Reporte

Nombre: Frank Guzmán Matrícula: 1824642

Nombre del curso: Seguridad Informática y Nombre del profesor: Miguel Ángel Gómez
Criptografía Marroquín

Módulo Netacad: 14
Actividad: AA-RESUMEN MODULO 14

Fecha: 31/03/2021

Módulo -14 Amenazas y ataques comunes

Actualmente, conocemos por qué son atacadas nuestras redes En este módulo
aprenderemos sobre amenazas y ataques comunes.
Malware
Malware es la abreviatura de software malicioso o código malicioso. Es código
o software específicamente diseñado para dañar, interrumpir, robar o efectuar
otras acciones malintencionadas o ilegítimas en datos, hosts o redes. Existen 3
tipos principales
Virus
Un virus es un tipo de malware que se propaga al introducir una copia de sí mismo
dentro de otro programa. Luego de que el programa es ejecutado, los virus se propagan
de una computadora a otra, infectándolas a todas. La mayoría de los virus requieren
intervención humana para propagarse.
Actualmente, la mayoría de los virus se propaga mediante unidades de memoria USB,
CD, DVD, recursos compartidos de red y correo electrónico. Los virus enviados por
correo electrónico son un tipo común de virus.
Troyanos
Un troyano es un software que parece ser legítimo, pero que contiene código malicioso
que aprovecha los privilegios del usuario que lo ejecuta. A menudo, los troyanos se
encuentran unidos a juegos en línea.
El concepto de troyano es flexible. Puede causar daños inmediatos,
proporcionar acceso remoto al sistema o permitir el acceso mediante una puerta trasera.
También puede acatar instrucciones recibidas de manera remota, como “enviar el
archivo de contraseñas una vez por semana”. Esta tendencia del malware a enviar datos
a los ciberdelincuentes enfatiza la necesidad de monitorear el tráfico saliente en busca
de indicadores de ataque.
 Reporte

Clasificación de troyanos

Gusanos
Los gusanos de computadora son similares a los virus porque se replican y pueden
causar el mismo tipo de daño. La diferencia es que se replican a sí mismos de manera
independiente, aprovechando las vulnerabilidades en las redes. Los gusanos pueden
ralentizar las redes mientras se propagan de un sistema a otro.
Los gusanos son responsables de algunos de los ataques más devastadores en internet.
En 2001, el gusano Código Rojo había inicialmente infectado 658 servidores. Y en
menos de 19 horas, el gusano había infectado cerca de 300,000 servidores.
Componentes del Gusano
A pesar de las técnicas de mitigación que han surgido con los años, los
gusanos continúan evolucionando y representan una amenaza constante.
Con el paso del tiempo, los gusanos se han vuelto más sofisticados, pero
todavía tienden a basarse en el aprovechamiento de las debilidades en aplicaciones
de software.
 Reporte

Ransomware
ctualmente, el malware dominante es el ransomware. El ransomware es malware que
deniega el acceso al sistema informático infectado o a sus datos. Después de atacar,
los ciberdelincuentes exigen dinero para liberar el sistema informático.
El ransomware ha evolucionado hasta convertirse en el tipo de malware más rentable
de la historia.
La mayor parte de los algoritmos de encriptación del ransomware conocidos no puede
desencriptarse fácilmente, y las víctimas no tienen más remedio que pagar el precio
solicitado. Normalmente, los pagos se realizan en Bitcoin porque los usuarios de Bitcoin
pueden permanecer en el anonimato. El Bitcoin es una divisa de código abierto que no
tiene dueño, ni nadie la controla.
 Reporte

Otros Tipos de Malware

Tipos de Ataques a Redes

¿Por qué los atacantes atacan las redes?
La motivación detrás de un ataque puede ser por diversos motivos, entre ellos el dinero,
creencias políticas, entre otras. Estos ataques suelen ser por medio de malware, el cual
se instala y puede utilizarse para causar ataques de red desde el interior, así como
desde el exterior de la red.

 Ataques de reconocimiento
 Ataques de acceso
 Ataques DoS

Ataques de reconocimiento
El reconocimiento consiste en la recopilación de información, buscando
las vulnerabilidades en las redes. Se realizan ataques de sondeo para realizar la
detección no autorizada, análisis de sistemas o servicios.

 Consulta de información de un objetivo

 Búsqueda de información sobre el objetivo, herramientas como Google, whois, páginas
web de organizaciones, entre otras.
 Barrido de ping a red de destino
 Son una serie de pings automáticamente enviados a un rango
de direcciones IP en busca de direcciones activas.
 Análisis de puertos de direcciones IP activas
 Se utiliza para determinar qué puertos o servicios están disponibles. Algunos
ejemplos de escáneres de puertos incluyen Nmap, SuperScan, Angry IP Scanner
y NetScan Tools.
 Escáner de vulnerabilidades
 Reporte

 Útil para consultar los puertos identificados para determinar el tipo y la versión de la
aplicación y el sistema operativo del host. Algunas herramientas como Nipper, Nessus
V6, entre otras.

Herramientas de ataque
El atacante intenta descubrir servicios vulnerables que puedan ser explotados,
una herramienta importante de este tipo es Sqlmap.
Sqlmap es un programa de código abierto, el cual permite
realizar testing de penetración, realizando el proceso de detección y explotación de
defectos por medio de inyección SQL, obteniendo como resultado el apoderamiento de
la base de datos
Ataques de Acceso
Estos ataques hacen uso de vulnerabilidades conocidas en servicios de autentificación,
servicios FTP y servicios web. El objetivo de estos ataques es el acceso a cuentas,
bases de datos y cualquier otro tipo de información sensible
Ataques de contraseña
El atacante intenta descubrir contraseñas de usuarios o bases de datos.
Una herramienta popular es Brutus, la cual incluye autentificación HTTP, HTTPS,
POP3, FTP, entre otras.
Spoofing (suplantación de identidad)
El dispositivo del atacante intenta hacerse pasar por otro dispositivo,
falsificando datos. Spoofing IP es el proceso de envío de paquetes IP desde una
dirección IP de origen que no ha sido asignada al ordenador que los envía.
Suele ser usada en ataques DDos, en donde se busca mezclar las fuentes del
ataque, dificultando la identificación del atacante. Puede llegar a neutralizar el
cortafuegos.
Explotación de confianza
Ataque en el cual se hace a través de un cliente con privilegios con un host, para
usar recursos presentes en el host. Un ejemplo de ello es el acceso a un host por medio
de una conexión perimetral a una red desde otra corporativa.
El hombre en el medio
Consiste en intervenir la comunicación que establecen dos partes entre ellas, sin que
éstas puedan percibir la intromisión.
Esto permite al atacante leer, influir y manipular la información. La información entre los
dos hosts está cifrada, pero es descifrada por el atacante y transmitida
 Reporte

Ataque de desbordamiento de búfer

Se ataca a la memoria del búfer y la sobrecarga con valores inesperados.
Esto generalmente hace que el sistema no funcione, creando un ataque DoS.
Un ejemplo de datos almacenados en buffers son las credenciales de inicio de sesión o
el nombre de host para un servidor FTP.
Ingeniería Social
La Ingeniería social es un ataque de acceso que intenta manipular a las personas para
que realicen acciones o divulguen información confidencial. Algunas técnicas de
ingeniería social son presenciales, mientras que otras pueden ser por teléfono o
Internet.
Fortalecer al eslabón más débil
La ciberseguridad es tan sólida como su eslabón más débil. Desde que las
computadoras y otros dispositivos conectados a la Internet se convirtieron en una parte
esencial de nuestras vidas, ya no parecen ser nuevos ni diferentes Las personas se han
acostumbrado mucho al usar estos dispositivos y raramente piensan en la seguridad de
red. El eslabón más débil de la ciberseguridad puede ser el personal de
una organización, con la ingeniería social como la amenaza de seguridad principal.
Debido a esto, una de las medidas de seguridad más eficaces que puede tomar una
organización es capacitar a su personal y crear una “cultura de la seguridad”.

 Ataques de red: denegación de servicio, desbordamientos de búfer y evasión

 Ataques DoS y DDoS
 Un ataque de denegación de servicio (DoS) crea algún tipo de interrupción de l
os servicios de red para usuarios, dispositivos o aplicaciones.
 Hay dos tipos principales de ataques DoS:

Cantidad abrumadora de tráfico:

El actor de amenazas envía una enorme cantidad de datos a una velocidad que la
red, el host o la aplicación no pueden manejar.

Esto hace quela transmisión y los tiempos de respuesta se ralenticen. También pue
de bloquear un dispositivo o servicio.

Paquetes con formato malintencionado:

El actor de amenazas envía un paquete con formato malintencionado a un host
o aplicación y el receptor no puede manejarlo. Esto hace que el dispositivo receptor
se ejecute muy lentamente o se bloquee.
 Reporte

DDoS

Un ataque DoS distribuido (DDoS) es similar a un ataque DoS, pero se origina en

múltiples fuentes coordinadas. Por ejemplo, un actor de amenazas construye una red de
hosts infectados, conocidos como zombis. El actor de amenazas utiliza un sistema de
comando y control (CnC) para enviar mensajes de control a los zombis. Los zombis
escanean e infectan constantemente más hosts con malware bot. El malware bot está
diseñado para infectar un host, convirtiéndolo en un zombi que puede comunicarse con
el sistema CnC. La colección de zombis se llama botnet. Cuando está listo, el actor de
amenazas instruye al sistema CnC para que haga que la botnet de zombis lleve a cabo
un ataque DDoS.

Componentes de los ataques DDoS

Si los actores de amenazas pueden comprometer muchos hosts, pueden realizar un

ataque DoS distribuido (DDoS). Los ataques DDoS son similares en intención a los
ataques DoS, excepto que un ataque DDoS aumenta en magnitud porque se origina en
múltiples fuentes coordinadas, como se muestra en la figura. Un ataque DDoS puede
utilizar cientos o miles de fuentes, como en los ataques DDoS basados en IoT.

Mirai Botnet

 Mirai es un malware que se dirige a dispositivos IoT que están configurados

con información de inicio de sesión predeterminada. Las cámaras de circuito
cerrado de televisión (CCTV) constituyeron la mayoría de los objetivos de Mirai.
Usando un ataque de diccionario de fuerza bruta, Mirai revisó una lista de
nombres de usuario y contraseñas predeterminados que eran ampliamente
conocidos en Internet.
 Después de obtener un acceso exitoso, Mirai se dirigió a las
utilidades BusyBox basadas en Linux que se ejecutan en estos dispositivos. Estas
utilidades se utilizaron para convertir los dispositivos en bots que podían
controlarse de forma remota como parte de una botnet. La botnet se utilizó como
parte de un ataque de denegación de servicio distribuido (DDoS). En septiembre
de 2016, una botnet Mirai de más de 152,000 CCTV y grabadoras de video digital
(DVR) fue responsable del mayor ataque DDoS conocido hasta ese momento. Con
un pico de tráfico de más de 1 Tb / s, eliminó los servicios de alojamiento de una
empresa de alojamiento web con sede en Francia.

Métodos de evasión

Los actores de amenazas aprendieron hace mucho tiempo que "esconderse es

prosperar". Esto significa que su malware y métodos de ataque son más efectivos cuando
 Reporte

no se detectan. Por esta razón, muchos ataques utilizan técnicas de evasión sigilosa para
disfrazar una carga útil de ataque. Su objetivo es evitar la detección evadiendo las
defensas de la red y el host.