Cuestionario Capítulo 3

3.1.1
1. ¿Qué sucede hoy en día con los delincuentes cibernéticos? Los Delincuentes
cibernéticos ahora tienen la experiencia y las herramientas necesarias
para derribar la infraestructura y los sistemas críticos.
2. ¿Qué puede sucede con las Transgresiones de seguridad en la red? Las
Transgresiones de seguridad en la red pueden interrumpir el comercio
electrónico, causar la pérdida de datos comerciales, amenazar la
privacidad de las personas y comprometer la integridad de la
información.
3. ¿Qué garantiza el mantener una red segura? Mantener una red segura
garantiza la seguridad de los usuarios de la red y protege los intereses
comerciales.
4. Describe los siguientes conceptos:
a. Activos Un activo es cualquier cosa de valor para la organización.
Incluye personas, equipos, recursos y datos.
b. Vulnerabilidad Una vulnerabilidad es una debilidad en un sistema, o su
diseño, que podría ser explotado por una amenaza.
c. Amenaza Una amenaza es un peligro potencial para los activos, los
datos o la red de una empresa funcionalidad de enrutamiento.
d. Explotar Una explotación es un mecanismo para tomar ventaja de una
vulnerabilidad.
e. Mitigación La mitigación es la contra-medida que reduce la
probabilidad o gravedad de una posible amenaza o riesgo. La
seguridad de la red implica técnicas de mitigación múltiple.
f. Riesgo El riesgo es la probabilidad de que una amenaza explote la
vulnerabilidad de un activo, con el objetivo de afectar negativamente a
una organización. Riesgo es medido utilizando la probabilidad de
ocurrencia de un evento y sus consecuencias.
3.1.2
5. ¿Qué es un vector de ataque? Un vector de ataque es una ruta por la cual
un actor de amenaza puede obtener acceso a un servidor, host o red.
6. ¿Cuándo un ataque DoS ocurre? Un ataque DoS ocurre cuando un
dispositivo o aplicación de red está incapacitado y ya no es capaz de
admitir solicitudes de usuarios legítimos.
7. ¿Qué puede hacer un usuario interno de manera accidental o intencional?

 Robar y copiar datos confidenciales a dispositivos de almacenaje, correos

electrónicos, software de mensajería y otros medios.
 Comprometer servidores internos o dispositivos de infraestructura de red.
  Desconecte una conexión de red crítica y provoque una interrupción de la red.
 Conecte una unidad USB infectada a un sistema informático corporativo.

8. ¿Por qué se dice que las amenazas internas tienen el potencial de causar
mayores daños que las amenazas externas? Las amenazas internas tienen el
potencial de causar mayores daños que las amenazas externas porque los usuarios
internos tienen acceso directo al edificio y a sus dispositivos de infraestructura.

3.1.3
9. ¿Qué es pérdida o filtración de datos? Pérdida o filtración de datos son los
términos utilizados para describir cuándo los datos se pierden con o sin
intención, son robados o se filtran fuera de la organización.
10. ¿Qué puede generar la pérdida de datos?

 Daño de la marca/pérdida de la reputación

 Pérdida de la ventaja competitiva
 Pérdida de clientes
 Pérdida de ingresos
 Acciones legales que generen multas y sanciones civiles
 Costo y esfuerzo significativos para notificar a las partes afectadas y
recuperarse de la transgresión

11. Describe los siguientes conceptos de vectores de pérdida de datos:

a. Correo electrónico / Redes sociales El correo electrónico o los mensajes de
mensajería instantánea interceptados podrían capturarse y descifrar el
contenido Información confidencial
b. Dispositivos no encriptados Si los datos no se almacenan utilizando un
algoritmo de cifrado, entonces el ladrón puede recuperar valiosos
datos confidenciales.
c. Dispositivos de almacenamiento en la nube Los datos confidenciales se
pueden perder si el acceso a la nube se ve comprometido debido a
configuraciones de seguridad débiles.
d. Medios Extraíbles Un riesgo es que un empleado pueda realizar una
transferencia no autorizada de datos a una unidad USB. Otro riesgo es
que una unidad USB que contenga podrían perderse datos
corporativos valiosos.
e. Respaldo físico Los datos confidenciales deben triturarse cuando ya no
sean necesarios.
f. Control de acceso incorrecto Las contraseñas o contraseñas débiles que
se hayan visto comprometidas pueden proporcionar al actor de
amenazas con fácil acceso a datos corporativos.
3.2.1
12. ¿Qué es un “hacker”? Es un término común usado para describir a un
agente de amenaza.
13. Describe los siguientes conceptos:
a. Hackers de Sombrero Blanco Son hackers éticos que utilizan sus
habilidades de programación para fines buenos, éticos y legales. Los
hackers de sombrero blanco pueden realizar en la red pruebas de
penetración en un intento de comprometer redes y sistemas por
utilizando su conocimiento de los sistemas de seguridad informática
para descubrir la red vulnerabilidades. Las vulnerabilidades de
seguridad se informan a los desarrolladores para que lo arreglen antes
de que las vulnerabilidades puedan ser explotadas.
b. Hackers de Sombrero Gris Estas son personas que cometen crímenes y
que posiblemente sean poco éticas cosas, pero no para beneficio
personal o para causar daños. Hackers de Sombrero Gris puede
revelar una vulnerabilidad a la organización afectada después de
haber comprometió su red.
c. Hackers de Sombrero Negro Estos son delincuentes poco éticos que
comprometen la computadora y la red. seguridad para beneficio
personal o por razones maliciosas, como atacar redes.
3.2.2
14. ¿Cómo comenzó el hacking? El hacking comenzó en los sesenta con el
“phone freaking” o el “phreaking”, una actividad que hace referencia al
uso de diversas frecuencias de audio para manipular los sistemas
telefónicos.
15. ¿Qué hicieron los hackers a mediados de los ochenta? Se usaban módems
de acceso telefónico para conectar las computadoras a las redes. Los
hackers escribieron programas de "marcado de guerra" que marcaban
cada número de teléfono en un área determinada en busca de
computadoras.
16. Describe los siguientes conceptos de piratería:
a. Script kiddies Estos son adolescentes o piratas informáticos sin
experiencia que ejecutan scripts existentes, herramientas y hazañas
para causar daño, pero generalmente sin fines de lucro.
b. Agentes de Vulnerabilidad Por lo general, son hackers de sombrero gris
que intentan descubrir debilidades Descubren ataques y los reportan a
proveedores, a veces por premios o recompensas.
c. Hacktivistas Estos son hackers de sombrero gris que protestan
públicamente contra organizaciones o gobiernos mediante la
publicación de artículos, videos, fugas sensibles información y
realizar ataques a la red.
 d. Delincuentes cibernéticos Estos son hackers de sombrero negro que
trabajan por cuenta propia o trabajan para grandes organizaciones de
cibercriminales.
e. Patrocinados por el estado Estos son hackers de sombrero blanco o de
sombrero negro que roban al gobierno secretos, recopilar inteligencia
y sabotear redes. Sus objetivos son los gobiernos, los grupos
terroristas y las corporaciones extranjeras. La mayoría de los países
del mundo participan en algún tipo de hacking patrocinado por el
estado hackear.
3.2.3
17. ¿Cómo operan los cibercriminales? Los cibercriminales roban miles de
millones de dólares de los consumidores y las empresas cada año. Los
cibercriminales operan en una economía clandestina donde compran,
venden e intercambian grupos de herramientas de ataque, código de
explotación de día cero, servicios de botnet, troyanos bancarios,
registradores de teclas y mucho más. También compran y venden la
información privada y la propiedad intelectual que roban de sus víctimas.
Los cibercriminales apuntan a pequeñas empresas y consumidores, así
como a grandes empresas e industrias.

3.2.4
18. ¿Cómo operan los activistas hackers? Dos ejemplos de grupos activistas
hackers son Anónimo y el Ejército Electrónico Sirio. Aunque la mayoría
de los grupos activistas hackers no están bien organizados, pueden
causar problemas importantes para los gobiernos y las empresas. Los
activistas hackers tienden a confiar en herramientas bastante básicas y
de libre acceso.

3.2.5
19. ¿Cómo operan los piratas informáticos patrocinados por el estado? Los
piratas informáticos patrocinados por el estado crean un código de
ataque avanzado y personalizado, a menudo utilizando vulnerabilidades
de software previamente no descubiertas llamadas vulnerabilidades de
día cero. Un ejemplo de un ataque patrocinado por el estado involucró el
malware de Stuxnet diseñado para dañar la planta de enriquecimiento
nuclear de Irán.

3.3.1
20. Solo ve y analiza el video
3.3.2
21. ¿Qué se requiere para explotar una vulnerabilidad? Para explotar una
vulnerabilidad, un actor de amenazas debe tener una técnica o
herramienta. Con los años, las herramientas de ataque se han vuelto más
sofisticadas y altamente automatizadas. Estas nuevas herramientas
requieren menos conocimiento técnico para su implementación.
3.3.3
22. ¿Qué involucra el hacker ético? El hacker ético involucra a muchos tipos
diferentes de herramientas para probar y mantener la seguridad de la red
y sus datos. Para validar la seguridad de una red y sus sistemas, se han
desarrollado muchas herramientas de prueba para la penetración de red.
Es lamentable que los hackers de sombrero negro puedan utilizar
muchas de estas herramientas para su explotación.
23. Describe las siguientes herramientas de penetración:
a. Decodificadores de Contraseñas Las herramientas para descifrar
contraseñas a menudo se denominan herramientas de recuperación
de contraseñas y se puede usar para descifrar o recuperar una
contraseña. Esto se logra ya sea eliminando la contraseña original,
después de omitir los datos cifrado, o por descubrimiento directo de la
contraseña. Decodificadores de contraseñas hacer conjeturas
repetidamente para descifrar la contraseña. Ejemplos de las
herramientas para descifrar contraseñas incluyen a John the Ripper,
Ophcrack, L0phtCrack, THC Hydra, RainbowCrack y Medusa.
b. Herramientas de Hacking Inalámbrico Las herramientas de piratería
inalámbrica se utilizan para piratear intencionalmente red para
detectar vulnerabilidades de seguridad. Ejemplos de piratería
inalámbrica las herramientas incluyen Aircrack-ng, Kismet, InSSIDer,
KisMAC, Firesheep y NetStumbler.
c. Escaneo de redes y Herramientas de Hacking Las herramientas de
análisis de red se utilizan para sondear dispositivos de red, servidores
y hosts para puertos TCP o UDP abiertos. Ejemplos de herramientas
de escaneo incluyen Nmap, SuperScan, Angry IP Scanner y
NetScanTools
d. Herramientas para Elaborar Paquetes de Prueba Estas herramientas se
utilizan para sondear y probar la robustez de un cortafuegos&#x2019
utilizando paquetes forjados especialmente diseñados. Los ejemplos
incluyen Hping, Scapy, Socat, Yersinia, Netcat, Nping y Nemesis.
e. Analizadores de protocolos de paquetes Estas herramientas se utilizan
para capturar y analizar paquetes dentro de redes tradicionales
Ethernet LANs y WLANs. Las herramientas incluyen Wireshark,
Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy, y
SSLstrip.
 f. Detectores de Rootkits Este es un verificador de integridad de
directorios y archivos utilizado por los sombreros blancos para
detectar grupos de raíz instalados. Las herramientas de ejemplo
incluyen AIDE, Netfilter, y PF: OpenBSD Packet Filter.
g. Fuzzers para Buscar Vulnerabilidades Los fuzzers son herramientas
utilizadas por los actores de amenazas para descubrir una
computadora y#x2019;s aspectos vulnerables de la seguridad Algunos
ejemplos de fuzzers: Skipfish, Wapiti y W3af.
h. Herramientas de Informática Forense Los hackers de sombrero blanco
utilizan estas herramientas para detectar cualquier rastro de evidencia
existente en una computadora. Ejemplos de herramientas incluyen un
equipo de Sleuth, Helix, Maltego, y Encase.
i. Depuradores Los hackers de sombrero negro utilizan estas
herramientas para aplicar ingeniería inversa en archivos binarios
cuando escriben debilidades. También las utilizan los sombreros
blancos cuando analizan malware. Algunas herramientas de
depuración son las siguientes: GDB, WinDbg, IDA Pro e Immunity
Debugger. Depuradores
j. Sistemas Operativos para Hacking Estos son sistemas operativos
especialmente diseñados precargados con herramientas optimizado
para hackear. Ejemplos de operaciones de piratería especialmente
diseñadas Los sistemas incluyen Kali Linux, Knoppix, BackBox Linux.
k. Herramientas de Cifrado Las herramientas de cifrado utilizan esquemas
de algoritmos para codificar los datos para evitar acceso no
autorizado a los datos encriptados. Ejemplos de estas herramientas
incluyen VeraCrypt, CipherShed, OpenSSH, OpenSSL, Tor, OpenVPN y
Stunnel.
l. Herramientas para Atacar Vulnerabilidades Estas herramientas
identifican si un host remoto es vulnerable a un ataque de seguridad
ataque. Ejemplos de herramientas de explotación de vulnerabilidades
incluyen Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit y
Netsparker.
m. Escáneres de Vulnerabilidades Estas herramientas analizan una red o un
sistema para identificar puertos abiertos. Ellos pueden también usar
para escanear vulnerabilidades conocidas y escanear máquinas
virtuales, BYOD dispositivos y bases de datos de clientes. Ejemplos
de herramientas incluyen Nipper, Secunia Nipper, Secuna PSI, Core
Impact, Nessus v6, SAINT u Open VAS.
3.3.4
24. Describe los siguientes tipos de ataque:
 a. Ataque de intercepción pasiva Esto es cuando un actor de amenaza
captura “escucha” a tráfico de red. Este ataque también se conoce
como sniffing o snooping.
b. Ataque de Modificación de Datos Si los actores de la amenaza han
capturado el tráfico empresarial, pueden alterar los datos en el
paquete sin el conocimiento del remitente o receptor.
c. Ataque de suplantación de dirección IP Un actor de amenaza
construye un paquete IP que parece originarse de un dirección válida
dentro de la intranet corporativa.
d. Ataques Basados en Contraseñas Si los actores de amenazas descubren
una cuenta de usuario válida, los actores de amenazas tienen los
mismos derechos que el usuario real. Los actores de amenazas
podrían usar como válida la cuenta para obtener listas de otros
usuarios, información de red, cambio de configuraciones de
servidores y redes, y modificar, redireccionar o eliminar datos.
e. Ataque por Denegación de Servicio Un ataque de DoS impide el uso
normal de una computadora o red por parte de usuarios válidos
usuarios. Un ataque DoS puede inundar una computadora o toda la
red con tráfico hasta que se produzca un apagado debido a la
sobrecarga. Ataque de DoS también puede bloquear el tráfico, lo que
resulta en una pérdida de acceso a la red recursos por usuarios
autorizados.
f. Ataque man-in-the-middle Este ataque ocurre cuando los actores de
amenaza se han posicionado entre el origen y destino. Ahora pueden
monitorear, capturar y controlar la comunicación de forma
transparente.
g. Ataque de Claves Comprometidas Si un actor de amenaza obtiene una
clave secreta, esa clave se conoce como clave en riesgo. Se puede
usar una clave comprometida para obtener acceso a una
comunicación segura sin que el remitente o el receptor sean
conscientes del ataque.
h. Ataque de analizador de protocolos Un detector es una aplicación o
dispositivo que puede leer, monitorear y capturar intercambios de
datos de red y leer paquetes de red. Si los paquetes no están cifrados,
un analizador de protocolos permite ver por completo los datos que
están dentro del paquete.
3.4.1
25. Solo ve y analiza la animación
3.4.2
26. ¿Qué pueden realizar los virus? Los virus requieren una acción humana
para propagarse e infectar otros equipos. Por ejemplo, un virus puede
 infectar un equipo cuando la víctima abre un adjunto de correo
electrónico, abre un archivo de una unidad USB o descarga un archivo.
Los virus pueden:

 Modificar, dañar, eliminar archivos o borrar discos duros completos

en una PC.
 Causar problemas de arranque del equipo, dañar aplicaciones.
 Capturar y enviar información confidencial a los atacantes.
 Acceder a cuentas de correo electrónico y utilizarlas para propagarse.
 Permanecer inactivo hasta que el atacante lo requiera.

27. Describe los diferentes tipos de virus:

a. Virus en el sector de arranque El virus ataca el sector de arranque, la
tabla de particiones de archivos o el sistema de archivos.
b. Virus de firmware El virus ataca el firmware del dispositivo.
c. Virus de Macros El virus utiliza la función de macros de MS Office con
fines maliciosos.
d. Virus del Programa El virus se introduce en otro programa ejecutable.
e. Virus de Script El virus ataca al intérprete del SO que se utiliza para
ejecutar los scripts.
28. Describe los distintos tipos de caballo de Troya:
a. Acceso remoto El troyano permite el acceso remoto no autorizado.
b. Envío de datos Caballo de Troya de envío de datos: le proporciona al
actor de amenaza datos confidenciales, como las contraseñas.
c. Destructivo El Troyano daña o elimina archivos.
d. Proxy El caballo de Troya usará la computadora de la víctima como
dispositivo fuente lanzar ataques y realizar otras actividades ilegales.
e. FTP Caballo de Troya habilita servicios no autorizados de
transferencia de archivos en dispositivos finales.
f. Desactivador de software de seguridad El caballo de Troya detiene el
funcionamiento de los programas antivirus o contrafuego.
g. Denegación de Servicio (DoS) Caballo de Troya de DoS: retarda o
detiene la actividad de red.
h. Registrador de teclas El caballo de Troya intenta activamente robar
información confidencial, como números de tarjeta de crédito,
registrando pulsaciones de teclas ingresadas en un web formulario.
3.4.3
29. Describe los siguientes tipos de Malware:
a. Adware

 El adware se suele distribuir en las descargas de software.

 El adware puede mostrar publicidad no solicitada utilizando un navegador web
emergente ventanas, nuevas barras de herramientas o redireccionar
inesperadamente una página web a un sitio web diferente.
 Las ventanas emergentes pueden ser difíciles de controlar, ya que pueden
aparecer ventanas nuevas más rápido de lo que el usuario puede cerrarlos.

b. Ransomware

 El ransomware normalmente niega el acceso de un usuario a sus archivos por

cifrar los archivos y luego mostrar un mensaje que exige rescate por la clave de
descifrado.
 Los usuarios sin copias de respaldo actualizadas deben pagar el rescate para
descifrar los archivos.
 Por lo general, el pago se hace mediante transferencia bancaria o divisas
criptográficas como Bitcoin.

c. Rootkit

 Los rootkits son utilizados por actores de amenazas para obtener un

administrador acceso a nivel de cuenta a una computadora.
 Son muy difíciles de detectar porque pueden alterar el cortafuego, protección
antivirus, archivos del sistema e incluso comandos del sistema operativo para
ocultar su presencia.
 Pueden proporcionar una puerta trasera a los actores de amenazas dándoles
acceso a la PC y les permite cargar archivos e instalar nuevo software para ser
utilizado en un ataque DDoS.
 Deben usarse herramientas especiales de eliminación de rootkit para
eliminarlos, o se puede requerir la reinstalación completa del sistema operativo.

d. Spyware

 Similar al adware, pero se utiliza para recopilar información sobre el usuario y

enviar a actores de amenazas sin el consentimiento del usuario.
 El Spyware puede ser una amenaza baja, recopilar datos de navegación, o puede
ser una alta amenaza de captura de información personal y financiera.

e. Gusano

 Un gusano es un programa autorreplicante que se propaga automáticamente sin

acciones del usuario explotando vulnerabilidades en legítimo software.
 Utiliza la red para buscar otras víctimas con la misma vulnerabilidad.
 El objetivo de los gusanos suele ser quitar velocidad o interrumpir las
operaciones de red operaciones.
3.5.1
30. ¿Cuáles son los tipos de ataque susceptible en una red?

 Ataques de Reconocimiento
 Ataques de Acceso
 Ataques de DoS

3.5.2
31. Solo ve y analiza el video.
3.5.3
32. ¿Qué es el reconocimiento? El reconocimiento se conoce como recopilación de
información. Equivale a un ladrón que sondea un barrio de puerta a puerta
simulando vender algo. Lo que realmente está haciendo el ladrón es buscar casas
vulnerables para robar, como viviendas desocupadas, residencias con puertas o
ventanas fáciles de abrir, y los hogares sin sistemas de seguridad o cámaras de
seguridad.
33. Describe las técnicas de amenazas utilizadas:
a. Realice una consulta de información de un objetivo El actor de la amenaza
está buscando información inicial sobre un objetivo. Se pueden usar
varias herramientas, incluida la búsqueda de Google, organizaciones
sitio web, whois y más.
b. Inicie un barrido de ping de la red de destino La consulta de información
generalmente revela las direcciones de red del objetivo direcciones. El
actor de amenaza ahora puede iniciar un barrido de ping para
determinar qué direcciones IP están activas.
c. Inicie un análisis de puertos de las direcciones IP activas Esto se utiliza
para determinar qué puertos o servicios están disponibles. Ejemplos
de escáneres de puertos incluyen Nmap, SuperScan, Angry IP Scanner
y Herramientas de NetScan
d. Ejecute escáneres de vulnerabilidades Esto es para consultar los puertos
identificados para determinar el tipo y la versión de la aplicación y el
sistema operativo que se ejecuta en el host. Algunos ejemplos de
herramientas son Nipper, Secunia PSI, Core Impact, Nessus v6, SAINT,
y Open VAS.
e. Ejecute Herramientas de Ataque El actor de la amenaza ahora intenta
descubrir servicios vulnerables que pueden ser explotado. Existe una
variedad de herramientas de explotación de vulnerabilidades incluyen
Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit y Netsparker.
3.5.4
34. Solo ve y analiza el video
3.5.5
35. ¿En qué consiste el ataque de Contraseña? En un ataque de contraseña, el
actor de la amenaza intenta descubrir contraseñas críticas del sistema
utilizando varios métodos. Los ataques de contraseña son muy comunes
y pueden iniciarse utilizando una variedad de herramientas para descifrar
contraseñas.
36. ¿En qué consisten los Ataques de Suplantación de Identidad? En los ataques
de falsificación, el dispositivo del actor de amenaza intenta hacerse pasar
por otro dispositivo falsificando datos. Los ataques comunes de
suplantación de identidad incluyen suplantación de IP, suplantación de
MAC y suplantación de DHCP. Estos ataques de suplantación se
analizarán con más detalle más adelante en este módulo
3.5.6
37. ¿Qué es la ingeniería social? La ingeniería social es un ataque de acceso
que intenta manipular a las personas para que realicen acciones o
divulguen información confidencial. Algunas técnicas de ingeniería social
son presenciales, mientras que otras pueden ser por teléfono o Internet.
38. Escribe los diferentes tipos de ataques de ingeniería social.

Ataques de Ingeniería
Descripción
Social
Un actor de amenazas finge necesitar datos personales o financieros para
Pretexto
confirmar la identidad del destinatario.
Un actor de amenazas envía correos electrónicos fraudulentos que se disfrazan
Suplantación de
de fuente legítima y confiable para engañar al destinatario para que instale
identidad (phishing)
malware en su dispositivo, o para compartir información personal o financiera.
Suplantación de Un actor de amenaza crea un ataque de phishing dirigido a un individuo u
identidad focalizada organización específica.
También conocido como correo basura, este es un correo electrónico no
Correo electrónico no
solicitado que a menudo contiene enlaces dañinos, malware o contenido
deseado
engañoso.
A veces llamado “Quid pro quo”, esto es cuando una amenaza el actor solicita
Algo por algo
información personal de una parte a cambio de algo como un regalo.
Un actor de amenaza deja una unidad flash infectada con malware en una
Carnada ubicación pública ubicación. Una víctima encuentra el disco y lo inserta
desprevenido en su computadora portátil, instalando involuntariamente malware.
Este tipo de ataque es donde un actor de amenaza finge ser alguien a quien no
Simulación de identidad
son para ganar la confianza de una víctima.
Aquí es donde un actor de amenaza rápidamente sigue a una persona
Infiltración (tailgating)
autorizada a un ubicación segura para acceder a un área segura.

Espiar por encima del Aquí es donde un actor de amenaza mira discretamente a alguien’s hombro para
Ataques de Ingeniería
Descripción
Social
hombro robar sus contraseñas u otra información.
Aquí es donde un actor de amenaza hurga en los contenedores de basura para
Inspección de basura
descubrir documentos confidenciales

3.5.8
39. Solo ve y analiza el video
3.5.9
40. ¿Qué hace Un ataque de Denegación de Servicios? Un ataque de
Denegación de Servicios (DoS, siglas en inglés) crea algún tipo de
interrupción de los servicios de red para usuarios, dispositivos o
aplicaciones.
41. ¿Qué es el Sobrecarga de tráfico? El atacante envía una inmensa cantidad
de datos a una velocidad que la red, el host o la aplicación no puede
manejar. Esto hace que los tiempos de transmisión y respuesta
disminuyan. También puede detener un dispositivo o servicio.
42. ¿Qué son los Paquetes Maliciosos Formateados? Esto sucede cuando se
envía un paquete malicioso formateado a un host o una aplicación y el
receptor no puede manejarlo. Esto hace que el dispositivo receptor se
ejecute muy lentamente o se detenga.
3.6.1
43. Solo ve y analiza el video
3.6.2
44. Describe los siguientes tipos de ataque IP:
a. Ataques ICMP Ataques de ICMP: los agentes de amenaza utilizan
paquetes de eco (pings) del protocolo de mensajería de control de
Internet (ICMP) para detectar subredes y hosts en una red protegida y,
luego, generar ataques de saturación de DoS y modificar las tablas de
routing de los hosts.
b. Ataques de reflejo y amplificación Ataques de DoS: los agentes de
amenaza intentan impedir que usuarios legítimos tengan acceso a
información o servicios.
c. Ataques de suplantación de direcciones Los agentes de amenaza
suplantan la dirección IP de origen en un paquete de IP para realizar
suplantación blind o non-blind.
d. Ataques man-in-the-middle (MITM) Los agentes de amenaza se
posicionan entre un origen y un destino para monitorear, obtener y
 controlar la comunicación de manera transparente. Simplemente
pueden escuchar en silencio mediante la inspección de paquetes
capturados o modificar paquetes y reenviarlos a su destino original.
e. Secuestros de sesiones Los agentes de amenaza obtienen acceso a la
red física y, luego, usan un ataque de MITM para secuestrar una
sesión.
3.6.3
45. ¿Qué les permite a los agentes de amenaza utilizar el ICMP? Los agentes de
amenaza utilizan el ICMP para los ataques de reconocimiento y análisis.
Esto les permite iniciar ataques de recopilación de información para
conocer la disposición de una topología de red, detectar qué hosts están
activos (dentro del alcance), identificar el sistema operativo del host
(identificación del SO) y determinar el estado de un firewall. Los actores
de amenazas también usan ICMP para ataques DoS.
46. Describe los Mensajes ICMP utilizados por Hackers:
a. Solicitud de echo ICMP y respuesta de echo Esto se utiliza para realizar
la verificación del host y los ataques DoS.
b. ICMP inalcanzable Esto se utiliza para realizar ataques de
reconocimiento y análisis de la red.
c. Respuesta de máscara ICMP Esto se utiliza para conocer la disposición
de una red de IP interna.
d. Redireccionamientos ICMP Esto se utiliza para lograr que un host de
destino envíe todo el tráfico a través de un dispositivo atacado y crear
un ataque de MITM.
e. Descubrimiento de enrutador ICMP Esto se utiliza para inyectar rutas
falsas en la tabla de routing de un host de destino.
3.6.4
47. Solo ve y analiza el video
3.6.5
48. ¿En qué cosiste la amplificación? El actor de amenazas reenvía mensajes
de solicitud de eco ICMP a muchos hosts. Estos mensajes contienen la
dirección IP de origen de la víctima.
49. ¿En qué consiste la reflexión? Todos estos hosts responden a la dirección
IP falsificada de la víctima para abrumarla.
3.6.6
50. ¿En qué momento suceden Los ataques de suplantación de dirección IP? Los
ataques de suplantación de dirección IP se producen cuando un agente
de amenaza crea paquetes con información falsa de la dirección IP de
origen para ocultar la identidad del remitente o hacerse pasar por otro
 usuario legítimo. Entonces, el atacante puede obtener acceso a datos a
los que no podría acceder de otro modo, o pasar por alto configuraciones
de seguridad. La suplantación de dirección IP suele formar parte de otro
ataque denominado ataque Smurf.
51. ¿En qué consiste la Suplantación non-blind (non-blind spoofing)? El agente de
amenaza puede ver el tráfico que se envía entre el host y el destino. El
agente de amenaza usa este tipo de suplantación para inspeccionar el
paquete de respuesta de la víctima. La suplantación de identidad no ciega
determina el estado de un contrafuego y la predicción del número de
secuencia. También puede secuestrar una sesión autorizada.
52. ¿En qué consiste la Suplantación blind (blind spoofing)? El agente de
amenaza no puede ver el tráfico que se envía entre el host y el destino.
Este tipo de suplantación se utiliza en ataques de DoS.
3.7.2
53. Describe los siguientes conceptos:
a. Entrega confiable El TCP incorpora acuses de recibo para garantizar la
entrega, en lugar de confiar en los protocolos de capa superior para
detectar y resolver errores. Si no se recibe un acuse de recibo
oportuno, el emisor retransmite los datos, Requerir acuses de recibo
de los datos recibidos puede causar retrasos sustanciales. Algunos
ejemplos de los protocolos de capa de aplicación que hacen uso de la
confiabilidad de TCP incluyen HTTP, SSL/TLS, FTP y transferencias de
zona DNS
b. Control de flujo El TCP implementa el control de flujo para abordar este
problema. En lugar de acusar recibo de un segmento a la vez, es
posible hacerlo con varios segmentos acusando recibo de un único
segmento individual.
c. Comunicación con estado La comunicación con estado del TCP entre
dos partes ocurre gracias a la comunicación tridireccional del TCP.
Antes de que sea posible transferir datos utilizando el TCP, una
comunicación tridireccional abre la conexión TCP, tal como se ve en la
Figura 2. Si ambas partes aceptan la conexión TCP, pueden enviar y
recibir datos utilizando TCP.
3.7.3
54. ¿En qué consiste el Ataque de inundación SYN a TCP? El ataque de
saturación de SYN de TCP ataca la comunicación tridireccional de TCP.,
El agente de amenaza envía constantemente a un objetivo paquetes de
solicitud de sesión SYN de TCP con una dirección IP de origen falsificada
de manera aleatoria. El dispositivo de destino responde con un paquete
SYN-ACK de TCP a la dirección IP falsificada y espera un paquete ACK de
TCP. Las respuestas nunca llegan. Finalmente, el host de destino se ve
 abrumado por las conexiones TCP medio abiertas, y los servicios TCP se
niegan a los usuarios legítimos.
55. ¿En qué consiste el Ataque de Restablecimiento a TCP? Un ataque de
restablecimiento de TCP puede utilizarse para finalizar las
comunicaciones de TCP entre dos hosts. En la Figura 2, se ve cómo el
TCP utiliza un intercambio de cuatro vías para cerrar la conexión TCP con
un par de segmentos FIN y ACK desde cada terminal de TCP. Una
conexión TCP termina cuando recibe un bit RST. Esta es una manera
abrupta de eliminar la conexión TCP e informar al host de recepción que
deje de usar la conexión TCP de inmediato. Un agente de amenaza podría
efectuar un ataque de restablecimiento de TCP y enviar un paquete falso
con un RST de TCP a uno o ambos terminales.
56. ¿En qué consiste la Usurpación de la sesión TCP? Otra vulnerabilidad es el
secuestro de sesiones de TCP. Aunque es difícil de realizar, permite que
un agente de amenaza tome el control de un host ya autenticado mientras
se comunica con el destino. El agente de amenaza tendría que suplantar
la dirección IP de un host, predecir el siguiente número de secuencia y
enviar un ACK al otro host. Si tiene éxito, el agente de amenaza puede
enviar datos desde el dispositivo de destino, aunque no puede recibirlos.
3.7.5
57. ¿En qué consiste el Ataque de Inundación a UDP? Es más probable que vea
un ataque de inundación UDP. En un ataque de inundación UDP, se
consumen todos los recursos en una red. El actor de la amenaza debe
usar una herramienta como UDP Unicorn o Low Orbit Ion Cannon. Estas
herramientas envían una avalancha de paquetes UDP, a menudo desde
un host falsificado, a un servidor en la subred. El programa analiza todos
los puertos conocidos intentando encontrar puertos cerrados. Esto hace
que el servidor responda con un mensaje de puerto ICMP inaccesible.
Debido a que hay muchos puertos cerrados en el servidor, esto crea
mucho tráfico en el segmento, que utiliza la mayor parte del ancho de
banda. El resultado es muy similar al de un ataque de DoS.

Realiza los siguientes resúmenes:

Dos cuartillas del tema 3.8.1 al 3.8.7
Los hosts transmiten una solicitud de ARP a otros hosts del segmento para
determinar la dirección MAC de un host con una dirección IP específica. Todos los
hosts de la subred reciben y procesan la solicitud de ARP. El host con la dirección
IP que coincide con la de la solicitud de ARP envía una respuesta de ARP.
Esta característica de ARP también significa que cualquier host puede reclamar
ser el propietario de cualquier IP o MAC. Un agente de amenaza puede envenenar
la caché de ARP de los dispositivos en la red local y crear un ataque de MITM
para redireccionar el tráfico. El objetivo es atacar un host y cambiar su gateway
predeterminado por el del dispositivo del agente de amenaza. Esto posiciona al
agente de amenaza entre la víctima y todos los demás sistemas fuera de la subred
local.
Nota: Hay muchas herramientas disponibles en Internet para crear ataques de
MITM de ARP, como dsniff, Cain & Abel, ettercap y Yersinia
El protocolo de Servicio de Nombres de Dominio (DNS) define un servicio
automatizado que coincide con los nombres de recursos, como www.cisco.com,
con la dirección de red numérica necesaria, como la dirección IPv4 o IPv6. Incluye
el formato para las consultas, respuestas y datos, y usa registros de recursos (RR)
para identificar el tipo de respuesta de DNS.

La protección de DNS suele pasarse por alto. Sin embargo, es fundamental para
el funcionamiento de una red y debe protegerse correctamente.

Los ataques DNS incluyen lo siguiente:

 Ataques de resolución abiertos de DNS
 Ataques sigilosos de DNS
 Ataques de concurrencia de DNS
 Ataques de tunelización de DNS
 Ataques de resolución abiertos de DNS
Muchas organizaciones utilizan los servicios de los servidores DNS públicos
abiertos, como GoogleDNS (8.8.8.8), para responder las consultas. Este tipo de
servidor DNS se denomina resolución abierta. Una resolución de DNS abierta
responde las consultas de clientes fuera de su dominio administrativo. DNS open
resolvers are vulnerable to multiple malicious activities described in the table.

Vulnerabilidades de
Descripción
Resolución de DNS
Los actores de amenazas envían información de recursos de registro (RR)
falsificados a un solucionador de DNS para redirigir a los usuarios de sitios
Los ataques de
legítimos a sitios maliciosos. Los ataques de envenenamiento de caché
envenenamiento de
DNS se pueden usar para informar al DNS resolver para utilizar un servidor
caché DNS
de nombres malicioso que está proporcionando RR información para
actividades maliciosas.

Amplificación de Los actores de amenazas usan ataques DoS o DDoS en servidores de

Vulnerabilidades de
Descripción
Resolución de DNS
resolución abiertos DNS para aumentar el volumen de ataques y ocultar la
verdadera fuente de un ataque. Los actores de amenazas envían
DNS y ataques de
mensajes DNS a los solucionadores abiertos la dirección IP de un host de
reflexión
destino. Estos ataques son posibles porque la resolución abierta responde
las consultas de cualquiera que pregunte.
Un ataque DoS que consume los recursos de los solucionadores abiertos
de DNS. Este ataque DoS consume todos los recursos disponibles para
Ataques de recursos
afectan a las operaciones del solucionador abierto DNS. El impacto de este
disponibles de DNS
DoS ataque puede requerir que el solucionador abierto DE DNS se reinicie
o los servicios para ser detenido y reiniciado.
Ataques Sigilosos de DNS
Para ocultar su identidad, los agentes de amenaza también utilizan las siguientes
técnicas de DNS sigilosas para llevar a cabo sus ataques:

Técnicas de Sigilo
Descripción
DNS
Los actores de amenazas utilizan esta técnica para ocultar su phishing y
malware sitios de entrega detrás de una red de DNS comprometido que
cambia rápidamente hosts. Las direcciones IP de DNS cambian
Flujo Rápido
constantemente en apenas minutos. Las botnets a menudo emplean
técnicas Fast Flux para esconderse efectivamente servidores maliciosos de
ser detectados.
Los actores de amenazas utilizan esta técnica para cambiar rápidamente el
nombre de host a IP asignaciones de direcciones y también para cambiar el
Flujo IP Doble
servidor de nombres autorizado. Esto aumenta la dificultad para identificar
el origen del ataque.
Algoritmos de Los actores de amenazas usan esta técnica en malware para generar
Generación de aleatoriamente nombres de dominio que luego pueden usarse como puntos
Dominio de encuentro para su servidores de comando y control (C&C)
Ataques de Sombreado de Dominio de DNS
El sombreado de dominio implica que el actor de la amenaza reúne credenciales
de cuenta de dominio para crear silenciosamente múltiples subdominios para usar
durante los ataques. Estos subdominios generalmente apuntan a servidores
maliciosos sin alertar al propietario real del dominio principal.
Una cuartilla del tema 3.9.1 al 3.9.5
La seguridad de la red consiste en proteger la información y los sistemas de
información del acceso, uso, divulgación, interrupción, modificación o destrucción
no autorizados.
La mayoría de las organizaciones siguen la tríada de seguridad de la información
de la CIA:
Confidencialidad - Solamente individuos, entidades o procesos autorizados
pueden tener acceso a información confidencial. Puede requerir el uso de
algoritmos de cifrado criptográfico como AES para cifrar y descifrar datos.
Integridad -se refiere a proteger los datos de modificaciones no autorizadas.
Requiere el uso de algoritmos de hashing criptográficos como SHA.
Disponibilidad - Los usuarios autorizados deben tener acceso ininterrumpido a
los recursos y datos importantes. Requiere implementar servicios redundantes,
puertas de enlace y enlaces.
Para garantizar comunicaciones seguras en redes públicas y privadas, el primer
objetivo es proteger los dispositivos, como routers, switches, servidores y hosts.
La mayoría de las organizaciones emplean un enfoque de defensa en profundidad
para la seguridad. Esto también se conoce como un enfoque en capas. Esto
requiere una combinación de dispositivos y servicios de red que trabajen juntos en
conjunto.
Todos los dispositivos de red, incluidos el enrutador y los conmutadores, están
reforzados, lo que significa que se han protegido para evitar que los actores de
amenazas obtengan acceso y alteren los dispositivos.
Luego, debe proteger los datos a medida que viajan a través de varios enlaces.
Esto puede incluir el tráfico interno, pero la mayor preocupación es proteger los
datos que viajan fuera de la organización a sitios de sucursales, teletrabajadores y
partners.
Todos los firewalls comparten algunas propiedades comunes:
 Los firewalls resisten ataques de red.
 Los firewalls son el único punto de tránsito entre las redes corporativas
internas y las redes externas porque todo el tráfico circula por ellos.
 Los firewalls aplican la política de control de acceso.
Los firewalls en una red brindan numerosos beneficios:
 Evitan la exposición de hosts, recursos y aplicaciones confidenciales a
usuarios no confiables.
 Limpia el flujo de protocolos, lo que evita el aprovechamiento de las fallas
de protocolos.
 Bloquean los datos maliciosos de servidores y clientes.
 Simplifican la administración de la seguridad, ya que la mayor parte del
control del acceso a redes se deriva a unos pocos firewalls de la red.
Los firewalls también tienen algunas limitaciones:
  Un firewall mal configurado puede tener graves consecuencias para la red,
por ejemplo, convertirse en un punto único de falla.
 Los datos de muchas aplicaciones no se pueden transmitir con seguridad
mediante firewalls.
 Los usuarios pueden buscar maneras de esquivar el firewall para recibir
material bloqueado, lo que expone a la red a posibles ataques.
 Puede reducirse la velocidad de la red.
 El tráfico no autorizado se puede tunelizar u ocultar como tráfico legítimo a
través del firewall.

Dos cuartillas del tema 3.10.1 al 3.10.9

Las organizaciones deben proporcionar soporte para proteger los datos a medida
que viajan a través de enlaces. Esto puede incluir el tráfico interno, pero la mayor
preocupación es proteger los datos que viajan fuera de la organización a sitios de
sucursales, teletrabajadores y partners.
Estos son los cuatro elementos de las comunicaciones seguras:
Integridad de los Datos - Garantiza que el mensaje no se haya modificado. Se
detecta cualquier cambio en los datos en tránsito. La integridad se garantiza
mediante la aplicación de los algoritmos de generación de hash Message Digest
versión 5 (MD5) o Secure Hash (SHA).
Autenticación de origen - para garantizar que el mensaje no sea falso y que el
remitente sea el verdadero. Muchas redes modernas garantizan la autenticación
con protocolos, como el código de autenticación de mensaje hash (HMAC, Hash
Message Authentication Code).
Confidencialidad de los datos - garantiza que solamente los usuarios autorizados
puedan leer el mensaje. Si se intercepta el mensaje, no se puede descifrar en un
plazo razonable. La confidencialidad de los datos se implementa utilizando
algoritmos de encriptación simétrica y asimétrica.
Imposibilidad de negación de los datos -garantiza que el remitente no pueda negar
ni refutar la validez de un mensaje enviado. La imposibilidad de negación se basa
en el hecho de que solamente el remitente tiene características o una firma únicas
relacionadas con el tratamiento del mensaje.
La criptografía puede usarse casi en cualquier lugar donde haya comunicación de
datos. De hecho, estamos yendo hacia un mundo donde toda la comunicación se
encriptará.
SHA-2
Esto incluye SHA-224 (224 bit), SHA-256 (256 bit), SHA-384 (384 bit) y SHA-512
(512 bit). SHA-256, SHA-384 y SHA-512 son algoritmos de última generación y
deben utilizarse siempre que sea posible.
Mientras que el hash se puede utilizar para detectar modificaciones accidentales,
no brinda protección contra cambios deliberados. No existe información de
identificación única del emisor en el procedimiento de hash. Esto significa que
cualquier persona puede calcular un hash para los datos, siempre y cuando
tengan la función de hash correcta.
Por ejemplo, cuando un mensaje pasa por la red, un atacante potencial puede
interceptarlo, cambiarlo, o recalcular el hash y añadirlo al mensaje. El dispositivo
receptor solo validará el hash que esté añadido.
Por lo tanto, el hash es vulnerable a los ataques man-in-the-middle y no
proporciona seguridad a los datos transmitidos. Para proporcionar integridad y
autenticación de origen, se necesita algo más.
Hay dos clases de encriptación utilizadas para brindar confidencialidad de los
datos. Estas dos clases se diferencian en cómo utilizan las claves.
Los algoritmos de cifrado simétricos como (DES), 3DES y el Estándar de cifrado
avanzado (AES) se basan en la premisa de que cada parte que se comunica
conoce la clave precompartida. La confidencialidad de los datos también se puede
garantizar utilizando algoritmos asimétricos, incluidos Rivest, Shamir y Adleman
(RSA) y la infraestructura de clave pública (PKI).
Los algoritmos simétricos utilizan la misma clave precompartida para encriptar y
desencriptar datos. Antes de que ocurra cualquier comunicación encriptada, el
emisor y el receptor conocen la clave precompartida, también llamada clave
secreta.
Los algoritmos de cifrado simétrico bien conocidos se describen en la tabla.

Algoritmos de
Descripción
encriptación simétrica
Este es un algoritmo de cifrado simétrico heredado. Se puede usar en modo de
Estándar de cifrado de
cifrado de flujo, pero generalmente opera en modo de bloque cifrando datos en
datos
tamaño de bloque de 64 bits. Un cifrado de flujo encripta un byte o un bit a la
(DES)
vez.
Esta es una versión más nueva de DES, pero repite el algoritmo DES procesar
3DES tres veces. El algoritmo básico ha sido bien probado en el campo por más de
(Triple DES) 35 años. Se considera muy confiable cuando implementedimplementado
usando vidas clave muy cortas. using very short key lifetimes.
Estándar de cifrado AES es un algoritmo seguro y más eficiente que 3DES. Es un algoritmo de
avanzado cifrado simétrico popular y recomendado. Esto ofrece nueve combinaciones de
(AES) clave y longitud de bloque mediante el uso de una variable longitud de la clave
Algoritmos de
Descripción
encriptación simétrica
de 128, 192 o 256 bits para cifrar bloques de datos que son de 128, 192 o 256
bits de largo.
Algoritmo de Cifrado
Un algoritmo de cifrado simétrico rápido y alternativo para DES y 3DES 3DES,
Optimizado por
y AES. Utiliza una clave de cifrado de 160 bits y tiene un impacto menor en la
Software
CPU en comparación con otros algoritmos basados en software.
(SEAL)
Cifrados Rivest Este algoritmo fue desarrollado por Ron Rivest. Varias variaciones tienen
(RC) algoritmos de la desarrollado, pero RC4 es el más frecuente en uso. RC4 es una transmisión Es
serie un cifrado de flujo y se utiliza para proteger el tráfico web de SSL y TLS.
Los algoritmos asimétricos utilizan una clave pública y una privada. Ambas claves
son capaces de encriptar, pero se requiere la clave complementaria para la
desencriptación. El proceso también es reversible. Los datos encriptados con la
clave privada requieren la clave pública para desencriptarse
Entre algunos de los ejemplos de protocolos en los que se utilizan algoritmos de
claves asimétricos se incluyen los siguientes:

Intercambio de claves por Internet (IKE, Internet Key Exchange)- es un

componente fundamental de las VPN con IPsec.
Secure Socket Layer (SSL) - ahora se implementa como Seguridad de la capa de
transporte (TLS) estándar de IETF.
Secure Shell (SSH) - este protocolo proporciona una conexión segura de acceso
remoto a dispositivos de red.
Pretty Good Privacy (PGP) - este programa de computadora proporciona
privacidad y autenticación criptográfica. A menudo, se utiliza para aumentar la
seguridad de las comunicaciones por correo electrónico.
Los algoritmos asimétricos son sustancialmente más lentos que los simétricos. Su
diseño se basa en problemas informáticos, como la factorización de números
demasiado grandes o el cálculo de logaritmos discretos de números demasiado
grandes.

Dado que carecen de velocidad, los algoritmos asimétricos se utilizan típicamente

en criptografías de poco volumen, como las firmas digitales y el intercambio de
claves. Sin embargo, la administración de claves de algoritmos asimétricos tiende
a ser más simple que la de algoritmos simétricos porque, generalmente, es posible
hacer pública una de las dos claves de encriptación o desencriptación.