómo hacerlo, dando únicamente
las siguientes pautas: primero quitaremos la batería y todos los periféricos que
tengamos conectados en el equipo. Luego, normalmente, hay que quitar todos
los tornillos de la parte inferior. Después hay que quitar el teclado que suele
quedar libre al extraer los tornillos de la parte inferior, o casi libre del todo si
tiene sobre la parte superior alguna pestaña que, en ese caso, procederemos
a liberar. Una vez extraído el teclado soltaremos el flex de datos que lo une a
la placa base liberando el conector con su sistema prisionero, quitaremos los
nuevos tornillos que no hayan aparecido debajo del teclado y podremos dividir
el portátil en las dos partes que componen la carcasa, una inferior que es donde
están las patas donde apoya el portátil sobre la mesa, y otra parte superior que
es la que contenía el teclado. Una vez conseguido esto, no sin haber tenido que
luchar un poco e incluso hacer uso de la fuerza, llegaremos al interior, donde
podremos ver la placa base, la memoria RAM, distintos componentes y nuestro
ansiado disco duro.
Un flex, cable interno o bus interno es un cable usado para conectar dos
o más componentes en el interior de un equipo electrónico. Es un cable
exclusivo, diseñado de una forma y para un uso únicos. Carece de conectores
en sus puntas, aunque suelen presentar un refuerzo, normalmente de color
azul, que facilita su inserción en el que va a conector hembra del dispositivo
a conectar.
Figura 6.8. Detalle de dos ejemplos de cable flex interno de un portátil. El de arriba es el que conecta una botonera de
encendido a la placa base y el de abajo la placa de puertos USB a la placa.
177
Ciberseguridad
Si lo que tenemos frente a nosotros es un equipo de sobremesa o portátil de la

marca Apple, necesitaremos destornilladores especiales, tipo Torx del 2 o del
3, o en los modelos nuevos los de punta pentalobe redondeada, un estándar
privativo para evitar que los usuarios accedan a la posibilidad de abrir los equipos.
Una vez conseguida la herramienta, el proceso es similar al descrito para los PC.
Figura 6.9. Otros modelos tienen tapas de acceso a los compartimentos del disco duro, memoria u otros componentes
facilitando su acceso.
178
Figura 6.10. Detalle de localización de los tornillos que hay que quitar para poder acceder a la placa base en un portátil Toshiba.
Por fin tenemos acceso al interior de nuestra máquina y se nos muestra de

nuevo un escenario interesante. El interior de un ordenador vuelve a ser un
lugar repleto de pistas con información sobre la vida del equipo. Números de
serie, pegatinas, anotaciones, componentes discordantes, … Procederemos a
identificar alguna de estas pistas. Hoy en día ningún fabricante fabrica todas
las piezas de un ordenador. Lo que conocemos como fabricantes (HP, Lenovo,
Acer, Samsung, Toshiba, Asus, …) realmente son ensambladores de equipos.
Distintos fabricantes son quienes fabrican los distintos componentes y luego
estas marcas crean sus propios diseños añadiendo estos a una caja. Es fácil
abrir un equipo HP y ver que la placa base ha sido fabricada por Asus, MSI
o Gigabyte, que el disco duro es Seagate, Western Digital o Toshiba, que el
procesador es Intel, Haswell o AMD, que la memoria RAM es Kingston, Hynnix,
Patriot, Cruzial o Samsung, que la grabadora de DVD es Asus, LG, Samsung
o Sony, que la fuente de alimentación es CoolBox, Tacens o PC Case. Incluso
los tan codiciados ordenadores Apple como el iMac tiene un procesador
Intel i5, memoria RAM Hynnix, la placa base tiene chips fabricados por Texas
Instruments, Macronics, Silicon Storage Technology, Cypress y Broadcom o el
disco SSD fabricado por Toshiba y controlado por un chip SandForce.
179
Ciberseguridad
Así pues, nuestra necesidad de abrir un equipo es porque necesitamos extraer

el disco duro para poderlo conectar a nuestro equipo clonador. Volveremos a
fotografiar o anotar lo que nos encontramos al abrirlo. Ciertas pegatinas del
fabricante o montador pueden darnos pistas de lo que ha sucedido anteriormente
en su interior o decirnos cómo fue ensamblado.
Figura 6.11. Detalle de dos pegatinas manuscritas en el ventilador del procesador y en la placa base. Al ser manuscrita nos puede
orientar en la identificación de que dicha pegatina ha sido añadida por el montador del equipo, tal vez una tienda
pequeña, no una cadena de montaje. Al ver que presentan ambas el número “1652”, podemos deducir que estas
dos piezas fueron instaladas en la misma fecha.
180
Figura 6.12. Detalle de pegatina manuscrita en el disco duro. El número que aparece es “1643”, distinto al de la placa base
y el procesador, pero muy próximos, por lo que deduciremos que fue ensamblado este equipo con estos tres
componentes en la misma intervención del técnico montador.
La etiqueta que el fabricante añade a los discos duros es un documento muy completo
con grandes cantidades de información, por lo que vamos a verlo con más detalle.
Figura 6.13. Detalle de etiqueta de unos discos duros internos de 3,5” con conexión sata. Pueden identificarse la siguiente
información: 1- marca, 2- serie comercial, 3- capacidad, 4-modelo, 5- número de serie, 6-part number o número
de pieza, 7- fecha de fabricación y 8- firmware instalado de fábrica.
181
Ciberseguridad
Llegados a este punto, tenemos en nuestras manos la ansiada pieza objeto de todos
nuestros análisis posteriores, el disco duro. Hay que decir que este componente es
sensible a golpes y radiación electromagnética, por lo que procederemos con suma
precaución en su manejo.
Pero, ¿qué es un disco duro?
Sintetizando a gran escala de lo que estamos hablando, un disco duro es una

proeza de la ingeniería. Un disco se compone de uno o más platos girando, en la
mayoría de los casos, a 7200 r.p.m. (recordemos que van desde las 5400 a las 15
000 r.p.m.). Los platos se fabrican generalmente a partir de un disco de aluminio,
cristal o cerámica. Sobre esta base se deposita una fina capa que cubre ambas
caras mediante un proceso de deposición al vacío conocido como deposición por
pulverización catódica. Esta capa tiene una estructura compleja, consistente en varias
subcapas de aleaciones metálicas (principalmente no magnéticas) que permiten
un control óptimo de la orientación cristalográfica y el tamaño del grano de la capa
magnética que se ubica sobre ellas. Sobre estas capas hay un acabado protector
al plato de un compuesto basado en el carbono. Sobre todas estas capas hay otra
capa de un polímero lubricante, de tan solo unos nanómetros de grosor. Entre todas
estas capas estructurales del plato existe una capa especial de material magnético
que suele ser de una aleación basada en el cobalto, distribuida en forma de varios
centenares de granos por región. No es uniforme, pues a esta microescala unas
zonas magnéticas interactuarían con otras, por lo que estas zonas magnéticas están
separadas lo mínimo que permite la tecnología en cada momento de la historia. Estas
zonas magnéticas actúan como imanes diminutos, con su polo norte y su polo sur.
Si las zonas están muy juntas unas con otras aparecen interferencias magnéticas en
los bordes de la región, pudiendo alterar la orientación magnética norte-sur de las
mismas. La información que se guarda en estas zonas es información binaria, unos
y ceros. Si una zona está magnetizada con la orientación norte-sur será un bit 0 y si
lo está sur-norte sería un bit 1. Cabe destacar que a esta escala microscópica no es
posible magnetizar una zona digamos puramente con norte-sur o sur-norte, sino que
existe una horquilla de posibilidades. La orientación norte-sur es más norte-sur que
otra sur-norte, pero no están todas en la misma orientación.
182
Figura 6.14. Ilustración de una posible orientación de las regiones de un disco duro. No están alineadas perfectamente, sino
que unas zonas son más norte-sur que las consideradas sur-norte. Hay que tenerlo en cuenta a la hora de pensar
en la fiabilidad del guardado de los datos ya que, con el paso del tiempo, la acción de una fuente de magnetismo,
un golpe o incluso la radiación solar pueden hacer que una zona magnetizada en una orientación cambie a la otra
corrompiendo los datos.
Estas regiones tienen un tamaño de 25-30 nanómetros por 200-250 nanómetros (un
nanómetro es la milmillonésima parte de un metro o, lo que es lo mismo, dividir un
milímetro en un millón de partes). Para leer el estado de estas regiones y saber si es
norte-sur o sur-norte e identificar en la lectura si es un 0 o un 1, la cabeza lectora ha
de posicionarse en la zona “donde pasará” esa región en el próximo giro, giro que se
efectúa a 129 km/h en el borde de un disco de 3,5” a 7200 r.p.m. La aguja no toca el
disco nunca, ya que a estas velocidades estropearía la superficie del disco. La cabeza
lectora levita sobre el plato gracias al efecto del aire contenido dentro del disco. Una
corriente de aire impulsada por el movimiento de los platos crea un colchón bajo la
cabeza lectora que hace que levite a una altura de unos 40 átomos sobre la superficie.
Extrapolando esta información a la vida real para entenderlos mejor, podríamos

decir que, si la cabeza lectora del disco fuera un Boeing 747 y los platos fueran la
Tierra, volaría a una velocidad 800 veces la del sonido (aproximadamente 1 millón
de kilómetros por hora), a menos de un centímetro del suelo, contaría cada brizna
de hierba, y cometería menos de once errores irrecuperables para una superficie del
tamaño equivalente a la comunidad de Andalucía.
183
Ciberseguridad
Ahora ya que conocemos la magia que compone un disco duro, identificaremos sus
partes mecánicas:
Figura 6.15. 1- Plato, 2- Eje de giro del plato, 3- Actuador, 4- Brazo del actuador, 5- Cabeza lectora, 6- Dispositivo de
aparcamiento de la cabeza lectora, 7- Eje del actuador, 8- Bolsita de silicagel para retener humedades y filtrar en aire
del interior para retener partículas, 9- Bus de datos de la cabeza lectora, 10- Entrada de alimentación, 11- Interfaz
de conexión SATA, 12- Interfaz de comunicaciones serie, 13- Carcasa retenedora de aluminio (chasis). Los puntitos
verdes indican la posición de los tornillos para montaje dentro de la caja del ordenador.
184
Figura 6.16. Desde otra perspectiva: 1- Plato, 2- Eje de giro del plato, 3- Actuador, 4- Brazo del actuador, 5- Cabeza lectora, 6-
Dispositivo de aparcamiento de la cabeza lectora, 7- Eje del actuador, 8- Bolsita de silicagel para retener humedades
y filtrar en aire del interior para retener partículas, 9- Bus de datos de la cabeza lectora.
185
Ciberseguridad
Figura 6.17. Vista inferior: 1- Controladora de disco, 2- Conexión de alimentación del motor de giro, 3- Motor de giro, 4- Interfaz
de conexión serie, 5- Interfaz de comunicaciones SATA, 6- Entrada de alimentación. Los puntitos en verde indican la
posición de los tornillos de fijación del disco a la caja del ordenador (otro sistema distinto al de las fotos anteriores).
Figura 6.18. Vista lateral: 1- Controladora de disco, 2- Interfaz de conexión serie, 3- Interfaz de comunicciones SATA, 4- Entrada
de alimentación. Los puntitos en verde indican la posición de los tornillos de fijación del disco a la caja del ordenador
(otro sistema distinto al de las fotos anteriores).
186
Ya hemos visto cómo se denominan las distintas partes físicas de un disco duro.
Ahora, para entender la forma en que se guardan los datos en él, veremos las distintas
partes de la estructura lógica, esto es, las distintas partes lógicas o virtuales en que
se divide un disco. Son regiones necesarias para el correcto funcionamiento del disco
y su interpretación por parte del sistema operativo, pero no existen como tal, no son
físicas, no hay una separación o barrera real entre ellas:
Figura 6.19. Esquema de las partes internas de un disco duro.
En este esquema vemos una ilustración en la que se ha puesto una imagen real de
una cabeza lectora y se ha fusionado con un dibujo para hacerlo más entendible. Este
disco en concreto tiene tres platos, de arriba abajo serían el plato 1, el 2 y el 3. Cada
uno de estos platos tiene dos caras, la superior y la inferior, y existe una cabeza lectora
para cada una de estas caras. Hay pues seis cabezas lectoras en total. Para identificar
esto hablaríamos de plato 2 y cara 1 por ejemplo, para referirnos al plato del centro
y su cara superior. A su vez, los bits se distribuyen en unas circunferencias a lo largo
de toda la superficie de cada cara. Son pistas (tracks) concéntricas e independientes.
Suelen confundirse con las pistas de los discos de vinilo, en los que existe una sola
pista en forma de espiral de fuera a adentro. Estas pistas no se montan unas con
otras. En la imagen están representadas en color rojo. Otra definición sería la de
cilindro. En la imagen está representado en azul, y es la suma de todas las caras de la
misma pista. En este caso cada cilindro del disco estaría formado por seis pistas, una
de cada cara y que coinciden superpuestas en la vertical todas ellas. En la ilustración
no se ven las tres pistas que pertenecerían al cilindro y que están en la cara 2 de cada
uno de los platos. En verde tenemos marcado un sector.
187
Ciberseguridad
Un sector de un disco duro es la sección de la superficie del mismo que corresponde

al área encerrada entre dos líneas radiales de una pista.
También es una superficie que almacena información privada de un dispositivo para la

seguridad de un usuario. Pueden almacenar una cantidad fija de bytes, generalmente
suele ser de 0,5 KB hasta 64 KB, pasando por todas las potencias de 2 (20=1;
21=2; 22=4; 23=8; 24=16; etc.). Esto se puede configurar al formatear una unidad
de almacenamiento, en la opción de tamaño de unidad de asignación. Cada sector
almacena una cantidad fija de información. El formateado típico de este medio provee
espacio para 512 bytes (para discos magnéticos) de información accesible para el
usuario por sector. La agrupación de varios sectores contiguos es lo que se conoce
como clúster, que componen la unidad más pequeña de almacenamiento de un
disco, marcado en el dibujo en color rosa. Los archivos se almacenan en uno o varios
clústeres, dependiendo de su tamaño de unidad de asignación. Sin embargo, si el
tamaño de archivo es menor que el tamaño de un clúster, este lo ocupa completo.
Los clústeres son las referencias reales del disco duro, marcan divisiones en el mismo
y son los responsables de la lectura de la cabeza lectora. Digamos que la cabeza
lectora empieza o deja de leer o escribir al principio y final de un clúster. Son la unidad
de referencia para que la cabeza lectora busque un dato. No buscará una pista ni un
sector, buscará físicamente el comienzo y final de un clúster o conjunto de ellos. Por
último, tenemos el sector geométrico, en la imagen representada en color amarillo.
Este sector identifica el siguiente concepto: como cada pista se divide en igual
número de sectores, las pistas que están cercanas al centro tendrán unos sectores
más pequeños o comprimidos que los sectores de las pistas de zonas del exterior
del disco, con lo que, al identificar una sucesión de sectores desde el centro hacia
afuera del disco, estos van aumentando de tamaño en superficie conforme nos vamos
acercando al borde exterior.
Concretando pues que queremos generar un fichero imagen de un disco duro o unidad
de memoria para su posterior análisis, nos centraremos ahora en el propio proceso
de creación de dicho fichero. Para ello lo recomendable es el uso de una distribución
Linux que nos permita acceder al propio disco duro montándolo en modo de solo
lectura para preservar la prueba inicial sin modificar. Para ello, aunque no siendo la
única alternativa, explicaremos el proceso con una distribución llamada Kali.
Podemos descargar una imagen del sistema operativo Kali desde su página
web oficial:
https://www.kali.org/
188
Una vez tenemos el sistema operativo Kali Linux instalado y configurado en nuestra
tarjeta SD, podemos proceder con la adquisición de imágenes de las unidades de
almacenamiento. Para ello hemos de tener en cuenta varios puntos:
■■ La fecha del sistema ha de ser correcta, pues la adquisición de imágenes ha de

estar totalmente documentada, por lo que trabajar con ficheros en los que su
fecha de creación no sea la correcta nos puede acarrear algún tipo de problema.
Recordemos que Raspberry PI no tiene clock interno, por lo que al reiniciarla la
fecha vuelve a ser la que tengamos embebida en la imagen que hemos grabado
en la tarjeta. Para ellos usaremos el siguiente comando en la línea de comandos
una vez hayamos hecho el log-in:
date - - set “04 AUG 2018 14:40:00”
Modificando en cada caso los valores con los que sean correctos.
Figura 6.20. Captura de pantalla del comando de ajuste de fecha y hora.
■■ Modificaremos el automatismo del sistema de montaje de unidades de lectura/

escritura a solo lectura, para evitar la contaminación de las unidades objeto
de estudio que vayamos a conectar. Para ello, desde la línea de comandos
ejecutaremos:
dconf-editor
Y seguiremos la ruta org → gnome → desktop → media_handling, asegurándonos

que su valor sea false.
Figura 6.21. Captura de pantalla de la ventana de ajustes para evitar el automontaje de unidades.
189
Ciberseguridad
Ahora reiniciaremos el equipo, y una vez logados de nuevo, podremos conectar

tanto la unidad origen como la destino con total seguridad. Procederemos a ello
y necesitaremos montar la unidad destino en modo lectura/escritura, para poder
escribir en ella el fichero imagen. Para ello, sobre el icono que nos ha salido en
equipos, haremos clic para montar el volumen que usaremos de destino. Si no
nos saliese esa opción, es porque ya la tenemos montada en lectura/escritura,
por lo que algo hemos hecho mal y se nos montan los volúmenes por defecto
de este modo:
Figura 6.22. Captura de pantalla con la acción de montar la unidad.
■■ Para la adquisición de la imagen podremos usar el comando dd que junto con el

comando pv nos mostrará el tiempo estimado y el progreso de la tarea.
Figura 6.23. Captura de pantalla con la ejecución del comando para la creación de la imagen.
190
Como método más sencillo y completo, instalaremos la aplicación GUYMAGER:
apt-get install guymager
Con ella podremos hacer la adquisición de las imágenes y el cálculo de los

hashes.
Figura 6.24. Captura de pantalla con la acción de la instalación de la herramienta GUYMAGER.
Una vez instalado, lo ejecutamos con la orden guymager y nos aparecerá su entorno
gráfico:
Figura 6.25. Captura de pantalla con la acción del proceso de inicio de adquisición de la imagen desde GUYMAGER.
191
Ciberseguridad
Nos ofrecerá información sobre la unidad que queremos adquirir y la unidad de

destino. Sobre la unidad origen haremos clic con el botón secundario del ratón y
seleccionaremos Acquire image:
Figura 6.26. Captura de pantalla con la ventana de configuración de GUYMAGER para completar los datos de la adquisición de
un caso en concreto.
Rellenaremos los datos relevantes de identificación del caso, seleccionaremos el

directorio destino de nuestro fichero imagen, daremos un nombre a dicho fichero
imagen, dejaremos marcadas los check de los hashes que queramos que nos calcule
y finalmente haremos clic sobre “Start”.
192
Figura 6.27. Captura de pantalla con el detalle de la ventana de selección del lugar de destino para vuestra imagen que vamos
a adquirir.
193
Ciberseguridad
Figura 6.28. Captura de pantalla del progreso de la adquisición de la imagen.
Podemos hacer clic con el botón derecho sobre el proceso terminado y seleccionar
“Info”, pare ver un pequeño resumen del proceso que ha efectuado:
Figura 6.29. Captura de pantalla con el detalle de las opciones disponibles una vez adquirida la imagen.
194
Y se abrirá una nueva ventana con información:
Figura 6.30. Captura de pantalla con la información relevante del proceso de adquisición de imagen realizado.
195
Ciberseguridad
Esta información tendremos que adjuntarla a nuestro informe. Aunque, si queremos

obtener toda la información completa, editaremos el fichero .info generado en la misma
ruta donde hemos guardado el fichero imagen:
Figura 6.31. Captura de pantalla con la ubicación del fichero generado con información del proceso de adquisición para su
posterior procesamiento.
196
Editándolo, tendremos un informe mucho más completo:
Figura 6.32. Captura de pantalla con información sobre la versión de GUYMAGER usada y de la unidad adquirida.
197
Ciberseguridad
Figura 6.33. Información sobre el sistema de ficheros encontrado en la unidad.
198
Figura 6.34. Captura de pantalla con información sobre el número de caso, evidencia y perito que hemos introducido antes,
origen y destino de la creación de la imagen, los hashes calculados, tanto del origen como del destino, resultado de la
verificación, en este caso OK, y las fechas y horas de inicio y fin de la adquisición y proceso de verificación.
■■ Si necesitásemos calcular los hashes desde la línea de comandos, podríamos

usar:
□□ md5sum <nombre del fichero>
□□ sha1sum <nombre del fichero>
□□ sha256sum <nombre del fichero>
199
Ciberseguridad
Figura 6.35. Captura de pantalla con la información de los hashes del fichero de la imagen creada.
6.4.2. Preservación
En un trabajo de auditoría informática se trabaja con pruebas que son volátiles, esto
es, pueden ser modificadas o perdidas. En una analogía con la criminología clásica,
todos hemos visto películas en los que los investigadores forenses se presentan en
la escena de un crimen con ropas especiales neutras, mascarilla y redecillas en el
pelo. El fin de esta equipación es evitar que las pruebas presentes en el lugar de los
hechos se contaminen con información del exterior. Una vez encontrada una prueba,
que puede ser un cabello, un casquillo de bala o una gota de sangre en el suelo, esta
es recogida y almacenada en una bolsa de plástico estéril con cierre hermético y en
ese momento es marcada con un número de prueba, almacenada y documentada.
Posteriormente será llevada al banco de pruebas y almacenada de forma correcta. En
una auditoría informática el proceso es análogo: se encuentra una fuente de posibles
pruebas (siempre un dispositivo electrónico), se recolecta de forma segura asegurando
su inmutabilidad, se etiqueta, se documenta y se archiva. A la hora de trabajar con
ella existe la posibilidad de que se averíe el dispositivo o se modifique su contenido
al conectarlo a un ordenador, por lo que se procede a realizar copias de este para
trabajar sobre las copias realizadas y garantizar la integridad del medio original.
200
6.4.2.1. Copias
Como hemos comentado en apartados anteriores, nunca trabajaremos sobre la
fuente original. Si pensamos que las pruebas de un delito o hecho están en un disco
duro, todas las técnicas forenses que queramos aplicar las haremos sobre copias de
esa primera fuente. Es más, lo ideal es hacer una primera copia que nos sirva como
fuente de copias posteriores. Así, dejaremos esa primera copia como semilla de la
que realizar múltiples copias en caso necesario, sin tener que volver a usar el soporte
original.
6.4.2.2. Cadena de custodia

La definición técnica de cadena de custodia es: procedimiento controlado que se
aplica a los indicios materiales relacionados con el delito, desde su localización hasta
su valoración por los encargados de su análisis, normalmente peritos, y que tiene
como fin no viciar el manejo que de ellos se haga y así evitar alteraciones, sustituciones,
contaminaciones o destrucciones. Desde la ubicación, fijación, recolección, embalaje
y traslado de la evidencia en la escena del siniestro, hasta la presentación al debate, la
cadena de custodia debe garantizar que el procedimiento empleado ha sido exitoso,
y que la evidencia que se recolectó en la escena es la misma que se está presentando
ante el tribunal, o el analizado en el respectivo dictamen pericial.
En lenguaje plano, la cadena de custodia es el procedimiento de recoger las pruebas

en el lugar del delito para su posterior análisis en un laboratorio y finalmente su traslado
a los juzgados para ser aportadas como prueba en juicio. ¿Por qué es tan importante
la preservación de la cadena de custodia? Supongamos que se encuentra una prueba
de que se ha cometido un delito con un equipo informático. Se presenta esa prueba
en un juicio, pero es desestimada porque hay sospechas de que ha sido manipulada,
contaminada, alterada. Todo el trabajo previo de búsqueda y análisis de esa prueba se
ha esfumado, solo porque en su traslado no se han seguido una serie de medidas que
nos dan la certeza de la pureza y validez de la misma. Por ello, es igual de importante
saber encontrar esa prueba como poder garantizar que esa prueba se generó en
el lugar del delito y por la o las personas acusadas, y no por nadie más. La cadena
de custodia nos permite defender nuestra prueba aportando veracidad a nuestros
descubrimientos, ya que podemos decir que hemos trabajado con los mismos datos
de origen que encontramos en el lugar del delito.
Al recolectar las pruebas, lo importante es el significado, el valor que va, a tener

en el proceso de investigación y, por medio de la cadena de custodia, este valor
va a ser relevante, debido a que no se va a poder impugnar al haberse acatado el
procedimiento.
201
Ciberseguridad
El procedimiento que se debe seguir en cuanto a la evidencia en la escena, y en todo

proceso de investigación, es el siguiente:
1. Recolección adecuada de los indicios: usando herramientas aceptadas por

su conocimiento de eficacia y ausencia de errores y falsos positivos (aunque
existen infinidad de aplicaciones válidas y capaces de realizar el trabajo con una
seguridad fiable, siempre se intenta buscar el uso de las ya “estandarizadas”
con el fin de aportar mayor credibilidad a los procesos realizados), adquisición
de información relevante del lugar del delito (fecha, hora, disposición de los
equipos, estado de los mismos, números de serie, …)
2. Conservación adecuada de los indicios: metodología fiable y segura totalmente

documentada: este procedimiento certifica que el método utilizado para la
conservación de los medios se realiza de forma segura. Desde el momento en
el que realizamos la adquisición o análisis de los medios, hasta el momento
futuro en el que tendremos que mostrarlos como prueba original, pasarán desde
unos pocos días hasta incluso años. El almacenaje de dichos medios habrá de
realizarse de la forma más adecuada para asegurar su inmutabilidad. Los discos
duros son sensibles a la humedad, los golpes y los campos electromagnéticos,
por lo que existen bolsas antiestáticas en las que los almacenaremos. Podremos
también protegerlos en cajas duras para evitar daños por golpes.
Figura 6.36. Detalle de disco duro dentro de una bola anti electricidad estática y una bolsita de silicagel en su interior para
absorber la humedad.
202
3. Entrega fiscalizada: el análisis forense digital no siempre lo realiza una sola

persona, por lo que es muy importante que si hemos de ceder los medios y
pruebas a otra persona, bien otro forense, analista o compañero de trabajo,
hacerlo de una forma totalmente segura y documentada, indicando en todo
momento cuál es el material cedido, el estado en el que lo hacemos, la fecha
y hora y la firma de todos los miembros involucrados en la cesión. Podemos
haber hecho un trabajo impecable en nuestro análisis, pero si lo cedemos a
otra persona que termina por contaminar las pruebas o estropear los medios,
si no está documentada dicha cesión, la responsabilidad de los errores recaerá
sobre el cedente y el receptor. Si este proceso lo documentamos correctamente,
limitamos nuestra responsabilidad en futuras negligencias ajenas.
6.4.3. Análisis
Llegados a este punto es cuando podremos empezar a buscar evidencias o pistas
que demuestren o desmientan la existencia de lo que buscamos. Ahora podremos
trabajar sobre nuestra imagen del medio original sin miedo a estropear o modificar
dicho medio. Además, podremos analizar la imagen desde varios frentes, pues
distribuyendo la imagen creada entre varios equipos con varios investigadores forenses
conseguiremos ahorrar tiempo al realizar análisis simultáneos en el tiempo de distintas
características.
Uno de los programas más utilizados es AUTOPSY. Para iniciarlo abrimos una terminal
en nuestro Kali Linux y ejecutamos el comando: autopsy.
La terminal nos mostrará la información sobre la versión que tenemos instalada y nos
indicará una ruta, en este caso:
http://localhost:9999/autopsy
203
Ciberseguridad
Figura 6.37. Detalle de terminal de Linux y el comando “autopsy”, que nos iniciará el programa homónimo. Podemos ver la ruta
donde tendremos que acceder para comenzar a usarlo en nuestro navegador.
204
El siguiente paso es abrir un navegador web, por ejemplo Mozilla Firefox, y acceder a
la URL ofrecida por autopsy:
Figura 6.38. Detalle la pantalla de bienvenida de AUTOPSY.
205
Ciberseguridad
Si lo que queremos es continuar con un caso ya creado anteriormente clicaremos

sobre “OPEN CASE”. Si es un caso nuevo lo haremos sobre “NEW CASE”
Figura 6.39. Detalle la pantalla de creación de un nuevo caso en AUTOPSY.
206
En esta nueva ventana rellenaremos los datos de nuestro caso.
Figura 6.40. Detalle del proceso de añadir un host al caso.
207
Ciberseguridad
Figura 6.41. Detalle del proceso de proporcionar los datos del nuevo host.
208
Figura 6.42. Detalle de confirmación de que el host se ha creado correctamente.
209
Ciberseguridad
Figura 6.43. Detalle del proceso de añadir la imagen de la evidencia al host. Seleccionaremos “Partition” y “Copy”, para trabajar
sobre una copia de nuestra evidencia.
210
Figura 6.44. Detalle de la ventana donde podemos volver a calcular los hashes para asegurarnos de que nuestros ficheros
continúan en un estado íntegro. También nos informa de dónde va a montar la imagen y el tipo de partición que
vamos a analizar.
Figura 6.45. Detalle de la información ofrecida tras el proceso de copia de la imagen.
211
Ciberseguridad
Figura 6.46. Detalle de la ventana donde realmente podremos empezar a trabajar sobre los datos contenidos en el fichero
imagen.
Figura 6.47. Detalle de la ventana “File Analysis”, donde podremos recorrer la estructura de directorios y ficheros .
Llegados a este punto, es el propio analista forense quien decidirá qué tipo de contenido
ha de buscar, dependiendo de las necesidades solicitadas. Si, por ejemplo, lo que se
sospecha es que un usuario ha borrado una fotografía que guardó y que es susceptible
de haber cometido un delito porque contenía material pedófilo, buscaríamos en los
ficheros borrados para intentar recuperarla y conseguir la prueba de su existencia.
212
Si queremos comprobar si desde un equipo se accedió a una página web un día a una
hora concreta, podremos analizar los archivos temporales del navegador o las cookies
almacenadas para confirmarlo. Si la sospecha es que se mandó un mail o un mensaje,
analizaremos la posibilidad de que exista todavía dicho mensaje dentro de los ficheros
db que usan algunas aplicaciones para almacenar los mensajes.
6.4.4. Informes
Hemos de pensar que todo el trabajo que hemos realizado hasta encontrar una
prueba lo hemos hecho con ayuda de unas aplicaciones y unos conocimientos
técnicos que el receptor de la información no tiene por qué comprender ni conocer
(jueces, altos cargos de una empresa, responsables de otros departamentos distintos
del de informática, usuarios, etc.). Para transmitir la información a dichos receptores,
redactaremos un informe claro y conciso manteniendo todo el rigor técnico de
nuestra investigación, con todo el proceso completo llevado a cabo para evitar que
nuestro método sea rebatido por otro profesional. La idea general podría ser que, si
conseguimos mediante una serie de pasos llegar a una conclusión, cualquier otro
analista forense que realice el mismo proceso llegue a la misma conclusión.
6.4.5. Presentación
Para la redacción de un informe pericial, usaremos un editor de textos. Se propone a
continuación un ejemplo práctico con el caso del análisis del medio visto en ejemplos
anteriores:
Informe forense con relación al caso Nº BBBBB

Consideraciones previas
La siguiente información ha sido facilitada por el propietario de la empresa XXXXX,

bajo sus propias facultades en las siguientes condiciones:
■■ La empresa XXXXX despide a su trabajador YYYYY, por sospechar de

irregularidades en el uso de los equipos informáticos puestos a disposición de
dicho trabajador para realizar sus tareas en su puesto de trabajo.
■■ Estas irregularidades se fundamentan en el almacenamiento de imágenes de

pornografía infantil en un pendrive y su distribución a través de redes sociales
desde la conexión a internet de la empresa.
Solicitud de opinión de un experto
Por lo descrito en el apartado anterior, el responsable de la Empresa XXXXX solicita la

comprobación de si hubo dichas irregularidades para formalizar una denuncia en firme
contra el trabajador YYYYY.
213
Ciberseguridad
Proceso de adquisición de la información
El responsable de la empresa XXXXX, el Sr/Sra ZZZZZ, con DNI XXXXXXXG, nos

proporcionó el día 20 de Julio de 2018 a las 14:55:00 en el departamento de informática
de su empresa en presencia del Sr/Sra notario/a AAAAA el siguiente material:
■■ Pendrive marca NILOX de 1GB con nº de serie FCR361298X, etiquetado como

“Evidencia 1”.
En ese mismo momento y en presencia del Sr/Sra notario/a se procedió a crear dos
imágenes de dicho pendrive, conectando el medio original a un equipo con montaje
de unidades en modo de solo lectura, con el fin de imposibilitar cualquier modificación
del original, así como mantener la integridad de los ficheros y los datos de acceso al
mismo, quedando el original en posesión notarial. Una de las imágenes se entregó al
responsable de la empresa y la segunda copia procedemos a trasladarla a nuestro
laboratorio para su análisis. A dichas copias y originales se adjunta informe notarial
con el informe de creación del fichero imagen (caso1_usb.info) en el que se incluye el
cálculo de los hashes descritos a continuación:
MD5 (caso1_usb.dd):
9afa82cef78824b8cc66ba17196a6a63
SHA256 (caso1_usb.dd):
008f53f426c3f6b411e8a7e22d309c411b39ee91ca59d1ad20969511030ef046
Proceso de análisis
El método de análisis utilizado ha sido el montaje de la imagen copia de la unidad

original en un equipo con sistema operativo Linux kali 4.16.0-Kali2-amd64 #1 SMP
Debian 4.16.16-2kali2 (2018-07-04) x86_64 bajo la aplicación Autopsy Forensic
Browser 2.24. Se procedió a analizar la totalidad de la estructura de ficheros existentes
en la unidad y se analizó el espacio libre en busca de ficheros eliminados (1131 ficheros
actuales en la unidad y 26 ficheros eliminados).
Además de buscar entre todos los ficheros con extensión conocida del tipo de
ficheros de almacenamiento de imágenes, se analizaron también las cabeceras con
offsets hexadecimales conocidos para asegurarse de que ningún tipo de contenido de
imágenes ha sido objeto de ocultación u ofuscación.
Resultados
Se ha encontrado el siguiente contenido en la unidad:
■■ 1131 ficheros. Solo dos de ellos de tipo JPEG que contenían imágenes. Ninguna
de ellas era del tipo de contenido objeto de la investigación.
■■ 26 ficheros eliminados. Ninguno de ellos contenía imágenes.
214
Se adjunta al presente informe un listado con los nombres de los ficheros y directorio
encontrados en la unidad, tanto los que existen actualmente como los que han sido
recuperados al estar borrados, así como una miniatura del contenido de los ficheros
que contienen imágenes.
Conclusiones
Dado el material cedido por parte de la empresa XXXXX, puede asegurarse que NO
existe ningún indicio de que el pendrive etiquetado como “Evidencia 1”, usado por
el trabajador YYYYY en sus instalaciones, contenga ningún material considerado
como almacenamiento de pornografía infantil en el momento de su análisis. Todas las
pruebas han sido exhaustivas, correctas en forma y ejecución, actuales y efectivas.
Fin del informe del caso BBBBB
Este es un ejemplo práctico de un caso en concreto. Hemos recreado una acción

concreta y hemos simulado su análisis. Cabe destacar que cada caso forense es
distinto, que los medios y los fines son distintos, por lo que el método utilizado sería
el mismo a grandes rasgos, pero sería distinto en cuanto a las evidencias buscadas.
6.4.5.1. Defensa en juicio

Si nuestro análisis forense va destinado a la resolución de un caso policial, el informe
final será el documento que explique al juez o al jurado las pruebas encontradas. El
responsable de entender la información contenida en el informe no tiene por qué ser
alguien entendido de la materia, por lo que las conclusiones tendrán que ser claras y
concluyentes para que dicha figura interprete el resultado sin entrar en conocimientos
específicos. El proceso será comprobado por la parte contraria e intentarán buscar
incongruencias, evidencias de contaminación de las pruebas, fallos en la cadena de
custodia o resultados inconcluyentes para echar por tierra nuestro análisis.
Habitualmente se solicitan unas “contrapericiales” por la parte contraria, que consisten

en que otro profesional busque fallos o inexactitudes en nuestro proceso para
poder invalidar una prueba que hayamos encontrado, o al revés, encontrar fallos o
inexactitudes para poder invalidar una falta de pruebas. Por ello hemos hecho énfasis
en la importancia de las evidencias encontradas como del método y las formas usadas
para conseguirlas. Muchas veces un gran trabajo pericial ha sido dado por inválido por
un fallo a la hora de mantener la cadena de custodia.
6.4.5.2. Uso interno

Los análisis forenses informáticos también pueden ser encargados por empresas o
particulares para conocer cuál ha sido el hecho que ha llevado a una pérdida de
información, un error en el sistema, averiguar la identidad de la responsabilidad frente
a una fuga de datos, etc. Estos análisis forenses se llevarían a cabo de la misma forma
descrita anteriormente, pero el informe tendría que ser concluyente con el fin buscado
desde el punto de vista de interés para la empresa. Es decir, no haría falta que los
procesos fueran supervisados por un notario, sino por un responsable de la empresa,
el cual, con la información obtenida, tendría que modificar los protocolos existentes
para evitar que el incidente se repitiese en un futuro.
215
RESUMEN
■
El análisis forense digital o análisis forense informático es el manejo de técnicas
informáticas y analíticas especializadas y concretas a los dispositivos tecnológicos o a
parte de sus componentes que permiten conseguir la identificación, la preservación,
el análisis y la presentación concreta de datos que sean válidos y fiables dentro de un
proceso legal, o aclaratorios de unos hechos en el que esté involucrado el uso de las
TIC.
■
La finalidad del análisis forense es la de hallar conclusiones sobre hechos realizados
utilizando medio informáticos o tecnológicos. Estas conclusiones pueden ser usadas
como defensa en un juicio, como acusación en un juicio o internamente en una empresa
para la mejora de la seguridad u optimización de procesos.
■
Para la realización de una auditoría informática tendremos que acceder físicamente
al dispositivo objeto de nuestro análisis, realizaremos copias del mismo usando
programas como Guymager, Win32Imager, … instalados en nuestro ordenador con
sistemas Linux o Windows.
■
Las pruebas y sus copias serán obtenidas siempre garantizando la integridad de todas
ellas, y posteriormente serán almacenadas de forma correcta manteniendo la cadena
de custodia.
■
La fase de análisis la realizaremos siempre sobre una copia del medio original.
Dependiendo de la finalidad de la auditoría nuestro análisis se enfocará en una dirección
u otra. Para realizar dicho análisis utilizaremos distintas herramientas, como Autopsy.
■
Las conclusiones que encontremos en nuestro análisis serán plasmadas en un informe
que redactaremos lo más completo posible, con capturas de pantalla, fotografías,
explicación del proceso seguido, aplicaciones usadas, …
217
7 7
Ciberseguridad
DIDÁCTICA
UNIDAD
7. SOC Security Operations Center

ÍNDICE
OBJETIVOS................................................................................................................................................................ 223
INTRODUCCIÓN....................................................................................................................................................... 224
7.1. Definición............................................................................................................................................................. 225
7.1.1. Tipos de SOC.................................................................................................................................................... 226
7.2. Estructura de un SOC.......................................................................................................................................... 228
7.2.1. Personal y misiones............................................................................................................................................ 228
7.2.2. Servicios / procedimientos.................................................................................................................................. 230
7.2.3. Herramientas..................................................................................................................................................... 232
7.3. Security Onion .................................................................................................................................................... 233
7.3.1. Recogida de datos............................................................................................................................................. 238
7.3.2. Tipos de datos................................................................................................................................................... 240
7.3.3. Normalización de datos....................................................................................................................................... 242
7.3.4. Presentación de datos........................................................................................................................................ 243
7.3.5. SOC playbook................................................................................................................................................... 245
7.4. Metodologías de prevención de intrusiones...................................................................................................... 247
7.4.1. Modelo clásico Kill Chain..................................................................................................................................... 247
7.4.2. Diamond model................................................................................................................................................. 248
RESUMEN................................................................................................................................................................... 251
221
OBJETIVOS
■
Asentar el concepto de que la ciberseguridad es una guerra sin cuartel en la que hay dos
bandos antagonistas.
■
El atacante puede ser cualquiera, atacar en cualquier momento, con cualquier herramienta
y a través de cualquier medio.
■
El atacado solo sabe que va a ser atacado, sin saber por quién, cuándo, cómo ni con
qué. Para su defensa cuenta con un cuartel general, el SOC, que es el encargado de
enfrentarse a esos ataques.
■ Descripción de un SOC básico.
■
Tomar contacto con Security Onion, una distribución de Linux orientada a la monitorización
de seguridad de red.
■
Conocer algunas aplicaciones básicas que vienen empaquetadas con Security Onion y
sus funcionalidades.
■
Conocer los tipos de datos que servirán para monitorizar el estado de la red y hacer el
seguimiento a los incidentes de seguridad.
■
Conocer ligeramente dos tipos de metodologías de prevención de intrusiones: la Ciber Kill
Chain y el Diamond Model.
223
Ciberseguridad
INTRODUCCIÓN
Desde Creeper en 1971 hasta el último gran ataque Esta evolución ha forzado un cambio en la concepción
de DDoS conocido contra GitHub en marzo de 2018 de la seguridad desde el primigenio concepto estático
los ataques informáticos, y con ellos la seguridad (antivirus y ya está) a un concepto dinámico, como lo
informática, han recorrido un largo camino. son los propios ataques, lo que nos obliga a proteger
Creeper: considerado el primer virus informático. los sistemas antes, durante y después de haber sido
atacados.
Reaper: el primer ¿antivirus? La evolución de los atacantes ha ido desde que un
http://corewar.co.uk/creeper.htm. simple programador crea un programa que puede
“…migrar de ordenador a ordenador dentro de la
En ese camino la informática ha terminado por red…” hasta organizaciones de cibercriminales, o
infiltrarse en todos los rincones y en todas las incluso Estados, con mucho dinero de por medio, que
actividades de nuestra vida cotidiana: desde que nos pueden llegar a interrumpir servicios básicos de una
levantamos por la mañana hasta que nos acostamos sociedad (Ucrania, 2016).
estamos “enganchados” a dispositivos electrónicos;
La seguridad, la ciberseguridad, se enfrenta a este
es más, incluso dormimos con “pulseras” para que a
panorama con la única certeza de que los recursos
la mañana siguiente nos digan si hemos descansado
informáticos, ya pertenezcan a un simple particular
lo necesario o no… como si nuestro cuerpo no lo
ya pertenezcan a una gran organización, van a ser
supiera.
atacados. No tener la seguridad del cuándo, cómo ni
Esa evolución de las amenazas informáticas ha llevado por quién es lo que ha hecho surgir la figura del SOC:
a la seguridad informática a una evolución acorde, Security Operations Centre, o Centro de Operaciones
en la que se ha pasado de una simple amenaza a de Seguridad.
un ordenador a diferentes amenazas para cualquier
dispositivo, para cualquier aplicación que en él se
ejecute, a través de cualquier conexión de red o modo
de conectividad.
224
7.1. Definición
¿Qué es un SOC?
Un SOC es la principal herramienta con que cuenta una organización para
defenderse de los ataques informáticos de los que va a ser víctima antes o
después.
En el tema 1 hablamos de ciberseguridad y ciberinteligencia; en el tema 2 hablamos

de los ataques y de la defensa; en el tema 3 de la ingeniería social; en los temas 4 y
5 de las técnicas del hacking ético; en el 6 del análisis forense, y en el próximo, el 8,
de los dispositivos BYOD. Todos ellos, unidos, son los que dan la razón de ser a un
Centro de Seguridad de Operaciones.
Un SOC es una infraestructura que monitoriza en tiempo real la actividad de los

sistemas informáticos de una organización con el objetivo de proteger sus activos
más valiosos (en términos informáticos), prevenir incidentes de seguridad y ofrecer
una respuesta inmediata y adecuada en caso de ser objeto de ataque.
Esta monitorización comprende:
■■ Detección de comportamientos anómalos tanto por parte de los usuarios como

en la red corporativa en general (a partir de una base line).
■■ Diagnóstico de vulnerabilidades y amenazas.
■■ Prevención y gestión de riesgos.
■■ Respuesta a incidentes de seguridad: bloqueo y mitigación de ataques.
■■ Recuperación ante desastres.
Base line. Se denomina así al estado operativo de una red en su modo normal
de operación. Los parámetros de funcionamiento y los de configuración,
debidamente documentados, son los que marcan la “normalidad” del
funcionamiento del sistema...
Poner en marcha y mantener un servicio de este tipo que requiere de instalaciones

dedicadas, personal formado, especializado y actualizado trabajando las 24 horas
los siete días de la semana, es una cuestión compleja y con un importante coste
económico. Pero también hay que tener en cuenta que si bien una infraestructura
de este tipo no tiene un rendimiento económico cuantificable sí es posible calcular
el impacto económico que un incidente de seguridad supone tanto a la cuenta de
resultados como a la reputación de la organización.
225
Ciberseguridad
Si el tamaño de la organización no es tal que justifique -ni pueda mantener- un SOC

de este tipo caben otras posibilidades, según Siddhart Deshpande analista de Garner.
Una de ellas sería subcontratar la monitorización de seguridad de la red a una empresa
especializada (MSSP: Managed Security Service Provider) y otra, entre alguna más,
la de crear un SOC Virtual conformado por el personal de IT de la empresa y con
actividad durante la jornada laboral.
¿Cuál es la mejor opción? Todo depende del tipo de actividad de la organización y

del presupuesto disponible. En principio un SOC interno 24/7 es la opción ideal, dado
que esto permitiría integrarlo con el resto de los departamentos de la organización,
pero solo es justificable si el volumen de negocio o la criticidad lo respaldan. Pero
dado lo costoso, tanto de establecer como de mantener, se debe buscar una solución
intermedia.
7.1.1. Tipos de SOC

Todos los SOC no son iguales, ni por su misión, ni por las herramientas que emplean,
ni por las tecnologías. Así, entre otras clasificaciones, nos quedamos con esta de
Cisco, fundamentada en que la evolución de las amenazas justifica una estructura
nueva de defensa, pues el mecanismo que confiaba en la detección y eliminación ya
no es suficiente para combatir las amenazas actuales:
1. Threat-centric SOC: es el que vigila de forma proactiva las redes en busca de

amenazas. Estas amenazas pueden ser las que se generen ante vulnerabilidades
recién descubiertas, servicios de adquisición de inteligencia y observaciones
reportadas. Su ámbito de “vigilancia” es extenso, no limitándose a una única
organización sino que abarcaría numerosas redes. Su modo de funcionamiento
va parejo al del ciclo de vida de la amenaza, al continuum: before, during y after.
●● Before: centrados en una amenaza concreta la estudian profundamente

para preparar una defensa contra ella, tanto a nivel hardware como a nivel
software.
●● During: frente a un ataque en curso recopila datos y los analiza, siguiendo

el modo en que la amenaza se propaga en la red o pivota en los hosts
buscando su objetivo. Es en la que se toman las medidas para atajar el
ataque.
●● After: una vez la amenaza superase la línea defensiva perimetral y causara

un daño a la organización, la monitorización constante del sistema
permitiría trackear el incidente de modo inverso: desde que es detectado
hacia atrás, hasta llegar al punto y momento de entrada.
2. Compliance-Based SOC: su tarea es la de supervisar que el sistema cumple

las políticas de seguridad establecidas por la organización, comparando
la configuración real de los dispositivos con la que deberían tener. Cualquier
dispositivo que se permitiera en la red con cambios no autorizados o configuración
distinta a la aprobada podría provocar una brecha de seguridad.
226
3. Operational-Based SOC es el que está enfocado en la vigilancia y supervisión

de la red interna de la organización, en mantenerla operativa y segura gracias
a las políticas de acceso, al establecimiento de reglas de firewall, detección y
prevención de intrusiones, mitigación y eliminación de amenazas y posterior
recuperación.
Este último es el SOC por excelencia, el CSIRT (Computer Security Incident

Response Team) o Equipo de Respuesta a Incidentes de Seguridad Informática.
La Universidad Carnegie Mellon, de Estados Unidos, fue la creadora del

primer equipo de estas características en 1988.
La diferencia entre el Threat Centric y el Operational Based SOC es la proactividad

del primero: la “búsqueda, caza y captura” que hacen de las amenazas frente a la
reactividad del segundo.
227
Ciberseguridad
7.2. Estructura de un SOC

Un SOC es un equipo de personas altamente cualificado que debe cumplir con
unos procedimientos previamente establecidos, haciendo uso de unas herramientas
específicas que les permitan mantener a salvo los activos de una organización
previniendo, detectando, analizando y respondiendo a incidentes de ciberseguridad.
Figura 7.1. Composición de un SOC-tipo.
Habida cuenta del elevado coste, tanto en tiempo como en recursos, que se necesita
para instalar un SOC, lo primero que se debe hacer es establecer un calendario de
implementación progresiva basado en las necesidades de seguridad priorizadas de la
organización. A partir de ahí se ha de seguir una “hoja de ruta” que vaya optimizando
la seguridad, mejorando la detección de vulnerabilidades y corrigiendo los fallos que
se identifiquen a lo largo del proceso de implantación del SOC.
7.2.1. Personal y misiones

La estructura de un Centro Operativo de Seguridad en cuanto a los recursos humanos
con que debe contar no se ajusta a ningún estándar establecido, sino a la necesidad de
cada organización y bajo la premisa de que debe ser “suficiente para ser efectivo” en
su tarea de asegurar la confidencialidad, integridad y disponibilidad de la información.
Además se da un solapamiento de roles entre los componentes con lo que las líneas
divisorias entre ellos son ciertamente difusas.
En cualquier caso, el NIST-NICE Cybersecurity Workforce Framework puede tomarse

como guía en la que vienen definidos los conocimientos académicos, habilidades
técnicas y profesionales que deben tener los integrantes del SOC, que se encontrarían
repartidos en las diferentes tareas de dirigir, operar, recolectar, investigar y analizar que
se llevan a cabo.
Una estructura que podríamos considerar tipo para establecer un Centro de

Operaciones de Seguridad básico podría ser la siguiente:
SOC manager
Responsable del centro, está encargado de priorizar las tareas y organizar los recursos
disponibles para cumplir con los objetivos marcados. Entre otras cosas, se encarga
de diseñar los perfiles a los que deben ajustarse el resto de especialistas del centro en
función de sus misiones.
Analista de Seguridad
Distribuidos en tres niveles de especialización (Tier) en función de las tareas. Su perfil
mínimo debe ser tener conocimientos profundos de networking, de captura de tráfico
de red y de monitorización de dispositivos.
228
Además, la especialización en otras áreas es un requisito necesario para cubrir la

totalidad las tareas del SOC:
■■ Tier 1. La “primera” línea de defensa. Son los encargados de la monitorización de

la red, de clasificar las alertas de seguridad y mantener controlados y operativos
los sensores y los hosts finales. Si tras el triaje de las alertas consideran que no
se trata de un falso positivo sino de una alerta real, pasan el incidente al siguiente
nivel. Con la automatización de tareas su rol se va acercando más al de Tier 2.
Triaje. Acción y efecto de triar.

Triar. Escoger, separar, entresacar.
■■ Tier 2. Más especializado que el anterior, su misión es la de hacer una

investigación más profunda de los incidentes de seguridad a través de inteligencia
obtenida de diferentes fuentes. Con más experiencia y conocimientos que el
anterior, analizará los datos recibidos y comenzará a poner en marcha acciones
para mitigar la amenaza, recurriendo al siguiente escalón si determinan que la
amenaza presenta la entidad suficiente.
■■ Tier 3. Serán los encargados de una inspección más profunda del incidente, y
quienes respalden o modifiquen la respuesta que dar e incluso dispongan una
investigación forense del incidente. Con la asunción de algunas de sus funciones
por parte de los especialistas de la Tier 2 pueden dedicar más tiempo a tareas
proactivas propias de un Threat Centric SOC, es decir, a “cazar” malware en la
red sin esperar a que les sea notificado por los escalones subordinados.
Especialista forense
Es el encargado de la recopilación, custodia y análisis de datos informáticos de los
dispositivos implicados en un incidente de seguridad con el fin de documentar el
proceso íntegro.
Especialista en reversing de malware
Es el responsable del análisis en profundidad de la muestra capturada de malware,

su modo de ocultación, procesos, técnicas y procedimientos. Será también quien
escriba las firmas para la detección y prevención de ese malware en concreto.
Reversing: desensamblado de un archivo ejecutable del que no se conoce

el código fuente con el objeto de entender su funcionamiento.
229
Ciberseguridad
Tanto el especialista en técnicas forenses como el de reversing son personal que

podemos considerar incluidos en la categoría de Tier 3, la máxima –operativamente
hablando- que nos podemos encontrar en un Centro de Operaciones de Seguridad.
Su trabajo es de vital importancia para la fase de retroalimentación que vimos en el
tema 1:
■■ Por un lado el forense podrá, en la medida de lo posible, reconstruir la línea de

tiempo del ataque, lo que llevará a identificar el punto de acceso a través del cual
se materializó la amenaza.
■■ Por otro, y de nuevo siempre que sea factible, los especialistas en reversing
diseccionarán el malwares hasta llegar al código, lo que permitirá sacar una
“firma” digital que podrá ser incorporada a las reglas de filtrado de los IDS e
IPS para permitir su detección temprana. Incluso, y a pesar de las variantes
polimórficas de los virus, de que llegan empaquetados y cifrados, lo que se
logra obtener no es una identificación total a la antigua usanza como hacían
los antivirus tradicionales, sino un patrón de comportamiento sospechoso que
permite evaluar esa pieza de software como una amenaza potencial y derivarla
para su estudio, generalmente a una sandbox.
7.2.2. Servicios / procedimientos

Una vez se ha tomado la decisión administrativa de establecer un SOC, y dando por
solucionados todos los problemas relacionados con el personal con que se ha de
dotar y con la parte económica, comienza su funcionamiento.
■■ Mapeo de red. El punto de inicio de las actividades del SOC. Es necesario un

conocimiento profundo de la estructura de la red (servidores, hosts, routers,
switches, IDS, IPS…) así como de los objetivos de la organización. De esa
forma se priorizan servicios y necesidades, se establecen niveles de riesgo y de
protección correspondientes, poniendo una mayor atención al perímetro externo
de la red, a sus puntos de contacto con el exterior que serán los atacados con
mayor probabilidad.
Tener controlados todos los dispositivos que conforman la red es fundamental

para el control del tráfico: hay que saber quién es quién y dónde está y cuál es
su función en la organización para establecer un patrón de comportamiento
(baseline).
■■ Monitorización de tráfico de red. Una vez está la estructura de la red operativa,

se monitorizará el tráfico durante un periodo lo suficientemente largo para que
pueda establecerse una línea base de comportamiento “normal”. Si bien esta
monitorización se ayuda de herramientas informáticas, un ejemplo de las cuales
veremos más adelante, la intervención humana es indispensable: un test de
penetración programado y ejecutado contra la red sería detectado como un
ataque por las herramientas automatizadas, pero la intervención del operador lo
descarta como tal.
230
■■ Detección de vulnerabilidades. Se trata de un ejercicio que se realiza

periódicamente mediante el que se verifica que todos los equipos conectados a
la red cuentan con los últimos parches y actualizaciones instaladas, así como que
cumplen con las políticas de seguridad de la organización. Es un complemento
al mapeo de la red con el que se verifica que en el hardware corren las últimas
versiones de las aplicaciones y la configuración de seguridad es la establecida.
■■ Recolección de datos, o data gathering. Recolección sistemática de datos

en bruto de los sensores generados por la ocurrencia de un evento de
seguridad, descarte de los duplicados e innecesarios y envío de los útiles
para su procesamiento. Aquí entran, fundamentalmente, los logs de actividad
registrados y almacenados por los dispositivos que prestan un servicio de red:
IDS, IPS, firewalls, switches, routers, servers.
Centralizando la recogida de datos en un único punto se obtiene una mejor

visión de conjunto, que permite una detección de anomalías más rápida.
■■ Normalización de datos. Los datos recogidos y filtrados deben ser procesados

para convertirlos en aprovechables, lo que requiere un esquema común para
su tratamiento. El problema que se presenta es que cada dispositivo almacena
datos distintos de un modo particular, lo que dificulta su aprovechamiento. Es
aquí cuando aparece la normalización, entendida como la manipulación de los
datos suministrados por distintos dispositivos para ajustarlos a un esquema
común que permita su análisis.
■■ Agregación y correlación de eventos. La correlación, desde la perspectiva de

la ciberseguridad, se puede definir como la relación mutua entre dos o más
eventos de seguridad; la agregación, también en este contexto, es la agrupación
de eventos de seguridad que comparten al menos una variable común. Estas
técnicas son las que van a permitir diferenciar posteriormente un simple dato de
un indicador de compromiso, de una evidencia de intrusión.
■■ Detección de amenazas y anomalías. Con todos los datos recibidos,

normalizados, relacionados y agrupados y descartados los duplicados, el analista
del SOC ya dispone de información suficiente para evaluar si un comportamiento
anómalo está motivado por un ataque cierto y hay que poner en marcha el
protocolo de defensa, o bien necesita un examen más profundo y el evento es
elevado al siguiente nivel.
231
Ciberseguridad
7.2.3. Herramientas
En una red corporativa se generan diariamente un número elevado de eventos de
seguridad que podrían estar originados en un ataque informático. Todos esos eventos
son almacenados en forma de syslogs, server logs, MX records… que deberían ser
analizados en tiempo real para evitar/minimizar el daño en caso de resultar verdaderos
positivos. Y eso, de modo manual es imposible de hacer, por lo que se necesitan
herramientas informáticas para manipular tal cantidad de datos en un lapso de tiempo
lo suficientemente corto.
Un analista de un Security Operations Centre tiene a su disposición muchas y diferentes

herramientas especializadas para realizar su trabajo. Cada SOC tiene a su vez una suite
de herramientas particular cuya composición variará en función de su labor principal,
genéricamente denominadas SIEM al unir dos conceptos: SIM o Security Information
Management -Gestión de la Seguridad de la Información- y SEM o Security Event
Management -Gestión de los Eventos de Seguridad-. La parte SEM es la encargada
de la monitorización y correlación de eventos, permitiendo un análisis prácticamente
en tiempo real y la consiguiente toma de decisiones, mientras que la SIM se encarga
del almacenamiento de los datos, su análisis y la generación de informes
SIEM acrónimo de Security Information and Event Manager system (or

software), es decir, software que gestiona eventos e información de
seguridad.
232
7.3. Security Onion

En este capítulo del módulo de Ciberseguridad conoceremos la distribución Linux
Security Onion, una solución NSM (Network Security Monitoring) “todo en uno”, o
como se define en su página web (https://securityonion.net/):
“Security Onion is a free and open source Linux distribution for intrusion detection,
enterprise security monitoring, and log management. It includes Elasticsearch,
Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner, and
many other security tools. The easy-to-use Setup wizard allows you to build an army
of distributed sensors for your enterprise in minutes!”
Security Onion ofrece los servicios de captura total de paquetes de red, sistema de
detección de intrusiones a nivel host y a nivel red (HIDS y NIDS) y herramientas de
análisis. Se puede instalar como Evaluación o Producción:
■■ Standalone, autoconfigurándose la mayor parte del sistema, dejando al usuario

configurar Snort y Bro para monitorizar las interfaces de red. Se instala bien
en máquina virtual o en máquina física, con múltiples interfaces de red que se
levantan en modo promiscuo para esnifar los distintos segmentos de red que
hay que monitorizar.
■■ Producción o modo server-sensor, que permite que la máquina en que se instala

sea un master server que controla otras máquinas instalada como sensores de
red que almacenan en local los logs y se los envían al master server cuando el
analista se conecta a él y lo requiere.
Figura 7.2. Instalando Security Onion 1.
233
Ciberseguridad
El instalador nos va informando de los pasos y aplicaciones que instala, nos pedirá
configurar las interfaces de red que se emplearán para el esnifado de paquetes; la
creación de un usuario para Kibana, Squert y Sguil; configurará Snort y Bro para
monitorizar las interfaces… Y terminará la instalación.
Continúa la instalación, que nos va informando paso a paso de lo que va haciendo…
234
Nos informa de dónde podemos encontrar los logs de la configuración, cómo ver los
logs de las alertas de los IDS a través de las aplicaciones con interfaz gráfica…
Figura 7.5. Instalando Security Onion 4
235
Ciberseguridad
Como ha instalado automáticamente Snort-Suricata también se encarga de configurar

automáticamente pulled pork, aplicación que actualizará diariamente las reglas de
filtrado de paquetes de Snort…
Ahora tendremos un sistema SIEM levantado y operativo… y comienza el trabajo de

los analistas.
236
¿Con qué software trabajan los analistas? Como ya se dijo anteriormente no hay un
estándar definido, por lo que si continuamos con las opciones que nos ofrece Security
Onion nos encontramos con tres grupos:
Un primer grupo de aplicaciones son aquellas que se encargan de la recogida de

datos en bruto, bien de los sensores, bien directamente de la red.
Figura 7.8. Tipos de datos capturados (Fuente: https://securityonion.net/).
Un segundo grupo es el que recoge los datos anteriores, los normaliza y prepara para
su explotación en el siguiente paso.
Un tercer grupo, formado por una serie de aplicaciones, que recoge los datos ya
organizados y sanitizados para su presentación al analista.
237
Ciberseguridad
7.3.1. Recogida de datos

Es el primer escalón en el proceso. Independientemente del hardware desplegado en
la red siempre hay un software corriendo y recogiendo datos mientras ese dispositivo
cumple su función. En este caso los datos que vamos a recoger provienen de máquinas
que se encuentran, principalmente, en el perímetro exterior de la red, enfrentadas al
exterior, a Internet.
7.3.1.1. Snort
Snort es un “esnifer de red”, es decir, una aplicación capaz de “leer” los paquetes
que circulan por la red a la que está conectada la interfaz del dispositivo en el que se
encuentra instalada, y llevar el log correspondiente.
Figura 7.9. Logo de Snort. Fuente: https://www.snort.org/assets/SnortTM.png.
Pero este software, Open Source, es además capaz de convertirse en un completo

sistema de detección de intrusiones por su capacidad de análisis en tiempo real de los
paquetes que circulan por la red.
Cuando funciona como tal NIDS no recoge en logs la totalidad de paquetes que
detecta sino solo aquellos que responden a alguna de las reglas de filtrado que se
establecen y que concuerdan con una firma que identifica virus, troyanos, escaneos
de red… Sus reglas de filtrado son actualizadas por la comunidad y permiten ser
personalizadas para adaptarse a las necesidades de la organización.
La salida de las alertas de Snort se puede configurar de siete modos diferentes, con
distintos datos registrados en el log que se enviarán al siguiente escalón para su
normalización y análisis.
238
7.3.1.2. BRO (Network Security Monitor)

BRO es una herramienta pasiva que analiza el tráfico de red y reconoce actividades
sospechosas. Es capaz de desencapsular los paquetes para su análisis.
Figura 7.10. Logo de BRO. Fuente: https://www.bro.org/index.html.
Los detallados y bien estructurados logs de BRO recopilan datos de los protocolos
de aplicación más comunes, entre ellos HTTP, DNS, FTP, IRC, SMTP, SSH, SSL,
haciéndolos fácilmente procesables por otro software.
7.3.1.3. OSSEC
OSSEC es un sistema HIDS, es decir, detección de intrusos en host, lo que le hace
distinto a Snort, que es un sistema de detección de intrusos en red. Se trata de software
de código abierto y uso gratuito, adaptado a casi todos los sistemas operativos y
fácilmente personalizable.
Figura 7.11. Logo de OSSEC. Fuente: http://www.ossec.net/index.html.
Dispone de un potente motor de correlación y análisis que integra el análisis de logs de

los servicios que corran en el host (SAMBA, FTP, de correo electrónico, bases de datos,
servidores web, firewalls…), comprobando la integridad de los ficheros del sistema
operativo, monitorizando el registro de Windows, aplicando políticas centralizadas,
detectando rootkits, alertando en tiempo real y defendiendo activamente frente a
ataques de fuerza bruta con fail2ban.
Fail2ban es una aplicación para la prevención de intrusos en un sistema a

través del escaneo de logs del servicio, que actúa penalizando o bloqueando
las conexiones remotas que intentan accesos por fuerza bruta tras un
número configurable de intentos.
239
Ciberseguridad
7.3.1.4. Netsniff-ng
Forma parte de un toolkit de herramientas de networking, y en concreto esta
herramienta hace captura total de paquetes de red: captura el contenido binario de
los paquetes que circulan por la red y lo almacena en formato .pcap, lo que permite la
reproducción del tráfico y los análisis online y offline. Este formato presenta ventajas e
inconvenientes, siendo la ventaja más clara que los análisis de la totalidad del paquete
arrojan resultados que no pueden obtenerse de otro modo; el inconveniente mayor es
la elevada capacidad de almacenaje que requiere.
El análisis de los paquetes se realiza con otras herramientas que también están incluidas
en Security Onion, como CapME! o Wireshark, siendo esta última posiblemente la más
conocida.
7.3.1.5. Syslog-ng
El mayor número de logs proceden de tres fuentes: servidores, dispositivos de red
y aplicaciones. Syslog-ng es una herramienta de recopilación de logs de cualquier
dispositivo de la red que son procesados en tiempo real, analizados, clasificados y
correlacionados, almacenándolos o enviándolos a una herramienta de análisis de logs
para su explotación.
Figura 7.12. Logo de Syslog-ng.
Ahora, una vez que los datos han sido recopilados y preparados para su procesamiento,
se pasa al segundo escalón: optimización y mantenimiento.
Pero antes veremos qué tipos de datos son, principalmente, los que recopilan las
herramientas que hemos citado.
7.3.2. Tipos de datos

Distintos dispositivos con distintas funciones está claro que deben trabajar con
distinto tipo y número de datos. Pero cuando llegamos a la normalización de esos
datos, necesitamos saber cuántos y cuáles son para que el algoritmo encargado de
relacionarlos pueda hacer su trabajo.
No obstante, y dado que estamos hablando de incidentes de ciberseguridad en una

red corporativa –aunque sería igual para una red informática distinta, más grande
o más pequeña– veremos que hay una serie de datos que todos los dispositivos
recopilan y registran en logs, si bien en distintos formatos y posición. Pero estos datos
comunes registrados por los dispositivos van a ser el nexo de unión que nos permitirá
obtener inteligencia de ellos.
240
7.3.2.1. Full packet data

Tal y como indica su nombre, y hemos dicho más arriba, es la captura del paquete
completo en formato binario. Una copia, sin más.
De estos paquetes recopilados en formato .pcap se obtiene absolutamente toda la

información posible. Fundamental para un análisis posterior, presenta el inconveniente
de lo tedioso del almacenamiento y el elevado consumo de espacio en disco.
7.3.2.2. Session Data

Documentan las “conversaciones” mantenidas entre los dispositivos: quién habló con
quién y cuándo. Los datos mínimos en un log de sesión son, básicamente, el IP
5-tuple y el time-stamp. De ahí en adelante se pueden añadir otros como el total de
bytes o de paquetes… lo que enriquece la información que de ellos se puede obtener.
IP 5-tuple: los cinco valores mínimos que intervienen en una conversación

de red: IP de origen, puerto de origen, IP de destino, puerto de destino
y protocolo empleado. Concepto muy importante que el alumno debe
conocer.
7.3.2.3. Transaction Data

Documentan las transacciones entre clientes y servidores (DHCP, DNS, mail servers,
proxies…). Además del IP 5-tuple, estos logs almacenan datos relativos al servicio que
presta el dispositivo. Por ejemplo, un servidor de correo almacenaría en sus logs las
IP de origen y destino, puertos de origen y destino, protocolo, hora UTC, direcciones
e-mail de remitente y destinatario y asunto del correo electrónico.
7.3.2.4. Alert Data

Son las generadas por los IDS o IPS desplegados en la red cuando el tráfico que
detectan responde a unos patrones (reglas) establecidos que lo catalogan como
malicioso. En estos datos debe tenerse en cuenta la fuente: si es un IPS el sistema
que genera el log de alerta se supone, salvo otras opciones de configuración, que ha
descartado los paquetes, por lo que no habría peligro para el sistema; pero si la alerta
la genera un IDS se impone una inspección más profunda del evento.
Son Snort y Suricata, en un sistema Security Onion, las herramientas que generan
este tipo de logs que son analizados posteriormente.
241
Ciberseguridad
7.3.2.5. Otros tipos de datos

No tienen la misma importancia que los anteriores, pero sí un interés cierto para
los analistas por los detalles y complementos que aportan a la investigación de un
incidente.
El contenido extraído de los ficheros .pcap (artefactos), como puede ser desde una
cadena definida por el analista hasta el contenido integro de una página web; datos
estadísticos que relacionan session data y transaction data y ayudan a la creación
de gráfica de base-line; metadatos sobre la dirección IP, como la geolocalización,
propietario de la red, reputación… son algunos de esos datos complementarios.
7.3.3. Normalización de datos

El segundo escalón es el encargado de recopilar los logs generados por los
dispositivos, optimizarlos (normalizarlos, correlacionarlos), almacenarlos y presentarlos
a las herramientas del siguiente escalón para su explotación.
7.3.3.1. ELSA
ELSA, acrónimo de Enterprise Log Search and Archive, es un syslog framework
construido sobre syslog-ng, MySQL y Sphinx.
En el caso de Security Onion recibe los logs de BRO, Snort y Syslog y los almacena
en una base de datos relacional con MySQL, indexándolos con Sphinx, lo que ofrece
la posibilidad de búsqueda de cadenas de texto.
7.3.3.2. Sguil-Squert
Sguil es un servidor que coordina y recibe datos de alerta generados por los IDS (Snort,
OSSEC), de eventos en tiempo real, e incluso paquetes completos, y los almacena en
una base de datos.
Squert es una interfaz web que permite la búsqueda de información almacenada

en la base de datos de Sguil y muestra los resultados. Además permite el pivotaje
hacia otras herramientas como Wireshark o Kibana para continuar con el análisis del
incidente.
242
7.3.4. Presentación de datos

El escalón más alto en lo que a las herramientas de un SOC se refiere. Cuando los
datos llegan aquí provenientes de los sensores ya han sido depurados, normalizados
y procesados.
7.3.4.1. ELSA
Otra funcionalidad de ELSA como framework es su integración con los IDS (Bro, por
ejemplo) o syslog-ng, facilitando un acceso a través de una interfaz web a los logs.
Además permite a los analistas que desde cualquier log registrado de alerta o de
datos de sesión, pivoten a otras herramientas como Wireshark o CapMe! y extraigan
los datos del binario almacenado en bruto para su análisis.
Figura 7.13. Interfaz de ELSA: login en SSH. Fuente: https://www.syslog-ng.com/community/b/blog/posts/elsa-web-interface-

for-syslog-ng-and-patterndb/.
243
Ciberseguridad
7.3.4.2. Wireshark
Wireshark es un analizador de protocolo de red. Permite examinar datos de paquetes
en tiempo real o de un archivo de captura guardado en disco. Es una potente
herramienta que lo mismo nos permite el análisis de la información capturada a través
de los detalles de cada paquete, como que nos permite reconstruir y reproducir el
flujo de una sesión de TCP, o hacer un filtrado de datos por uno o más de los muchos
parámetros que soporta.
Se trata, además, de una aplicación open-source que corre en la mayor parte de los
sistemas operativos.
Figura 7.14. GPL, https://commons.wikimedia.org/w/index.php?curid=179341.
244
7.3.4.3. CapMe!
CapME! es una interfaz web que permite visualizar la transcripción de un fichero .pcap
registrado por Bro (aún comprimido con gzip) o descargarlo al almacenamiento.
Se puede pivotar a CapME! desde una alerta NIDS en Squert o desde un log en
Kibana o ELSA que tengan un sello de tiempo, las IP y puertos de origen y destino.
Figura 7.15. CapME. Fuente: https://securityonion.net/.
7.3.5. SOC playbook

Las amenazas a la seguridad son cada vez más complejas y sofisticadas, por lo que
es una utopía intentar prevenir el 100 % de los ataques. Sin embargo, se dispone de
una herramienta que sirve de referencia de cara a seguir metódicamente un proceso
analítico de seguridad frente a incidentes de naturaleza desconocida: el playbook, o
cuaderno de estrategias del Centro de Operaciones de Seguridad.
En casi cualquier trabajo, se dispone de un despabilaburros que sirve de guía a los

usuarios noveles (o a los no tan noveles) para el desempeño de una labor concreta
y en un SOC es imprescindible, dada la cantidad y complejidad de las tareas que se
realizan. Y como no hay dos SOC iguales, tampoco habrá dos playbooks iguales,
aunque sí deben cumplir con unos mínimos.
245
Ciberseguridad
7.3.5.1. ¿Qué es un Playbook?

Un playbook es un documento “vivo” que organiza y documenta la monitorización de
la seguridad, con una serie de métodos repetibles y previsibles pensados para dar una
respuesta específica a un evento o a un incidente de seguridad.
Las secciones que debería contener cada ficha del playbook podrían ser:
■■ Report ID.
■■ Objective.
■■ Data Query.
■■ Action.
■■ Analysis.
■■ Reference.
Report ID
Identifica unívocamente cada ficha correspondiente a un tipo de incidente, con una
descripción de alto nivel del incidente.
Objective
Descripción en lenguaje llano de qué se busca con la ficha y por qué. Se intentará
conseguir con esta descripción que un lego en la material tenga una comprensión
básica de por qué se hace. No debe ser demasiado detallada.
Data query
La “traducción” del objetivo expresado en lenguaje llano a un “lenguaje máquina”, a
una consulta ejecutable por una aplicación (algo así como una consulta SQL).
Action
Documentación de las acciones que se han tomado durante la fase de respuesta al
incidente.
Analysis
Especifica cómo se ha hecho la data query y cómo interpretar sus resultados. Describe
qué hacer, todas y cada una de las partes involucradas en la elevación del incidente y
cualquier procedimiento especial seguido.
Reference
Seguimiento de cambios y documentación que motiva los cambios, así como
cualquier otra información útil que no tiene cabida en los apartados anteriores, como
comentarios entre analistas, distintas opiniones sobre el camino que hay que seguir o
las medidas que hay que tomar… Un cajón de sastre.
246
7.4. Metodologías de prevención de intrusiones

No hay que olvidar que si bien un SOC está a cargo de la lucha contra las amenazas,
contra las intrusiones, tiene además una parte de prevención contra ellas. Y la mejor
forma de prevenirlas es conocer los pasos que un atacante ejecuta antes, durante y
después de una intrusión exitosa.
Hay varios modelos de análisis de incidentes que intentan ayudar a comprender cómo
se lleva a cabo un ataque y la metodología seguida hasta lograr el objetivo, para que
el SOC sea capaz de responder de un modo adecuado.
7.4.1. Modelo clásico Kill Chain

Kill Chain es el nombre que los militares (americanos) dan a las fases de un ataque; y
este es el proceso que un atacante sigue contra un objetivo.
Este modelo consta de siete fases, que citaremos someramente:
■■ Reconoissance. La recopilación de información para evaluar si el objetivo merece

la pena: qué datos de valor guarda y el nivel de protección.
■■ Weaponization: desarrollo de una ciberarma (virus, inyección de código…) basada

en las vulnerabilidades explotables descubiertas en la fase de reconocimiento
con el fin de degradar el funcionamiento del sistema o de la red, o simplemente
acceder al objetivo.
■■ Delivery: hacer llegar el payload a la víctima a través de un vector de infección

(adjuntos a correos, phishing, USB “perdidos”…)
■■ Exploitation: obtención del control del objetivo por la explotación de debilidades

típicas (vulnerabilidades, SQL injection…)
■■ Installation: acción de establecer una back-door o puerta trasera en el sistema

que permita acceso permanente y persistente al atacante.
■■ Command&Control: establecimiento de un canal de comunicación entre la red

de la organización y un controlador ubicado en Internet tal, que este último tenga
control absoluto sobre el recurso atacado.
■■ Actions on Objectives: lograr hacer lo que el atacante pretendía, ya sea el robo de

información corporativa, de propiedad intelectual, minado de criptomonedas…
Conociendo las fases de un ataque es factible enfrentarse a él aplicando en cada

momento las medidas adecuadas según la fase en que se encuentre.
247
Ciberseguridad
7.4.2. Diamond model

Este es un método sistemático de análisis de eventos de un modo reproducible tal,
que las amenazas se organizan, trackean, clasifican y contrarrestan.
Recibe el nombre de Diamond Model por la colocación de los aspectos clave de la

actividad maliciosa sobre la forma de un diamante.
Figura 7.16. Diamond model. Fuente: http://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf
Cada uno de los vértices del diamante recibe el nombre de nodo, y son:
■■ Adversary (adversario): la entidad o persona responsable de la intrusión.
■■ Capability (potencial): herramienta o técnica usada en el evento. El potencial

tiene una capacidad que es el conjunto de vulnerabilidades que puede ejecutar.
■■ Victim (víctima): el objetivo del adversario, ya sean personas o activos. A su vez

la víctima puede convertirse en infraestructura para otro ataque.
■■ Infraestructure (infraestructura): los nodos de comunicaciones que el adversario

emplea para establecer y mantener el control de su potencial.
Este modelo permite encadenar nodos comunes que muestran asociaciones entre
distintos incidentes: correlación.
248
Además de tomar en cuenta los nodos principales para el estudio de un incidente de

ciberseguridad, existen, como se ve en la imagen anterior, unas metacaracterísticas
que se recomienda tomar en consideración:
■■ Timestamp: cuándo ha ocurrido el evento. Horas de inicio y finalización.
■■ Phase: grupo de eventos equivalentes a los de la Kill Chain.
■■ Result: resultado, cuando se conoce, de la acción. Puede ser de éxito, fracaso

o desconocido.
■■ Direction: lugar de donde parten las acciones.
■■ Methodology: metodología empleada por el adversario, como DDoS o spear-

phishing…
■■ Resources: recursos empleados por el adversario para lograr su objetivo

(software, hardware, dinero…).
Este modelo, presentado como un modelo de análisis de intrusión diseñado por

analistas, se centra en una característica específica (nodo) para descubrir las
actividades maliciosas. A mayor número de incidentes identificados y mayor número
de incógnitas de los nodos resueltas más diamantes podrán ser unidos (relacionados)
entre sí, lo que permitirá conocer datos comunes de los ataques, relacionarlos entre sí
y facilitar el que sean contrarrestados.
249
RESUMEN
■
La ciberseguridad no es una moda pasajera ni una tendencia de mercado: es una
necesidad de primer orden para las organizaciones y, poco a poco, lo va siendo
también para el usuario “de a pie”.
■
La ciberseguridad, como proceso dinámico, y en constante cambio, requiere de un
esfuerzo cierto y mantenido para que sea efectiva. Aquello de “instalo y me olvido” no
tiene cabida en el mundo de la seguridad informática
■
Si bien la ciberseguridad es un proceso dinámico sigue unas pautas de funcionamiento
constantes: planificamos qué activos queremos proteger, analizamos toda actividad
susceptible de ser una amenaza para ellos, y en caso de confirmarse, procedemos a
su neutralización en el menor tiempo posible. Al final, aprendemos y lo aplicamos. Y
vuelve a comenzar el ciclo.
■
Para poder mantener un nivel de seguridad adecuado no podemos limitarnos a
trabajar de modo reactivo (me atacan y respondo) y aprender así. Disponemos de una
herramienta que nos permite estar prevenidos “en, avance”: la inteligencia (información
elaborada) que nos ofrece datos objetivos directamente utilizables en el proceso de
planificación de la ciberseguridad.
■
La (ciber)inteligencia trata la información siguiendo unas fases establecidas que
aseguran su adecuación, oportunidad, veracidad y objetividad necesarias para que los
datos finales sean válidos para una organización.
■
La información útil para nuestros fines se encuentra disponible en diversas fuentes,
soportes, formatos, estructura… que han de ser integrados de modo homogéneo para
su tratamiento.
■
La ciberseguridad se apoya en la ciberinteligencia y su capacidad de anticipar ataques
para dar respuesta a las cada vez más avanzadas ciberamenazas que nos acechan.
251
8
Ciberseguridad
8
DIDÁCTICA
UNIDAD
8. Seguridad en dispositivos móviles. BYOD

ÍNDICE
OBJETIVOS................................................................................................................................................................ 257
INTRODUCCIÓN....................................................................................................................................................... 258
8.1. Seguridad en dispositivos móviles.................................................................................................................... 259
8.1.1. Justificación...................................................................................................................................................... 259
8.2. Tipos de ataque / infección................................................................................................................................ 263
8.3. Fugas de información......................................................................................................................................... 275
8.4. Otros tipos de dispositivos móviles.................................................................................................................... 277
8.5. BYOD y BYOT....................................................................................................................................................... 283
RESUMEN................................................................................................................................................................... 285
255
OBJETIVOS
■ Conocer los tipos de dispositivos móviles.
■ Conocer la potencia que ofrecen los dispositivos móviles.
■ Aprender los distintos tipos de ataque que podemos sufrir en nuestros dispositivos móviles.
■
Aprender cómo pueden los ciberdelincuentes, usando dispositivos móviles, vulnerar
nuestros sistemas e información.
257
Ciberseguridad
INTRODUCCIÓN
En el mundo interconectado en el que nos ha Todo ello hace que podamos pensar en ellos desde el
tocado vivir es indiscutible la versatilidad de los punto de vista de la seguridad desde dos vertientes
nuevos dispositivos que tenemos a nuestro alcance. distintas pero complementarias:
Nos estamos refiriendo a los dispositivos móviles, ■■ ¿Qué pasaría si nuestro dispositivo con toda la
tablets y smartphones. La forma en la que han ido información que hemos almacenado en su interior
introduciéndose en nuestras vidas no tiene marcha fuese sustraído?
atrás. Ya hay más dispositivos que personas en el
mundo. La potencia de un smartphone actual es ■■ ¿Cómo podría un ciberdelincuente poder atacarnos
superior a toda la potencia de cómputo con el que con un dispositivo tan completo que cabe en un bolsillo
la NASA consiguió llevar al hombre a la luna con el sin ser visto?
Apolo XI. En este tema abordaremos ambas cuestiones y
Son dispositivos pequeños, potentes, con gran pondremos en conocimiento del alumno la realidad
autonomía, fáciles de usar, disponen de multitud que envuelve la seguridad de los dispositivos móviles.
de interfaces de conexión a distintas tecnologías,
innumerables sensores con los que captan el entorno
que nos rodean y un precio asequible para todos los
bolsillos.
258
8.1. Seguridad en dispositivos móviles

8.1.1. Justificación
En la actualidad los dispositivos móviles están disponibles para el 91 % de la
población mundial. Son dispositivos baratos y las prestaciones que ofrecen al usuario
en multitud de intereses ha hecho que, poco, a poco la población adquiera uno de
estos dispositivos. Disponen de sensores y componentes de comunicaciones que nos
permiten, entre otras muchas opciones:
■■ Conocer nuestra ubicación GPS concreta.
■■ Disponer de entretenimiento y recursos multimedia en cualquier lugar.
■■ Conectividad a internet y redes.
■■ Comunicación en tiempo real.
■■ Posibilidad de trabajo con aplicaciones de ofimática y productividad.
■■ Servicios de mensajería instantánea.
■■ Posibilidad de controlar otros dispositivos.
■■ Amplia gama de aplicaciones con fines personales.
■■ Amplia capacidad de almacenamiento interno.
■■ Cámara fotográfica de gran resolución.
De entre todas estas características y opciones la que ha hecho que se conviertan en

dispositivos revolucionarios ha sido la de romper las barreras de la comunicación tal y
como estaban establecidas hace algunos años.
Podemos leer el correo electrónico en casi cualquier parte del mundo, hacer y recibir
llamadas telefónicas, enviar mensajes instantáneos mediante WhatsApp, Telegram,
SMS, Facebook Messenger, etc., podemos acceder a información actualizada en
tiempo real, leer noticias en el mismo momento en que son publicadas e incluso ver
vídeos en directo de los hechos que nos acontecen.
Realmente es asombroso lo rápido que ha evolucionado esta tecnología, pero de igual

modo toda esta potencia puede usarse con fines ilícitos.
259
Ciberseguridad
Figura 8.1. Detalle de los componentes internos de un smartphone Samsung Core Prime SM-G631F (anverso).
Listado de componentes referenciados en la figura 8.1:
1. Módulo de cámara frontal de 2.0 MP.
2. Hueco para alojar la batería.
3. Hueco para alojar los conectores de la batería.
4. Pegatina identificativa con número de modelo, número IMEI y número de serie.
5. Módulo de cámara trasera de 5.0 MP.
6. Flex de conexión de la pantalla ala placa base.
7. Módulo del auricular.
8. Botón de encendido.
9. Botones de control del nivel de volumen.
10. Módulo de micrófono.
260
11. Módulo del vibrador.
12. Conector microusb para carga y transferencia de datos.
13. Bahía de conexión de la tarjeta SIM.
14. Protector de la CPU, un ARM de 1,2GHZ Quad Core.
15. Conectores de la batería.
16. Conector de la conexión wifi.
17. Flash.
18. Flex de conexión de distintos conectores a la placa base.
19. Batería de 3.85V y 2000mAh.
20. Módulo del altavoz.
21. Ventana de la cámara trasera.
22. Ventana del flash.
23. Bahía de inserción de la tarjeta SIM.
Figura 8.2. Detalle de los componentes internos de un smartphone Samsung Core Prime SM-G631F (reverso).
261
Ciberseguridad
Listado de componentes referenciados en la figura 8.2:
1. Ventana del flash.
2. Ventana de la cámara trasera.
3. Ventana de salida del altavoz.
4. Conector microusb para carga y transferencia de datos.
5. Módulo de memoria RAM, 1 GB.
6. Módulo de memoria de almacenaje interno de 8 GB.
7. CPU ARM de 1.2 Ghz.
8. Chip de comunicaciones Marvell Avastar 88W8777-A0, que controla las

comunicaciones wifi 802.11 b/g/n 2.4GHz, bluetooth 4.0, NFC, GPS, 3G B1,
B2 y B3, 2G GSM, 4G B1-B20 y radio FM.
9. Cámara trasera.
10. Cámara delantera.
11. Pantalla TFT de 4,5”.
12. Botón home.
13. Ventana de salida del auricular.
14. Ventana de la cámara frontal.
262
8.2. Tipos de ataque / infección

La informática móvil plantea problemas de seguridad más complejos que los PC de
sobremesa y las redes locales, pues los dispositivos utilizados por sospechosos y
víctimas ofrecen prestaciones y capacidades similares a los PC que se vendían en el
año 2013.
En un ordenador de sobremesa con Windows, Apple OS X o Linux, el usuario que

ha completado de manera correcta la instalación de su software trabaja dentro de
un entorno de permisos ajustado a los requerimientos de su actividad y a un nivel
de privilegios suficientemente restrictivo. Dentro de este entorno, lo normal es que
utilice un conjunto de aplicaciones informáticas de productividad más o menos
interdependientes (Office, programas de contabilidad, entornos de desarrollo,
herramientas de edición de vídeo, retoque fotográfico) que comparten el mismo
espacio de memoria RAM y almacenamiento en el disco duro. Existe el riesgo de
que las aplicaciones interfieran o se ataquen unas a otras, por ejemplo, con el objeto
de llevar a cabo un proceso de ampliación de privilegios que permita el acceso a un
atacante externo, aunque el riesgo es reducido. Se está siempre bajo control, debido
a la ubicación relativamente fija del ordenador y a la circunstancia de que en la mayor
parte de los casos el software procede de fuentes fiables: viene incluido de fabrica
en el PC, ha sido instalado por el administrador del sistema o lo descarga el usuario
desde un repositorio oficial.
Sería desastroso dar por supuesto que este también es el caso en entornos de
informática móvil, donde los dispositivos están diseñados para que se conecte a
internet permanentemente y el usuario pasa mucho tiempo descargando aplicaciones
o comunicándose con sus conocidos a través del correo electrónico y programas de
mensajería. Los problemas de seguridad se resuelven de diferentes modos según la
filosofía y el diseño de software de cada fabricante.
Apple solamente permite la descarga de aplicaciones desde un sitio autorizado, el

Apple Store, en el que los desarrolladores están identificados y el software pasa a
través de los filtros de control de calidad de la empresa. Las técnicas de jailbreaking
permiten manipular terminales para obtener privilegios de superusuario y autorizar
la instalación de aplicaciones procedentes de fuentes no fiables. Pero, en términos
generales, este monopolio que controla Apple Store resulta suficiente para garantizar
la seguridad de usuario normal que se limite a disfrutar de una experiencia móvil poco
ambiciosa y sea respetuoso con los términos de la garantía. También mantiene a la
empresa a salvo de responsabilidades civiles y daños de imagen.
Jailbreaking: del inglés, “fuga de la cárcel”, es el proceso de eliminar algunas

de las limitaciones impuestas por la empresa Apple en sus dispositivos que
utilicen el sistema operativo iOS modificando parte de él con el fin de permitir
al usuario la instalación de aplicaciones ajenas al APP Store o el uso de
características limitadas de fábrica. Su equivalente en Android es el Rooting.
263
Ciberseguridad
Rooting. Proceso que permite a los usuarios de dispositivos con el sistema

operativo móvil Android obtener permisos de Root o superusuario, es decir,
un usuario con privilegios completos. Se lleva a cabo con el objetivo de
eliminar las limitaciones que Google implementa de fábrica, como son la
capacidad de desinstalar las aplicaciones por defecto y remplazarlas por
otras. A diferencia del jailbreaking, no se necesita rootear para correr una
aplicación no oficial o no descargada desde Google Play, sino que esta
opción puede habilitarse en los ajustes del terminal sin estar rooteado.
Root o superusuario: en todos los sistemas operativos actuales, el

superusuario, root o administrador es el nombre convencional de la cuenta
de usuario que posee todos los derechos en todos los modos. El usuario
root puede hacer todas las acciones posibles dentro del sistema, a diferencia
de un usuario normal, que tiene ciertas características limitadas. No es
recomendable utilizar el superusuario root para un uso habitual del sistema,
ya que pone en riesgo el sistema al aplicar permisos privilegiados a cada
programa que ejecute. Es preferible utilizar una cuenta de usuario normal y
utilizar el usuario root o administrador solo en caso de ser necesario por la
naturaleza de la actividad que vayamos a realizar.
En Android el concepto de seguridad resulta algo más complejo y enrevesado. Esto

es inevitable debido a las características del software libre como la libertad del usuario
para modificar la configuración de los dispositivos y utilizar todo tipo de aplicaciones,
desarrolladas por él mismo o descargadas de sitios, independientemente de que
estén o no bajo el control de Google y la Open Handset Alliance.
Open Handset Alliance: la Open Handset Alliance (OHA) es una alianza

comercial fundada el 10 de octubre de 2007 en Mountain View, California
(EEUU) entre 84 compañías cuyo fin es el desarrollo de estándares abiertos
para dispositivos móviles. Sus miembros más relevantes son Google,
Foxconn, HTC, Dell, Intel, Motorola, Qualcomm, Sony, Texas Instruments,
Samsung, LG, T-Mobile, Nvidia, Wind River Systems, Lenovo, Vodafone,
ZTE Corporation, Samsung Electronics, …
Para conseguir este difícil equilibrio entre seguridad y libertad, los desarrolladores de
Android se han visto obligados a coordinar todo el grupo de herramientas disponible en
el entorno Linux / Unix y las diferentes tecnologías en las que se basa el proyecto como
son Java, máquinas virtuales, etcétera. El resultado es un concepto de seguridad en el
que el sistema de permisos Android se combina con las firmas digitales y la ejecución
en entornos restringidos de características similares a las de una máquina virtual Java.
264
Figura 8.3. Captura de pantalla de Google Play, la tienda oficial de Google.
Figura 8.4. Captura de pantalla de App Store, la tienda oficial de Apple.
265
Ciberseguridad
A continuación, enumeraremos los distintos tipos de ataques existentes:
Ataques contra Android

En general, los dispositivos Android se hayan expuestos al mismo tipo de ataques
que los PC de sobremesa y los ordenadores portátiles. Lo único que cambia es el
escenario: si antes era estático y estaba en la oficina, sujeto a un horario laboral
estándar con largas pausas nocturnas y un día de la semana establecido para copias
de seguridad y mantenimiento del sistema, ahora el entorno es móvil, imprevisible,
heterogéneo, caótico. El ataque puede tener lugar a cualquier hora del día o de la
noche, en el ámbito laboral fijo y en el hogar las intrusiones, y los abusos podrían ser
combatibles hasta cierto punto, mediante cortafuegos, políticas de uso, un vigilante
nocturno o, simplemente, dándole al botón de apagado. Pero, para hacer frente a
una amenaza que puede presentarse en lugares públicos como cafeterías, gimnasios,
aviones, incluso el palacio de Congresos o para sobrevivir en un mundo donde el límite
de la insidia del delincuente no viene determinado por la capacitación del administrador
de sistemas, sino por la fantasía del delincuente, aunque parezca una idea extraña, el
único modo consiste en seguir los pasos del malhechor. Hay que ponerse en su lugar
y razonar cómo aprender con el mismo empeño, por supuesto aplicado a la causa del
bien, y mantenerse al día sobre el avance de las tecnologías informáticas. El atacante
es un ciberdelincuente de sombrero negro o algo peor. Nosotros llevamos sombrero
blanco y luchamos para que prevalezca la justicia del Estado de derecho.
Ataques contra la infraestructura

Este tipo de ataque consiste en una agresión contra cualquiera de aquellos elementos
de infraestructura utilizados por los dispositivos móviles para comunicarse entre ellos o
con otros sistemas conectados a una red de comunicaciones: teléfonos fijos, servidores
internet, proxies, hosts de instalaciones corporativas, etc. Independientemente de
que se encuentren situados en domicilios particulares, bloques de oficinas o dentro
de un tren de alta velocidad, todos estos aparatos se comunican entre sí a través
de un entramado compuesto por antenas de telefonía móvil, tendido de fibra óptica,
concentradores, routers, switches multinivel y otros elementos de hardware típicos de
cualquier red de telecomunicaciones moderna.
Los ataques contra la infraestructura permiten a un agresor causar daños de la forma

más variable: interceptar transmisiones, suplantar identidades o dejar sin servicio
de usuario. Además de un riesgo para la privacidad, el ataque contra elementos
de infraestructura hace posible que un atacante amplifique el efecto de su agresión
dejando a un gran número de dispositivos desconectados de la red. Esto va más allá
del robo de datos y las molestias individuales, son palabras mayores, pues supone
un peligro cierto para los mismos fundamentos de la vida moderna al interrumpir
comunicaciones y servicios que pueden necesitarse con urgencia.
266
Ataques contra el hardware

El ataque contra el hardware es fácil de definir, puesto que está dirigido hacia algo
que se puede ver y tocar. Las implicaciones son complejas en función de los usos
particulares o institucionales a los que están dedicados los dispositivos. Sumadas
con otras, cuando gran número de terminales se ven afectados por prácticas de robo
o manipulación, o simplemente terminan perdiéndose por ahí, el problema adquiere
unas dimensiones macroeconómicas y sociales. De acuerdo con una encuesta de
la empresa de seguridad informática Avast, durante el año 2012 un 22 % de los
usuarios españoles extravió un teléfono móvil o un smartphone. En un parque móvil
de 25 millones de terminales esto significa que al menos 5 millones de dispositivos
cambiaron de manos de un modo irregular.
Pensar en las pérdidas reduciéndolas al valor económico de reposición resulta

ingenuo: los datos también tienen valor, en ocasiones considerable. Por ejemplo, la
información personal del titular y de los usuarios con los que se comunicaba y que
estaban almacenados en el terminal sustraído pueden llegar a caer en manos de los
ciberdelincuentes. La indiferencia con que una inmensa mayoría de usuarios encara
este problema y el escaso eco alcanzado en los medios sugiere que nos hallamos
lejos de superar el viejo prejuicio materialista según el cual el valor económico reside
en objetos con propiedades de masa y volumen. Esta forma de ver las cosas ya
no es aplicable en la sociedad de la información, donde lo que importa son activos
intangibles, como datos personales, identidades, tecnología, conocimientos.
Los ataques físicos se pueden diferenciar entre dos variantes:
■■ Intrusivos: implican la modificación física del dispositivo en una escala tal que con
frecuencia lo dejan inutilizado o hacen imposible que pueda seguir funcionando
en las condiciones originales de fábrica. Cuando se trata de llegar al contenido
del terminal, el ejemplo típico de este tipo de ataque sería la estación de chips o
la soldadura de cables a las patillas de aquellos para realizar lecturas de memoria
a través del JTAG.
■■ No intrusivos: un ataque es de carácter no intrusivo cuando el agresor no altera

el estado de fábrica del dispositivo, sino que se limita introducir modificaciones
en la configuración del software o del sistema operativo con la intención de alterar
el funcionamiento del terminal. Hemos visto ejemplos de estas manipulaciones
al tratar sobre técnicas de rooting, ROM cocinadas y particiones Recovery
alternativas. También son ataques no intrusivos la retirada de tarjeta SIM y/o de
la memoria SD con fines de adquisición de datos, el intento de descifrar códigos
de bloqueo por tanteo, fuerza bruta u otros procedimientos y la adquisición
de datos a través de una conexión USB. El objetivo de un ataque no intrusivo
consiste en conseguir acceso a una información almacenada en el dispositivo
que se considera valiosa o interesante, reservando el hardware para valorizarlo
en mercados clandestinos o dedicarlo a usos delictivos de algún otro tipo.
267
Ciberseguridad
Ataques contra el software

Un ataque de software es aquel que va dirigido contra el sistema operativo o las
aplicaciones que se ejecutan en el dispositivo móvil. Algunas de estas agresiones
pueden ser tan burdas como persuadir al usuario, mediante maniobras de ingeniería
social, para que lleve a cabo él mismo las manipulaciones que comprometen su
terminal, como por ejemplo, mediante descarga de aplicaciones malignas y concesión
de permisos demasiado amplios. En el aspecto puramente técnico los ataques contra
el software están basados en la explotación de un defecto de programación (bug) en
el sistema operativo del terminal, en las aplicaciones de usuario o en los drivers.
Más adelante hablaremos sobre las vulnerabilidades de Android que hacen posible
la existencia de los diferentes tipos de ataque utilizados por los delincuentes
informáticos. En los ataques contra el software de dispositivos móviles existen dos
variantes principales:
■■ Ataques de aplicación: el agresor engaña al usuario legítimo de un dispositivo

para que descargue desde sitios no homologados por Google una aplicación
maliciosa que se hace pasar por software legítimo. Una vez instalada, esta
aplicación cumple su propósito maligno por uno de los tres métodos siguientes:
□□ A través de los permisos excesivos concedidos por un usuario inexperto.
□□ Explotando un bug de la versión de Android sobre la que se instala.
□□ Aprovechándose de los permisos que poseen otras aplicaciones legítimas.
■■ Ataques de la web. Se trata de una modalidad de agresión cada vez más utilizada
por los delincuentes informáticos. En este caso el vector de acceso al dispositivo
suele ser el motor de navegación WebKit. Los navegadores de Internet, además
de interpretar código HTML, incluyen funcionalidades complejas para la ejecución
de scripts en diversos lenguajes de programación, así como para visualizar
archivos multimedia, realizar llamadas de videoconferencia, utilizar servicios web
y otros cometidos. Para implementar estos extras son necesarios componentes
de software adicionales (plugins). También se precisa la cooperación concurrente
de otras aplicaciones vinculadas al programa atacado mediante relaciones de
confianza y permisos compartidos. Pulsando sobre los enlaces de páginas web
controladas por el atacante, o simplemente por el mismo hecho de visualizarlas,
el usuario puede estar descargando una aplicación maligna o ejecutando un
script con capacidad para explotar vulnerabilidades que hacen posible el robo
de datos, la troyanización del terminal o cualesquiera otros efectos indeseables.
Vulnerabilidades Android
Con lo expuesto en el apartado anterior nos podemos hacer cierta idea de cómo
emplea su talento un pirata especializado en el ataque contra objetivos móviles. Lo
que aún no sabemos es cómo lo hace. Para ello es preciso explicar con cierto detalle
las condiciones que hacen posible la existencia de los diferentes tipos de agresión.
Interesan principalmente los ataques de software.
268
Lo que sucede en la infraestructura de red pertenece al ámbito de otras tecnologías

informáticas y existen métodos de investigación específicos para ocuparse del
problema. Las manipulaciones del hardware, por su parte, requieren enfoques de
alto nivel tecnológico, de los cuales ya hemos hablado al tratar sobre los métodos de
investigación intrusivos, como chip-off. El software, por el contrario, está al alcance de
cualquier investigador que lo conozca y sepa cómo detectar dentro de él las anomalías
y los fallos que impiden el funcionamiento correcto de las aplicaciones.
Pese a su carácter enteramente lógico y determinista, el software es un producto

hecho por el ser humano y, por tanto, sujeto a imperfecciones. Tanto en Android como
en cualquier otra plataforma informática, la complejidad y el tamaño de los programas
hacen posible la existencia de vulnerabilidades con diversos grados de severidad que,
explotadas por un atacante, abren camino a infinidad de maniobras maliciosas cuyo
último objetivo consiste en robar datos, asociar el terminal a una botnet o extraer
beneficios económicos ilícitos.
Como en cualquier otro sistema operativo, en Android no dejan de aparecer

vulnerabilidades nuevas. La naturaleza de Android como código libre hace posible
solucionar estos defectos en menos tiempo del que se tarda en reparar fallos similares
en el software propietario. La razón de ello es que todo el mundo puede examinar el
código fuente y siempre hay un programador dispuesto a poner a disposición de la
comunidad nuevas versiones de software con los fallos corregidos.
Algunas de las vulnerabilidades más extendidas conllevan las siguientes características:
■■ Vulnerabilidades de permisos nulos: en el momento de instalarse una aplicación,

esta solicita los permisos que necesita para realizar sus funciones. Si el usuario
no está dispuesto a concedérselos, la aplicación es rechazada por el sistema
operativo. Las aplicaciones que no necesitan permisos y, que por tanto, no
han de solicitarlos, se instalan de manera inmediata y sin pedir confirmación al
usuario, al darse por entendido que este tipo de aplicaciones no plantea ninguna
amenaza potencial. Este tipo de aplicaciones presenta un doble filo, ya que se
descubrieron vulnerabilidades en 2010, halladas por el hacker Tim Wyatt, en
las que podían conseguir que un dispositivo móvil se conectara a internet o se
reiniciara a el terminal sin la acción necesaria del usuario.
□□ Acceso a internet. El objetivo de esta vulnerabilidad consiste en establecer

una comunicación entre el software instalado en el dispositivo y un servidor
remoto controlado por el atacante. En condiciones normales, para hacer esto
una aplicación necesita el permiso INTERNET, o bien tener acceso a otra
aplicación que lo tenga. En el caso de las aplicaciones de permisos nulos, la
forma en que aquellas consiguen abrirse paso hacia el exterior consiste en
pasar una URL a través de un intent. El navegador de internet transfiere a la
red la URL acompañada de sus parámetros en forma de una petición HTTP
GET. De este modo el agresor establece el enlace ascendente (uplink); y por
consiguiente una vía de comunicación desde el dispositivo hasta el servidor
remoto.
269
Ciberseguridad
También es posible habilitar el enlace descendente downlink desde el servidor

remoto hasta el terminal, definiendo un receptor estándar para identificadores
uniformes de recursos URI y lo da de alta mediante la entrada correspondiente
en el archivo AndroidManifest.xml de su presuntamente inofensiva aplicación.
Mediante este proceso en dos etapas, solo identificable mediante un análisis
detallado del código de la aplicación maliciosa, resulta posible establecer
conexiones remotas similares a las de troyanos y botnnets sin que sea
necesario disponer del permiso INTERNET.
□□ Reinicio del dispositivo: toda aplicación que desee reiniciar el sistema necesita
disponer del permiso REBOOT. Sin embargo, aunque el usuario lo conceda,
el sistema no lo aceptará porque REBOOT es un permiso perteneciente al
nivel de protección 3, propio de las aplicaciones de sistema provistas de firma
digital. En este caso, las aplicaciones de permisos nulos no son capaces de
forzar directamente un reinicio del sistema, pero sí pueden hacer que sea el
usuario quien reinicie el sistema engañado para que lo haga, emitiendo una
notificación de tipo especial, denominada Toast, capaz de persuadir al usuario
para que lleve a cabo el mismo el reinicio. Las notificaciones Toast son mensajes
emergentes utilizados por los desarrolladores con fines de depuración de
software para mostrar algún aviso al usuario. Puede conseguirse que estas
notificaciones aparezcan de modo intermitente, por lo que como no existe
posibilidad de poder trabajar con el terminal, el usuario terminará reiniciándolo
para librarse de las molestias. El reinicio del dispositivo puede utilizarse para
completar procesos de instalación del software malicioso descargado por las
aplicaciones de permisos nulos, terminando finalmente la instalación.
□□ Escalada de privilegios: otra categoría de vulnerabilidades está compuesta

por aquellos fallos de programación o configuración del software que
hacen posible conseguir un aumento de privilegios mediante la ejecución
de determinados fragmentos de código malicioso o exploits. Este defecto
no es exclusivo de Android, sino que está presente en todos los sistemas
operativos desde los inicios de la computación. Estos exploits se utilizan para
rootear dispositivos móviles sin que la víctima se dé cuenta, con el objeto de
descargar software malicioso, robar datos del usuario o controlar el terminal
de segunda ubicación remota.
Exploit: en el ámbito de la informática un exploit es un dato, software,

secuencia de comandos o acciones, capaz de aprovechar una
vulnerabilidad de seguridad de un sistema de información para conseguir
un comportamiento no esperado del sistema. Este término no se asocia
exclusivamente con el software. Cuando realizamos un ataque de ingeniería
social, el discurso que preparamos por ejemplo para convencer a la víctima
y que nos dé cierta información también se considera un exploit.
270
□□ Ejecución de shell inverso: en este caso el objetivo malicioso consiste en

abrir en el terminal un shell o cuenta que permite introducir comandos de
Linux. Los ataques suelen tener éxito a causa de determinados defectos de
programación vinculados al navegador de internet WebKit, que no es capaz
de validar entradas relacionadas con el procesamiento de código JavaScript.
Existe, por ejemplo, una función encargada de interpretar datos numéricos en
flotante que produce desbordamientos del buffer. A través de una página web
dominada por el atacante, el exploit puede ser activado cuando el usuario la
visita, atraído por un enlace en el correo electrónico o engaños de ingeniería
social.
□□ Grietas funcionales: estos puntos débiles se hayan vinculados a aplicaciones

de sistema que vienen instaladas de fábrica en el terminal y exportan receptores
de acceso público, a los cuáles, cualquier aplicación puede enviar mensajes
por medio de intents. Todo aquello que llega al receptor es ejecutado por la
aplicación de sistema correspondiente. Es necesario aclarar que la intención
original del programador es buena: se trata de facilitar el funcionamiento de
cierto servicios y rutinas sin que la supervisión del administrador suponga un
obstáculo permanente. Sin embargo, estos atajos abren brechas a través de
las cuales un atacante puede acceder a la información del dispositivo, mandar
mensajes SMS sin el permiso del usuario o determinar la posición geográfica
del terminal.
Software malicioso
El malware es el eterno enemigo de la informática de usuario. Desde hace pocos
años a esta parte, gracias al desarrollo de internet y de las constantes innovaciones
en el desarrollo de la tecnología informática y, sobre todo, de las comunicaciones, el
software malicioso ha experimentado una mutación tanto cuantitativa como cualitativa.
Antes teníamos un ecosistema clásico formado por virus, gusanos y troyanos que
afectaba casi en exclusiva al PC de sobremesa y a los ordenadores portátiles
provistos de alguna versión del sistema operativo Windows. Detrás de la creación de
estos elementos de software maligno había, en la mayor parte de los casos, un ansia
de autoafirmación o motivaciones vandálicas. Ahora, gracias a las redes móviles, el
entorno ha evolucionado y vivimos en una jungla digital infestada de especímenes, a
cuál más raro y dañino: rootKits, puertas traseras, botnets, registradores de teclado
o keyloggers, programas espía, ladrones de identidad y otras aplicaciones perversas.
Esta amplia fauna del mal evoluciona a través de un proceso de recombinación
constante de código que hace posible la aparición de nuevas variantes. Diariamente
aparecen centenares de muestras nuevas de este tipo de software malicioso.
■■ Motivación del delincuente
El moderno software malicioso está interesado en pasar desapercibido sin

hacerse notar, como los virus de los años 80-90. No solo evita fastidiar al
usuario, sino que se oculta haciéndose pasar por procesos legítimos o falseando
la información entregada por los comandos de administración del sistema. Su
objetivo no es destruir información, sino robarla.
271
Ciberseguridad
La estrategia consiste en llevar a cabo acciones que reporten un beneficio

económico al delincuente: sustracción de datos y credenciales bancarias,
enganche del ordenador a una red zombie para el envío de spam o el lanzamiento
de ataques de denegación de servicio, creación en el disco duro de sus víctimas
de repositorios ocultos de warez y pornografía infantil, etc.
Con la llegada del smartphone la problemática del software malicioso entra en

una nueva dimensión a causa del traslado masivo de servicios al ámbito de las
redes móviles. La disponibilidad de plataformas abiertas basadas en código libre
y la existencia de un enorme parque de dispositivos móviles equipados con el
mismo sistema operativo proporcionan dos de los tres ingredientes necesarios
para un éxito tan sonado como el que el software malicioso has conocido entorno
Windows. El único factor que falta para propiciar la aparición de escenarios de
contaminación masiva en Android es la existencia de oportunidades de negocio,
y, por consiguiente, de posibilidades para que los delincuentes informáticos
puedan monetizar la actividad de sus parásitos. Algunos ejemplos de aplicaciones
maliciosas son las siguientes:
□□ Suscripción a servicios SMS premium: este tipo de ataque estuvo muy

extendido durante los años 2012-2013. Debido al impacto negativo en
la opinión pública, era de esperar que las compañías telefónicas tomarán
medidas para evitarlos. A día de hoy todavía sigue existiendo este tipo de
amenaza. El modus operandi de este tipo de malware es dar de alta una línea
telefónica premium, pagando la tarifa correspondiente al país donde tenga
previsto desplegar su actividad. Luego desarrolla una aplicación capaz de
marcar el número contratado y recibir mensajes a la tarifa oficial establecida
por el prestador del servicio, mucho más alta que la de un SMS normal. Una
vez que el importe de la llamada ha sido cargado en la cuenta del abonado,
los ingresos se reparten entre la compañía telefónica y el arrendatario del
número premium. Durante la instalación de este software se piden permisos
para enviar mensajes SMS, algo que después hará sin esperar confirmación
del usuario. Es fácil identificar los vectores de entrada de este tipo de software,
pues aparecen en multitud de páginas web en las que se nos pide en un
formulario nuestro número de teléfono para poder descargar algún tipo de
contenido.
□□ Spyware: existe un gran número de aplicaciones Android capaces de extraer

información del usuario, monitorizar el uso que este hace del dispositivo móvil
o controlar sus desplazamientos geográficos mediante la recuperación de
datos correspondientes a la posición de antenas de telefonía móvil, puntos
de acceso wifi y coordenadas GPS. Una aplicación que consiga obtener toda
esta información además de la lista de contactos, los mensajes recibidos y
enviados, el correo electrónico, o, si el dispositivo está ruteando, cualquier
archivo que se encuentra almacenado en el mismo, tendría la posibilidad de
enviar un amplísmo informe con nuestra información al ciberdelincuente.
272
□□ Adware: muchas plataformas publicitarias pagan a los proveedores de

contenidos una cantidad determinada en función de la cantidad de veces que
un anuncio aparece dentro de sitios web. Una aplicación maliciosa diseñada
para aprovecharse de este negocio puede mostrar el anuncio abriendo un
navegador en el dispositivo móvil o haciendo aparecer la publicidad en la
pantalla de modo aleatorio. Algunos desarrolladores de software malicioso se
descargan del mercado Android aplicaciones de pago y, mediante ingeniería
inversa, insertan en ellas los anuncios publicitarios del programa al cuál están
suscritos, para después volverlas a poner en circulación desde un Market no
oficial o a través de páginas web. Cada vez que la aplicación es utilizada en un
dispositivo móvil y esta muestra anuncios, genera ingresos que son enviados
al atacante.
□□ Pay-per-click: las plataformas publicitarias del tipo pay-per-click (pago de una

cantidad por clic del ratón) abonan un informe determinado cada vez que
alguien pulsa sobre el enlace correspondiente a sus anuncios. Esta cantidad
no suele ser muy elevada, por lo general de unos pocos céntimos, pero
cuando el número de clics es alto, los céntimos se multiplican hasta hacer
sumas importantes. Al atacante no le basta con los clics de aquellos usuarios
que marcan legítimamente el enlace publicitario, por lo que sirviéndose de
aplicaciones maliciosas, generan tráfico falso para inflar su ratificación. Una
variante más dañina podría activar la descarga de aplicaciones, música u otros
contenidos, de manera automática y sin autorización del usuario, generando
de este modo ingresos para un atacante suscrito a programas de pago por
volumen de descargas o número de visitas a páginas web.
□□ Envenenamiento de buscadores: algunos motores de búsqueda muestran

páginas web y elaboran ranking de recomendaciones basándose en una
monitorización de visitas a sitios de internet. Mediante aplicaciones maliciosas
se puede desencadenar una avalancha de visitas a determinadas páginas
web con el objeto de favorecer su posicionamiento en el ranking del buscador.
Con ello un atacante generaría de manera artificial ingresos suplementarios
en aquellos sistemas públicos de pago por visita o pago por clic a los cuales
esté suscrito. Un ejemplo de este software pudiera ser el troyano ADRD,
originario del sudeste asiático, capaz de perturbar el funcionamiento normal
del buscador chino Baidu generando tráfico artificial.
□□ Troyanos bancarios: este tipo de software aprovecha la barrera de seguridad

que nuestros bancos han implantado, ya casi de manera universal, por la que
nos piden un código que nos llega a través de un mensaje de texto al móvil
cada vez que queremos realizar una transferencia de dinero desde nuestra
cuenta de banca electrónica. La forma que tiene este software de atacarnos
es manipulando el mensaje de texto a través de un Man-in-the-middle para
forzar que el mensaje tenga un contenido conocido, permitiendo al atacante
realizar transferencias en nuestro nombre.
273
Ciberseguridad
□□ Keylogger: esta técnica aprovechada desde los comienzos de la era de la

informática consiste en un programa oculto para el usuario que registra cada
una de las pulsaciones que hacemos sobre nuestro teclado. Si pensamos
en todo lo que introducimos, tanto en el ordenador como en el teléfono
móvil a través del teclado, podríamos darnos cuenta de que hacemos una
introducción continua de datos personales en mensajes tanto de WhatsApp,
como en correos electrónicos, así como contraseñas de login a ciertos
servicios o páginas web. Este tipo de aplicaciones hace una recolección de
toda esta información personal y la envía al atacante, el cual podrá utilizar otro
dispositivo distinto al nuestro para acceder en nuestro nombre a nuestras
cuentas personales.
274
8.3. Fugas de información

Una fuga de información es toda aquella salida de información no controlada que llega
a individuos no autorizados para su posesión y sobre la que el propietario legítimo
pierde el control o custodia. Pueden darse dos vías para que esta fuga de información
se lleve a cabo:
■■ Por negligencia del propietario legítimo, que dispone de forma accidental o

involuntaria esta información confidencial.
■■ Por acción del propio ciberdelincuente, que aprovecha una vulnerabilidad,

fallo, o inconsistencia de un protocolo de seguridad para hacerse con dicha
información.
Ejemplos de fugas de información pueden ser los siguientes:
■■ Un administrador de una página web que sube accidentalmente al servidor un

fichero con información sensible, pensando que no va a estar disponible para su
acceso desde la web.
■■ Un dispositivo móvil extraviado, bien sea un teléfono móvil, una tablet o un

ordenador portátil, olvidado en una cafetería como en un transporte público o
robado por un ciberdelincuente.
■■ Un ataque Man-in-the-middle, en una conexión wifi de una oficina en la que la

seguridad de las redes inalámbricas no está bien definida y el ciberdelincuente
consigue capturar cookies de sesión, información privada o credenciales.
O aunque no sea por un fallo en el blindaje de las conexiones inalámbricas,
el ciberdelincuente consigue vulnerar mediante técnicas conocidas dicha
seguridad.
Figura 8.5. Dispositivo Wifi Pinneaple Nano, diseñado para realizar ataques a conexiones wifi, especialmente mediante un Man-
in-the-Middle.
275
Ciberseguridad
Figura 8.6. logotipo del dispositivo Wifi Pinneaple.
■■ Un pendrive en el que se ha instalado un keylogger, abandonado en un sitio

estratégico para que la víctima lo encuentre y fruto de su curiosidad lo conecte a
un ordenador de su propiedad o empresarial al que queramos robar información.
Figura 8.7. Dispositivo basado en ATMega768 con el que poder realizar un ataque de robo de información simplemente
enchufándolo a un puerto USB o creando un Keylogger.
■■ Un ataque de ingeniería social en el que, aprovechando que un usuario de una

empresa abandona su puesto de trabajo sin cerrar sesión como sin bloquear
el equipo, nos permite posicionarnos frente a su teclado y hacer un robo de
información.
■■ Un simple ataque de ingeniería social en el que llamamos por teléfono a una

empresa o usuario particular haciéndonos pasar por algún servicio de su interés.
En dicha llamada telefónica les solicitamos datos personales con la promesa
de mejorar su oferta actual de algún servicio y este nos regala la información
camuflada dentro de la propia conversación.
276
8.4. Otros tipos de dispositivos móviles

Ordenadores ARM
En los últimos años se ha popularizado la distribución y precio de ordenadores a ARM
como son Raspberry Pi o Arduino, con el que por un precio relativamente económico
podemos desarrollar proyectos de domótica, programación, desarrollo, etc. Estos
dispositivos son muy versátiles, pudiendo ser alimentados por baterías y contando
con un tamaño pequeño, pueden pasar desapercibidos instalados dentro de un rack
de comunicaciones de una empresa, y estar configurados para robar información
durante un tiempo prolongado al pasar totalmente ocultos al personal de la empresa.
Estos dispositivos poseen interfaces de comunicación wifi, bluetooth, ethernet, así
como memoria de almacenamiento en la que pueden guardar capturas de tráfico de
red, imágenes grabadas por su modulo de cámara o incluso, si los equipamos con
sensores, pueden registrar cambios de temperatura, presión, luminosidad, presencia
biométrica, etcétera.
Figura 8.8. Dispositivos ARM Raspberry Pi 3 modelo B.
277
Ciberseguridad
Figura 8.9. Ddispositivo Arduino UNO R3.
Figura 8.10. Dispositivo Arduino Nano.
278
Figura 8.11. Módulo de ampliación de Arduino para proporcional geolocalización GPS.
Figura 8.12. Módulo de ampliación de Arduino para proporcional transmisión de datos en frecuencia RFID, la misma que usan
los mandos de puertas de garaje y coches inalámbricos.
279
Ciberseguridad
IoT
La nueva fiebre tecnológica del momento es la proliferación de dispositivos IoT tales
como pulseras fit, SmartWatch, zapatillas que registran pasos, neveras conectadas
a internet, cafeteras inteligentes, Smart TV, dispositivos ya conectados a la televisión
con los que podemos comunicarnos mediante voz o imagen para cambiar de canal o
personalizar opciones, etc.
Todos estos dispositivos suelen venir con una configuración por defecto que deja
mucho que desear en cuanto a seguridad se refiere. Las contraseñas por defecto de
administración embebidas por el fabricante en el proceso de producción no suelen ser
cambiadas por un amplio porcentaje de los usuarios que las quieren, por lo que un
ciberdelincuente conocedor de dicha contraseña podrá manipular nuestro dispositivo
IoT remotamente. Es el caso conocido por ejemplo del 21 de octubre de 2016 en
el que unas cien mil cámaras IP fueron comprometidas simultáneamente por la red
zombie Mirai para realizar un ataque de denegación de servicio con el que tumbaron
servicios tan populares como Whatsapp, Spotify o Twitter durante varias horas en
todo el este estadounidense y parte de Europa.
Mirai: es un malware de la familia de las botnets cuyo objetivo o target son

equipos del tipo IoT. El objetivo principal de este malware es la infección de
dispositivos tipo routers y cámaras IP, utilizándolos para realizar ataques de
denegación de servicio (DDoS). La botnet Mirai ha sido utilizada en varias
campañas de ataques DDoS a nivel mundial, algunos de ellos considerados
los más grandes y bruscos de la historia, como el que se realizó al sitio web
de Brian Krebs y al proveedor Dyn el 21 de octubre de 2016. El código
fuente de Mirai ha sido publicado en distintos foros de hacking. Lo que
ha permitido que sus técnicas sean reutilizadas en otros proyectos. Su
funcionamiento es sencillo, Mirai escanea continuamente los dispositivos
IoT conectados a Internet y los infecta accediendo mediante telnet con las
credenciales de acceso que vienen por defecto preinstaladas de fábrica
y que el usuario en su instalación no cambió. Después carga su código
malicioso en la memoria principal del dispositivo, de esta forma queda
infectado hasta que es reiniciado. Como curiosidad, decir que Mirai incluye
una tabla de máscaras de red implementadas dentro de su código a las
cuales no escanea ni infecta, dentro de las que se encuentran redes privadas
y direcciones pertenecientes al Servicio Postal de los Estados Unidos, el
Departamento de Defensa, IANA, Hewlett-Packard y General Electric.
Botnet: una botnet o red zombie es una red de robots informáticos

conocidos como bots, que se ejecutan de manera automática y autónoma.
El ciberdelincuente propietario de la botnet puede controlar todos los
ordenadores y servidores infectados que forman la botnet de forma remota.
280
Bot: un bot es un programa informático que efectúa automáticamente

tareas repetitivas. La finalidad es la realización de tareas arduas, complejas
y reincidentes, pero de forma automática y precisa, evitando que tengan
que ser realizadas por un humano.
Ataque DoS: en seguridad informática, un ataque de denegación de

servicio (ataque DoS por sus siglas en inglés, Denial of Service), es un
ataque a un sistema informático o red que provoca la saturación de tráfico
de una red consumiendo todo el ancho de banda, por lo que un servicio o
recurso queda inaccesible a los usuarios corrientes. Una forma Los mayores
ataques DoS registrados hasta la fecha son los sufridos por la empresa Dyn
el 21 de octubre de 2016 con picos de 1,2 Tbps (terabits por segundo) y el
sufrido por GitHub el 28 de febrero de 2018 entre las 17:21 y las 17:30 UTC
que saturó su red con una cantidad gigantesca de tráfico con picos de 1,35
Tbps (terabits por segundo), unos 126,9 millones de paquetes por segundo.
Un ataque DoS originado desde varios puntos hacia un solo objetivo se
denomina DDoS, ataque de negación de servicio distribuido (por sus siglas
en inglés (Distributed Denial of Service).
Terabit por segundo: (Tbit/s) es una unidad de medida de tasa de

transferencia usada para medir la cantidad de información transmitida por
un sistema hacia otro a través de la red. Es equivalente a 1 000 de gigabits
por segundo o 1 000 000 de megabits por segundo. Por ejemplo, si un
tamaño medio de un email sin ficheros adjuntos, solo texto, es de 20KB,
estaríamos hablando de que 1 Tbit/s sería el ancho de banda consumido al
enviar 6 250 000 correos electrónicos en 1 segundo.
281
Ciberseguridad
Figura 8.13. Noticia publicada el 21 de octubre de 2016 sobre el ataque del Malware Mirai. Fuente: https://www.heraldo.es/
noticias/sociedad/2016/10/21/un-ciberataque-inutiliza-twitter-spotify-durante-mas-dos-horas-1122671-310.html.
Los dispositivos IOT están extendidos tanto en zonas domesticas cómo empresariales.
Sería fácil para un ciberdelincuente configurar o manipular una puerta trasera en una
nevera inteligente o una Smart TV de la sala de reuniones de una empresa para que
grabe audio durante una reunión privada.
Las medidas de seguridad que tendríamos que llevar a cabo con estos dispositivos
son los mismos que los mencionados anteriormente para ordenadores de sobremesa,
ordenadores portátiles, Smartphones y tablets:
■■ Tener actualizado el sistema operativo y aplicaciones instaladas.

■■ Tener instalado un sistema antivirus.
■■ Desinstalar o deshabilitar las opciones que no necesitemos.
■■ Restringir el acceso a personal no autorizado.
■■ Realizar copias de seguridad de la información periódicamente.
■■ Instalar aplicaciones solo de repositorios oficiales.
■■ Evitar acceso a páginas de contenido dudoso.
■■ Apagar el dispositivo cuando no se necesite.
282
8.5. BYOD y BYOT

BYOD
Bring your own Device que traducido sería “traiga su propio” dispositivo, es una
tendencia actual empresarial, en el que se permite al usuario traer su dispositivo a
la empresa para hacer uso de él como herramienta de trabajo. Las ventajas son una
mayor flexibilidad y la posibilidad de utilizar un solo equipo en la oficina y en casa.
Los beneficios económicos para la empresa son obvios, pues no han de hacer el
desembolso de un equipo para cada trabajador, sino que es el trabajador quien trae
su dispositivo personal. La satisfacción de uso de los empleados es alta, ya que están
habituados al uso de dicho dispositivo.
Paralelamente existen inconvenientes, como son la opción de conectarse a la red

corporativa de una empresa con un dispositivo que puede estar infectado sin que
el trabajador lo sepa. Dicha infección ha podido realizarse mientras se utilizaba el
dispositivo para fines personales. Existe también una mayor carga en los recursos de
la red, ya que estos dispositivos además de conectarse a las aplicaciones corporativas
también se conectarán a las aplicaciones personales que el usuario tenga instalados,
en el dispositivo. Si el usuario también tiene el dispositivo ruteado, existen brechas
de seguridad que afectarían a los permisos o las aplicaciones. También existe la
posibilidad de que un empleado descontento, amparándose en el concepto de que
desconocía el estado concreto de su dispositivo, genere una afección a los servicios
de la empresa instalando algún tipo de malware en su dispositivo a sabiendas de que
dicho malware va a estar conectado a la red corporativa. La posibilidad de fuga de
información utilizando dichos dispositivos móviles está en cierto modo descontrolada,
pues con esta práctica se permite el acceso de dispositivos externos a la empresa
al perímetro de la misma, pudiendo ser utilizados para una extracción de información
privada.
BYOT
Bring your own Technology, es otro concepto hermano del primero. Traducido al
castellano sería “trae tu propia tecnología”, ampliando el concepto anterior a no solo los
dispositivos móviles, sino a todo tipo de tecnología, como pueden ser dispositivos IOT,
aplicaciones personales, programas distintos a los controlados por la propia empresa,
redes sociales ajenas a los preferidos por la empresa, protocolos de comunicaciones
distintos a los que utiliza la empresa, etc. Ambos conceptos inundarán el proceso
laboral de los próximos años.
283
RESUMEN
■
El futuro de las comunicaciones con fines personales o empresariales terminará tarde
o tempranos teniendo que ser gestionada toda o parte de ella por un dispositivo
electrónico. Toda nuestra vida gira en torno a uno de estos dispositivos. Los
ciberdelincuentes no son ajenos a ello, por lo que las nuevas técnicas que usan tienen
como objetivo nuestros dispositivos y la información y servicios que estos contienen.
■
Existe ya una amplia gama de ataques y técnicas que los cibercriminales utilizan y que
los usuarios deberíamos conocer para poder defender, o por lo menos mitigar, todo lo
posible sus efectos.
■
En toda la red de comunicaciones por las que la información es transmitida, los ataques
distintos son especializados para cada uno de los nodos de esta:
■■ La información sale de nosotros, del usuario origen: se utilizan ataques de

ingeniería social que tratan de engañarnos para conseguir la información que
tenemos en nuestra cabeza.
■■ La información la introducimos en un dispositivo electrónico o uno de estos
dispositivos lo hacen por nosotros: se emplean técnicas de ataque hacia este
proceso de toma de datos o introducción de estos.
■■ La información se almacena o procesa en un dispositivo electrónico: se gestan
ataques que intentan robar o manipular la información almacenada en ellos o a la
forma en que es procesada.
■■ La información viaja por la red hasta otro dispositivo: se prepara un ataque que
capture o modifique dicha información en el momento que es transmitida entre
cada uno de los nodos de comunicación.
■■ La información llega a su destino, un dispositivo que usa el usuario receptor: se
■
ideará un ataque para que esa información que llega sea sustraída o manipulada.
Así pues, es interesante conocer todas estas técnicas y sus posibles efectos, poniendo
remedios y soluciones para evitarlos en la medida de los posible.
285

Libro Ciberseguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Libro Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Ciberseguridad

Autor: Pedro González Carvajal y Eloy Villa Giménez

Imprime: El depositario, con autorización expresa de SEAS

2. Ataques. Defensa........................................................................................................................................ 29

3. Ingeniería social............................................................................................................................................ 53

4. Hacking ético-preparación del ataque......................................................................................... 77

5. Hacking ético - ejecución del ataque......................................................................................... 131

6. Análisis forense de redes y equipos........................................................................................... 159

7. SOC Security Operations Center..................................................................................................... 219

8. Seguridad en dispositivos móviles. BYOD............................................................................... 253

1.1. Ciberseguridad. Definición

Así, entenderemos por ciberseguridad “el conjunto de herramientas, políticas,

¿Qué tenemos que proteger? en esencia los activos de la organización, la base y

1 Aspectos generales de la ciberseguridad. Fuente: ITU-T X.1205

1.2. Fases de la ciberseguridad

Figura 1.1. Ciclo de la ciberseguridad.

1.2.1. Preparación. Planificación

Esta protección debe hacerse siguiendo una metodología de trabajo trazable y

MAGERIT: “Metodología de Análisis y Gestión de Riesgos de los sistemas

1.2.1.1. Evaluación de riesgos

■■ Amenazas a la red: es el lugar por el que transita nuestra información, donde

■■ Amenazas a los dispositivos: ya sean estaciones de trabajo (hosts), servidores

■■ Amenazas a las aplicaciones: software obsoleto o falto de actualización, con

■■ Amenazas a los datos: almacenados “en claro”, sin control o restricciones de

■■ Amenazas a los trabajadores: sin duda el eslabón más débil de la cadena de

1.2.1.2. Análisis de impacto

1.2.1.3. Cuantificación. Valoración

La valoración medirá no solo los términos económicos sino, prioritariamente, la

Una vez establecidas las actividades principales de la organización -mapeo-, los

Así, dado un activo de la organización y evaluado previamente el riesgo, basándose

Aquí se muestra un ejemplo, editable, de cómo calcular una matriz de

La información obtenida de las matrices de riesgo de los principales activos de la

1.2.2. Análisis, detección de intrusos/accesos no autorizados,

1.2.3. Contención, mitigación, erradicación, recuperación

En la mayoría de los incidentes se termina optando por la reinstalación desde cero

Y de aquí volveríamos al punto primero, el de preparación, encontrándonos de nuevo

1.3. Inteligencia: ciberinteligencia

Los cibercriminales, independientemente de cuáles sean sus motivaciones, únicamente

Figura 1.3. Ciclo de la inteligencia.

Así, la ciberinteligencia es la inteligencia aplicada al ciberespacio, desarrollada de un

Otra definición de ciberinteligencia, enfocada más concretamente a la seguridad de

La clave de la inteligencia, de la ciberinteligencia, es la información. Esta debe ser

■■ Inteligencia estratégica: identifica y analiza tendencias, patrones, riesgos y

■■ Inteligencia operacional: proporciona información para orientar y apoyar las

■■ Inteligencia táctica: da soporte a las operaciones y eventos cotidianos mediante

Este proceso de (ciber)inteligencia proporciona una mayor comprensión de las

Pero esta información ¿cómo y de dónde se obtiene? Lo vemos en los siguientes

1.4. Fases de la ciberinteligencia

■■ Fijar los objetivos del informe de inteligencia.

■■ Decidir qué información se recogerá y cómo.

■■ Organizar los recursos que se vayan a emplear para ello.

La importancia de la planificación radica en la exactitud de la definición de los objetivos

El principal problema en esta fase es la capacidad de discriminar con certeza la

Atendiendo a la información que obtenemos de las fuentes podemos clasificar estas

■■ Fuentes primarias son aquellas que contienen información nueva y original,

■■ Fuentes secundarias son aquellas en que la información se muestra más

Este proceso es el más delicado, al ser el que sustentará el informe final.

1.4.3. Procesamiento y análisis

En este paso la necesidad de tecnología es crucial, dada la elevada cantidad de datos

Tras la recolección y el análisis de la información toca elaborar el informe definitivo,

Es fundamental que la presentación de esta información útil se haga de un modo

1.5. Fuentes de inteligencia

De las múltiples fuentes de obtención de información que podemos encontrar

1.5.1. Inteligencia humana (HUMINT)