Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Realizado por
Docente
ALEX YAHILTON TOVAR GONZALEZ
Analizar y argumentar sobre por qué fracasan las estrategias en las organizaciones,
INSTRUCCIONES:
✓ Entradas invalidadas.
✓ Inyección de código.
✓ Almacenamiento inseguro.
✓ Denegación de servicio.
el que incluya:
✓ Nombre de la vulnerabilidad.
✓ Descripción de la vulnerabilidad.
aplicaciones web y el afán de las organizaciones por ser competentes exige que los
profesionales de TI desarrollen a diario aplicaciones web donde exigen que éstas garanticen
Fallos en la - Los desarrolladores a El nivel de explotación es mediano, Una aplicación web soporta la
administración de menudo crean el atacante utiliza los fallos en las reescritura de una URL y coloca los
identificadores de sesión directamente
Autentificación y esquemas propios de funciones de autenticación o de
en la URL. Un usuario autenticado
Sesión autenticación o gestión de sesiones. Si el ataque se
podría querer que sus amigos supieran
gestión de las lleva a cabo con éxito el atacante sobre una venta. Este encamina por e-
sesiones, pero podrá hacer todo como si fuera la mail la URL sin saber que el
construirlos en forma víctima, lo más buscado suelen ser identificador de la sesión acompaña ña
correcta es difícil. Por el acceso a las cuentas con URL. Cuando uno de sus amigos
ello, a menudo estos mayores privilegios. accede a la URL este no solo usara el
esquemas propios identificador de sesión sino también
contienen los datos pertenecientes a su cuenta de
vulnerabilidades en el acceso, como, por ejemplo, un número
cierre de sesión, de tarjeta de crédito asociado a la
gestión de sesión.
contraseñas, tiempo
de
desconexión(expiració
n), función de recordar
contraseña, pregunta
secreta, actualización
de cuenta, etc.
Encontrar estas
vulnerabilidades
puede ser difícil ya
que cada
implementación es
única.
Fallos de Cross Site Son utilizadas en ataques Las fallas XSS ocurren cada vez Phishing a los usuarios de la entidad
Scripting (XSS) en donde las condiciones que una aplicación toma datos no bancaria Bancolombia, se envió un
permitan ejecutar scripts confiables y los envía al navegador correo a los usuarios de este banco en
de lenguajes como web sin una validación y el que se le informaba a los clientes
VBScript o JavaScript. codificación apropiada. XSS que por motivos de seguridad los
Es posible encontrar este permite a los atacantes servicios contratados por este habían
tipo de situaciones en ejecutar secuencia de sido suspendidos temporalmente y que
cualquier aplicación que comandos en el navegador de la para volver a hacer uso de estos
se utilice para mostrar victimas los cuales pueden canales virtuales debían hacer clic en
información en un secuestrar las sesiones de usuario, un enlace proporcionado en el cuerpo
navegador web destruir sitios web, o dirigir al del correo. Una vez el cliente
cualquiera, que no se usuario hacia un sitio malicioso. ingresaba a la página fraudulenta, se
encuentre debidamente le solicitaba que ingresara los datos
protegido contra estos correspondientes al usuario,
ataques contraseña y preguntas de seguridad
con el fin de obtener en una base de
datos toda la información necesaria a
la hora de realizar una transferencia
de dinero.
Desbordamiento de Una aplicación no es Buffer overflow Gusano finger de Robert
Búfer capaz de controlar la T. Morris
cantidad de datos que se
copian en buffer, de
forma que si esa cantidad
es superior a la
capacidad del buffer los
bytes sobrantes se
almacenan en zonas de
memoria adyacentes,
sobrescribiendo su
contenido original
Inyección de Se producen cuando - Inyección de DLL en proceso Ciberataque SQL Injection.
código mediante alguna técnica Inyección reflectiva de DLL La técnica empleada para perpetrar el
se inserta o adjunta Process Hollowing ataque es la conocida como SQL
código SQL que no Injection, mediante la cual lograron
formaba parte de un los datos de más de 1.000.000 de
código SQL programado. usuarios, incluyendo contraseñas,
Esta técnica se utiliza direcciones de correo electrónico,
con el propósito de direcciones postales y fechas de
alterar el buen nacimiento. También han podido
funcionamiento de la acceder a detalles de la
base de datos de una administración de Sony Pictures,
aplicación, “inyectando” incluidas las contraseñas, además de
código foráneo que 75.000 “códigos de la música” y 3,5
permita el proceso de millones de “cupones de la música”.
datos que el atacante
desee.
Fallas en el manejo Las aplicaciones pueden - Errores de configuración Los password por default, password
de errores revelar, voluntariamente, débiles, usuarios con demasiados
- Errores Web
información sobre su privilegios e inclusive la utilización de
configuración, su - Errores de protocolo protocolos de encriptación obsoletos,
funcionamiento interno, o normalmente una de las cosas más
pueden violar la típicas en las organizaciones es que
privacidad a través de utilizan algún sistema de encriptación
una variedad de web, lo cual con una aplicación de
problemas. También teléfono celular se puede crackear en
pueden revelar su estado menos de 10 o 15 segundos o inclusive
interno dependiendo de con una laptop
cuánto tardan en
procesar ciertas
operaciones u ofreciendo
diferentes respuestas a
diferentes entradas,
como, por ejemplo,
mostrando el mismo
mensaje de error con
distintos números de
error. Las aplicaciones
Web suelen revelar
información sobre su
estado interno a través
de mensajes de error
detallados o de
depuración. Está
información, a menudo,
puede ser utilizada para
lanzar, o incluso
automatizar, ataques muy
potentes.
Almacenamiento La falta de encripta Todos los años millones y millones Vulnerabilidad en las
inseguro miento de información de combinaciones de aplicaciones móviles financieras
sensible, el uso de un usuario/contraseña, grandes Un pirata informático invirtió 30
método criptográfico cantidades de información aplicaciones financieras móviles y
débil o inadecuado, el financiera, médica y de otro tipo encontró datos confidenciales
uso de un algoritmo son robados de diferentes bases de ocultos en el código subyacente de
criptográfico riesgoso y datos y sorprendentemente muchas casi todas las aplicaciones
la falta de uso de sal o veces todo eso está guardado en examinadas. Con esta información, un
semilla (salt) para la texto plano o débilmente pirata informático podría, por
generación de hashes son encriptado. Los datos de tarjetas ejemplo, recuperar las claves de la
algunas de las de crédito se venden en los interfaz de programación de
vulnerabilidades circuitos criminales a valores aplicaciones (API), usarlas para
puntuales englobadas en irrisoriamente bajos atacar a los servidores backend del
esta categoría. proveedor y comprender los datos del
usuario.
Denegación de La técnica de denegación SYN Flood, que consiste en enviar Ocurrió el miércoles 28 de febrero,
servicio de servicio se utiliza con mensajes TCP de petición de cuando GitHub quedó fuera de
el propósito de que los conexión por parte del cliente, pero servicio desde las 17:21 a las 17:26
usuarios no puedan (UTC) y fuera de servicio, pero de
sin enviar su confirmación lo cual
utilizar un servicio, manera intermitente, desde las
provoca colapsos en equipos y
aplicación o recurso. 17.26 a las 17:30 horas, explicó la
consumo de recursos en forma
Básicamente lo que empresa en una publicación realizada
desproporcionada.
produce un ataque de en su página web.
denegación de servicio es Inundación ICMP En el caso de GitHub, el atentado
la pérdida de la - Agota el ancho de banda implicó engañar la dirección IP de los
conectividad de la red de enviando solicitudes de ICMP servicios y enviar pequeñas yrepetidas
la víctima del ataque por con tamaños solicitudes a un número de servidores;
el excesivo consumo del los cuales respondieron debidamente,
ancho de banda de la red
o de los recursos excepto por el hecho de que
conectados al sistema provocaron respuestas inmensamente
informático. desproporcionadas
• Se encuentra que los cibercriminales han encontrado técnicas variadas para explotar las
para cualquier eventualidad, ya que de acuerdo al análisis estos ataques podrían tener
• Debido a que se han conocido los diferentes métodos para explotar vulnerabilidades las
empresas pueden tener en cuenta las recomendacionesde seguridad con el fin de blindar
• Con el paso del tiempo se van encontrando cada vez más vulnerabilidades que atentan
contra los servicios de tecnología, y así se van conociendo noticias enlas cuales
mencionan que afectaciones que causan en las compañías y las técnicas sofisticadas que
Yolman Ernesto Pérez Contreras. (2017). Un caso de phishing más en Colombia. 18/05/2019, de
Universidad Cooperativa de Colombia Sitio web: https://www.ucc.edu.co/prensa/2016/Paginas/un-
caso-de-phishing-mas-en-colombia.aspx
OACENA. (2016). Ataques de SQL Injection contra Sony. 19/05/2019, de Escuela de Organización
Industrial Sitio web: https://www.eoi.es/blogs/ciberseguridad/2016/04/18/597/