SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA

INFORMÁTICA

Temario de la Clase: Objetivos y Tipos de Seguridad Informática: Seguridad

Informática de Hardware, de Software y de Red. Métodos de Seguridad
Informática de Red. Seguridad Informática de Red en la Nube Concepto de
Amenazas. Algunos Tipos de Amenazas: Malware, Spyware, Ransomware,
Spoofing, Troyan Horse, Worms, BackDoor, Botnets, Spam, Trashing.
Ingeniería Social. Tipos de Amenazas de Ingeniería Social. Técnicas de
Ingeniería Social: Pretextos, Shoulder Surfing, Phishing, Masquerading,
Baiting, Scavening y Vishing.

SEGURIDAD INFORMÁTICA

En seguridad se busca gestionar los riesgos, esto quiere decir que hay que
tener siempre una forma de evitarlos o prevenirlos y que se puedan realizar
determinadas acciones para evitar esas situaciones críticas de la mejor forma
posible.

En general se podría decir que la seguridad seria la ausencia de riesgo, lo que

implicará cuatro acciones que siempre deberán estar contempladas en
cualquier asunto de seguridad:

✓ Prevención del riesgo.

✓ Transferir el riesgo.
✓ Mitigar el riesgo.
✓ Aceptar el riesgo.

Por ello, cuando se está buscando mejorar la seguridad de un sistema

informático, se deberán considerar estas acciones, sin importar el área, es
decir, que se aplicarán en todos los intentos de tener una mejor o mayor
seguridad en cualquier área del sistema u organización.

1
Se puede definir a la seguridad informática
como el proceso de prevenir y detectar la
utilización no autorizada de un sistema
informático, entendiendo como sistema
informático todo lo relacionado al hardware,
al software, a la estructura de datos y a las
redes de datos.

Es decir que la seguridad informática

implica el proceso de proteger contra intrusos, internos y/o externos, la
utilización de los recursos informáticos con intenciones maliciosas o con
intención de obtener ganancias, o incluso la posibilidad de acceder a ellos por
accidente.

La seguridad informática es en realidad una rama de un término más genérico

que es, como ya se ha visto, de la seguridad de la información, aunque en la
práctica se suelen utilizar de forma indistinta ambos términos. También se la
puede denominar ciberseguridad (cybersecutiry en inglés) o seguridad de
tecnologías de la información.

Objetivo de la Seguridad Informática

El objetivo principal de un sistema informático es que debe ser seguro, para

ello tendrá que ser:

▪ Integro: Significa que los datos que forman

parte, y que circulan por el sistema informático,
deben ser modificados sólo por las personas
autorizadas y de manera controlada.

2
 ▪ Confidencial: Significa que los datos que
forman parte y que circulan por el sistema
informático, deben ser legibles y/o modificados
únicamente por los usuarios autorizados.

▪ Irrefutable: Significa que los usuarios del

sistema informático no puedan negar sus
acciones, es decir, que en la utilización y/o
modificación del hardware, el software como de
los datos, no se puedan negar las acciones que
realizaron.

▪ Disponible: Es la capacidad de garantizar que

tanto el hardware, el software, las redes
informáticas como los datos estarán disponibles
para los usuarios autorizados, en forma estable
y continua, en todo momento.

Tipos de Seguridad Informática

La seguridad informática puede tener diferentes aspectos y características,

por ello, es importante conocer los diferentes tipos, para evitar ataques
informáticos que pongan en riesgo los datos o el prestigio de las empresas.

Básicamente, los diferentes tipos de seguridad informática que se pueden

considerar son:

1) Seguridad informática de hardware: la seguridad informática de

hardware se refiere a la protección de los distintos componentes del sistema
informáticos frente a intromisiones provocadas por la utilización del hardware
y/o del software.

3
A su vez, la seguridad informática de hardware se puede dividir en seguridad
por componentes, seguridad física y seguridad de difusión.

• Seguridad por componentes: Los firewalls o cortafuegos de hardware

y los llamados servidores proxy son
elementos que controlan el tráfico de red y
son los encargados de ofrecer una seguridad
más fuerte y segura, protegiendo al mismo
tiempo otros sistemas, así como los distintos
tipos de redes.

La seguridad por componentes también

implica la seguridad de los equipos informáticos como por ejemplo, conocer si
existen errores de seguridad desde su configuración o desde el código que
ejecuta el hardware, así como los dispositivos de entrada y salida de datos que
tiene. Todo influye en la seguridad por componentes y debe ser tenido en
cuenta para evitar intrusos no deseados.

También se puede mencionar a los módulos de seguridad de hardware (HSM),

que protegen el cifrado o la autenticación para diferentes sistemas mediante
claves criptográficas.

• Seguridad física: Se refiere a la protección del equipamiento hardware

de amenazas externas como manipulación o robo. Todo el equipamiento que
almacene o trabaje con datos sensibles necesita
ser protegido, de modo que resulte imposible
que un intruso acceda físicamente a él. La
solución más común es la ubicación del
equipamiento en un entorno seguro y la
instalación de medios de protección adecuados.

4
• Seguridad de difusión: Esta seguridad
consiste en la protección contra la emisión de
señales que emiten distintos componentes del
hardware. El ejemplo más común es el de las
pantallas de las computadoras visibles a través de
las ventanas de una oficina, o las emisiones
electromagnéticas de algunos componentes del
hardware que, adecuadamente capturadas y
tratadas, pueden convertirse en información. Nuevamente la solución más
común es la ubicación del equipamiento en un entorno seguro y la instalación
de medios de protección adecuados.

2) Seguridad informática de software: Este tipo de seguridad es la que

se pone en práctica para la protección de los sistemas operativos, de los
programas aplicativos desarrollados por empresas y software de aplicaciones
desarrollados por los usuarios, contra los ataques
de los delincuentes informáticos y otros tipos de
riesgos, con el propósito de que continúen
funcionando de manera correcta y eficiente pese
a la existencia de dichos riesgos.

A su vez, la seguridad informática de software se puede dividir en seguridad

durante el desarrollo del software o software específico de seguridad.

5
• Seguridad durante el desarrollo del software: La seguridad durante
el desarrollo del software o la construcción de un software seguro es algo
relativamente nuevo. Los desarrolladores deben
trabajar para construir programas que sean cada
vez más seguros desde el inicio del desarrollo. El
objetivo es proteger al software de errores
frecuentes relacionados con la seguridad como
errores de implementación, defectos de diseño,
desbordamiento de buffer, etc. Estos defectos de
software pueden servir de entrada para virus o
hackers. Por ello, trabajar en un software seguro
desde la creación del mismo es crucial para la
seguridad.

• Software específico de seguridad: El software específico de seguridad

deberá estar diseñado para proteger a los sistemas informáticos de un
software malicioso.
El software malicioso, conocido en inglés como “malware”, es un software
diseñado específicamente para obtener
acceso y/o dañar a un sistema o equipo
sin que el usuario tenga conocimiento.
Hay distintos tipos de software
malicioso, tales como los virus, los
troyanos, el spyware, los registradores
de pulsaciones, los gusanos, los
spiders, los keylogger, los rastreadores,
bots web o cualquier tipo de código que
se infiltre sin autorización en un
equipo.

Estos programas maliciosos pueden hacer desde más lento al sistema hasta
colapsar su funcionamiento. Normalmente se utilizan para monitorear o
controlar la actividad en internet y/o obtener datos sensibles para utilizarlos
en actividades delictivas.

6
3) Seguridad informática de red:
La seguridad informática de red será la
práctica que pretenda prevenir y
proteger a la red informática de todas
las amenazas que puedan entrar o
difundirse en una red de dispositivos
(antivirus, antispyware, firewall, redes
privadas virtuales, etc.). Al mismo
tiempo debe tratar de minimizar el mantenimiento de la misma.

La seguridad informática de red complementa a la seguridad del punto final,

ya que esta se centra en dispositivos individuales; mientras que la seguridad
informática de red se centra en cómo interactúan esos dispositivos en forma
individual y conectados entre ellos.

Las estrategias de protección más comunes que utilizará el administrador de

sistemas informáticos en red serán la de utilizar diferentes niveles de
seguridad para que, trabajando al mismo tiempo, siempre haya alguna
funcionando. Estas incluyen la seguridad de hardware y software. Un buen
sistema de seguridad de red minimiza el mantenimiento de la misma y mejora
la seguridad a todos los niveles.

Stephen Northcutt (presidente fundador del Instituto de Tecnología SANS)

propone una estrategia en tres fases como marco de referencia, para una
eficiente seguridad informática de red:

• Protección: se trata de configurar las redes lo más correctamente

posible.
• Detección: el sistema de seguridad de red deberá ser capaz de
identificar cuándo se ha cambiado la configuración o si hay algún
problema de tráfico de red.
• Reacción: el sistema de seguridad de red debe identificar los
problemas rápidamente, responderlos en forma adecuada y regresar
a un estado seguro.

7
En resumen, esta estrategia es una estrategia de defensa en profundidad. Si
hay un tema común entre los expertos en seguridad, es que cualquier
herramienta defensiva individual puede ser derrotada por un adversario
determinado. La red no es una línea o un punto; es un territorio en el cual
hay que organizar su defensa correctamente.

Métodos de seguridad informática de red

Para implementar este tipo de defensa en profundidad, hay una amplia

variedad de técnicas especializadas y distintos tipos de seguridad informática
de red, entre ellos:

▪ Control de acceso: se debe poder bloquear

a usuarios y dispositivos no autorizados a la
utilización de la red y, los usuarios que tienen
acceso autorizado a Internet, solo deben ser
autorizados para utilizar el sitio web de la
organización.

▪ Antimalware: los virus, gusanos, troyanos,

etc. que intenten acceder a la red pueden
permanecer inactivos en las máquinas infectadas
durante días o semanas, por ello el esfuerzo de
seguridad debe hacerse para prevenir infecciones
y también para detectar y eliminar el malware
raíz que se dirige a la red.

8
▪ Seguridad de la aplicación: la seguridad de
la aplicación implica que, si la red suele acceder
a las aplicaciones no seguras, entonces se
deberá utilizar hardware, software y procesos de
seguridad para bloquear esas aplicaciones.

▪ Análisis de comportamiento: Se debe conocer cómo es el

comportamiento normal de la red para poder detectar anomalías o infecciones
a medida que ocurran.

▪ Prevención de pérdida de datos:

considerando la situación de la pérdida de
datos, serán sin lugar a dudas, los seres
humanos el eslabón de seguridad más débil;
por ello, se deberán implementar tecnologías y
procesos para garantizar que los usuarios
informáticos y/o empleados no envíen deliberadamente o inadvertidamente
datos confidenciales fuera de la red.

▪ Seguridad del correo electrónico: el phishing y el spam son algunas de

las formas más comunes de obtener
acceso a una red. Las herramientas de
seguridad de correo electrónico
deberán ser capaces de bloquear tanto
los mensajes entrantes como los
salientes con datos confidenciales.

9
 ▪ Cifrado de discos locales: La
encriptación es una de las formas más
eficaces de proteger los discos rígidos,
los discos SSD, los archivos y los datos
del acceso no autorizados, asegurando
que estén protegidos en forma muy
segura. En estos días el cifrado se
encuentra prácticamente en todas
partes, ya sea en aplicaciones móviles, manteniendo seguro el correo
electrónico, asegurando el almacenamiento en la nube, protegiendo sitios web
o en cualquier otra aplicación.

▪ Firewalls o cortafuegos: Los firewalls o cortafuegos pueden ser

implementados tanto por hardware como
por software y se consideran la base de la
seguridad informática de red que,
siguiendo las reglas de la red o de Internet,
establecen una barrera entre la “zona de
confianza” y el exterior. Por ser apenas un
primer paso de defensa en el mundo de las
redes informáticas será necesario
combinarlo con otros equipos o sistemas para una estrategia de defensa en
profundidad.

▪ Sistema de detección y prevención de

intrusos (IPS): Los sistemas de detección y
prevención de intrusos (o por sus siglas en
inglés: IPS) están basados en un software que
escanea el tráfico de la red informática para
identificar y bloquear ataques y/o abusos.

10
▪ Seguridad móvil y seguridad inalámbrica: en
general todos los dispositivos inalámbricos tienen
mayores posibilidades de fallas de seguridad que
cualquier otro dispositivo conectado a una red. Por
ello, si bien la red se podrá conectar a casi cualquier
otra red inalámbrica en cualquier lugar, se
requerirá una mayor seguridad extra.

▪ Segmentación de la red: el segmentar la red consistirá en dividir la red

en subredes, con el propósito de poder aumentar el número de computadoras
conectadas a ella y así aumentar el
rendimiento (tomando en cuenta que
existe una única topología, un mismo
protocolo de comunicación y un solo
entorno de trabajo, es decir, un solo
software). La segmentación de la red
facilita la aplicación de las políticas de
seguridad.

▪ Información de seguridad y sistema de gestión de eventos e

información de seguridad (Security Information and Event Management
- SIEM): los SIEM son las plataformas que centralizan la recolección, el
almacenamiento y la interpretación de los datos relevantes de seguridad, para
identificar y responder eficientemente a cualquier tipo de amenaza. Por
ejemplo, se utilizará para evitar que los empleados
configuren erróneamente los ajustes de seguridad,
dejando los datos vulnerables a un ataque. La
desventaja de estos sistemas de protección es que
generan tanta información para monitorizar, que
los equipos de seguridad informática se enfrentan
al problema de tener que interpretarla en su
totalidad para poder reconocer los problemas reales.

11
▪ Red Privada Virtual (VPN): la red privada virtual es una herramienta
(típicamente basada en los protocolos IPsec o
SSL) que autentica la comunicación entre un
dispositivo y una red segura, creando un "túnel"
seguro y encriptado a través de la Internet
abierta.

▪ Seguridad web: se deberá poder controlar

la utilización que hace el personal interno del
uso de navegadores para, en caso necesario,
poder bloquear amenazas basadas en la web y
así evitar infectar la red.

Seguridad informática de red en la nube

Cada vez más organizaciones están derivando algunas de sus necesidades de

cómputo en proveedores de servicios que trabajan en la nube, creando
infraestructuras híbridas donde su propia red
interna tiene que interpretar de forma fluida y
segura con servidores alojados por terceros. A
veces, esta infraestructura en sí misma es una red
autónoma, que puede ser física (varios servidores
en la nube trabajando juntos) o virtual en varias
instancias de máquinas virtuales (en inglés virtual
machines VM) ejecutándose juntas e
"interconectando" entre sí en un solo servidor
físico).

12
Para manejar los aspectos de seguridad, muchos proveedores de servicios que
trabajan en la nube, establecen políticas
centralizadas de control de seguridad en su
propia plataforma. Sin embargo, esos
sistemas de seguridad no siempre coincidirán
con las políticas y procedimientos para las
redes internas de la organización. Esta falta
de coincidencia puede aumentar la carga de
trabajo para los profesionales de seguridad
de redes. Hay una variedad de herramientas
y técnicas disponibles que pueden ayudar a
aliviar parte de esta preocupación, pero la
verdad es que esta área todavía está en desarrollo y la conveniencia de la nube
puede significar problemas de seguridad para la red.

La idea que las infraestructuras locales son más seguras que las
infraestructuras en la nube es un mito. El acceso físico no autorizado a los
centros de datos en la nube es extremadamente raro. Las peores infracciones
ocurren detrás de los firewalls de las organizaciones y de sus propios
empleados. Los datos en una nube pueden residir en cualquier número de
servidores en cualquier número de ubicaciones, en lugar de un servidor
dedicado dentro de la red local.

Las economías de escala requeridas por los proveedores de la nube han

mostrado un menor número de interrupciones del servicio y recuperaciones
más rápidas, reduciendo el tiempo de inactividad sufrido por los clientes de la
nube. Los niveles más altos de automatización, normalización y auditoría
garantizan que las firmas de virus y los parches de seguridad se actualizan
rápidamente en toda la red: a menudo mucho más rápido que de lo que el
personal de cómputos de la organización pueda realizar. La monitorización y
la dotación de personal 24/7/365 permite identificar y resolver problemas
rápidamente.

13
Concepto de Amenazas: Se considera una amenaza, en términos simples, a
cualquier situación o evento que pueda afectar la posibilidad que las
organizaciones o las personas puedan desarrollar sus actividades
normalmente porque se afectan directamente los datos, la información o los
sistemas que la procesan.

Las amenazas a la información pueden ser Internas o Externas y básicamente,

se pueden agrupar en cuatro grandes categorías:

• Factores Humanos (accidentales, errores provocados, etc.).

• Fallas en los sistemas de procesamiento de información.
• Desastres naturales.
• Actos maliciosos o malintencionados.

Algunos tipos de amenazas:

• Virus informáticos o código malicioso

• Uso no autorizado de Sistemas
Informáticos
• Robo de Información
• Fraudes basados en el uso de
computadores
• Suplantación de identidad
• Denegación de Servicios (DoS)
• Ataques de Fuerza Bruta
• Alteración de la Información
• Divulgación de Información
• Desastres Naturales
• Sabotaje, vandalismo
• Espionaje

A continuación, se presenta la descripción de algunas de las principales

amenazas:

14
1) Programas maliciosos (Malware): Los
programas maliciosos son códigos diseñados
especialmente por ciberdelincuentes cuyo
objetivo es el de variar el funcionamiento de
cualquier sistema informático, sobre todo sin
que el usuario infectado se dé cuenta. Tienen
la capacidad para borrar, bloquear, modificar o
copiar datos. También se involucra a aquellos
códigos creados para interrumpir o incluso destruir el funcionamiento normal
de los equipos y/o las redes.

Generalmente se podrán encuadrar en dos categorías de acuerdo a la forma

en que se propagan:
• Los programas maliciosos incapaces de auto-replicarse. Como ejemplo
tenemos a los virus y gusanos.
• Los programas maliciosos capaces de auto-replicarse, es decir, cómo hace
el malware para distribuir copias de sí mismo a través de los recursos
locales o de las redes. Como ejemplo tenemos a los virus y gusanos.

2) Programas espías (Spyware): Se trata de un código malicioso cuyo

principal objetivo es recoger información sobre las actividades de un usuario
en un computador (tendencias de navegación), para
permitir el despliegue sin autorización en ventanas
emergentes de propaganda de mercadeo, o para
robar información personal (p.ej. números de
tarjetas de crédito). Hay empresas que los estarían
utilizando para controlar la utilización de software
pirata.

Según algunas estadísticas, cerca del 91% de los computadores tienen

spyware instalado, y de acuerdo a un reporte de la firma EarthLink, en una
revisión de cerca de 1 millón de computadoras en Internet, el promedio de
programas “spyware” era de 28 en cada uno de ellas.

15
3) Secuestro de datos (Ransomware): Tanto para computadoras como para
teléfonos móviles, es una de las amenazas que más está creciendo
últimamente. Un programa bloquea cualquiera de
estos dos dispositivos con un mensaje en el que se
pide un rescate para que el usuario pueda volver
a recuperar el control. Se le exige un rescate en
Bitcoin para que no pueda ser rastreada la
persona o personas que han lanzado esta
amenaza. El más popular es Locky o Ransomware
Locky, un peligroso virus secuestrador de archivos
infectados, que es capaz de encriptar o bloquear
los archivos personales del usuario del equipo infectado, para luego pedir una
especie de rescate o pago para que los archivos sean liberados. Se propaga en
archivos de texto .doc infectados, que por lo general están adjuntos a un
correo electrónico spam. Si el usuario hace clic en descargar el adjunto, el
Ransomware Locky se instala en el equipo de la víctima y comienza a encriptar
archivos al azar, eliminando incluso las Shadow Volume Copies, lo que
prácticamente impide la restauración o recuperación de los archivos
encriptados o secuestrados.

4) Suplantación de Identidad (Spoofing): La suplantación de identidad no

es algo nuevo; el intento de hacerse pasar por otra persona para sacar
provecho de alguna manera es algo que siempre ha
estado presente. En la era de las comunicaciones,
también existe y se conoce con el nombre de
spoofing (anglicismo que se podría traducir como
burla o pantomima).
La suplantación de identidad consiste en una serie
de técnicas hacking, por lo general, con intenciones
maliciosas, creadas para suplantar la identidad de entidades o personas en la
red, con el objetivo de obtener información privada o para conseguir acceder
a páginas con una credencial falsa.

16
Existen distintos tipos de ataque por suplantación de identidad:

▪ Suplantación de identidad por la dirección IP (IP spoofing): en un

ataque por suplantación de identidad por IP (internet protocol) se da cuando
un atacante/un tercero se hace pasar por
una entidad distinta, pero de confianza, a
través de falsificaciones de los datos IP
cuando se realiza una comunicación. El
atacante, en este caso, simula la identidad
de otra máquina para conseguir acceso a
los recursos de un tercer sistema. De esta
manera, un atacante falsea el origen de los
paquetes de datos provocando que la
víctima los confunda de que proceden de
un host de confianza no detectado como
ajeno.

Si bien hay muchos ataques por suplantación, el más común es por IP, donde
se consigue sustituir la dirección IP de un paquete TCP/IP o UDP/IP por otra
IP que se desee suplantar. En este caso, las respuestas del host que recibe los
paquetes de datos irán destinados a la IP falsa.

▪ Suplantación de identidad por la web (web spoofing): Las páginas web

suelen ser un excelente objetivo de los piratas informáticos y pueden ser
atacadas de múltiples formas con el objetivo de enviar enlaces falsos a los
usuarios, incorporar código malicioso o incorporar software modificado para
robar datos. Por ello cuando se navega en internet se deberá prestar mucha
atención sobre los sitios que se están visitando y cómo se actúa en ellos.

17
Básicamente la suplantación de
identidad por la web es un tipo de ataque
en el que una página web ha sido
suplantada creando una web que simula
ser la real, pero siendo en realidad una
copia falsa que busca engañar a la
víctima. Al crear una página que simula
ser la original podrá ganarse la
confianza de la víctima. El objetivo será
hacer creer a los usuarios que están
ante el sitio legítimo que estaban
esperando. Pueden copiar la imagen, la estructura de la página, el contenido
que tiene, incluso la URL va a ser muy parecida a la original. Lógicamente se
suele suplantar la identidad de sitios populares, que reciben muchas visitas y
donde los usuarios van a tener que introducir datos, confiar a la hora de
acceder a contenido de terceros, introducir credenciales, información
bancaria, contraseñas, etc.

Un ejemplo reciente es la suplantación de identidad por la web que sufrió la

mundialmente conocida empresa Amazon. Los usuarios recibieron un SMS de
un remitente llamado Amazon que tenía un contenido muy difuso, una
dirección no relacionada con la compañía y donde había un link que llevaba
a una web de destino poco elaborada, por lo que, en este caso, fue fácilmente
identificable.

▪ Suplantación de identidad por DNS (Domain Name System): Esta

suplantación de identidad consiste en acceder a los servidores de nombres de
dominio de la víctima, y modificar sus direcciones
IP para redirigirlas a servidores maliciosos.
Además de ser otra forma de registrar los
movimientos de la víctima, el mayor peligro es que
puede burlar las conexiones cifradas ya que en
realidad apuntan a servidores espejo.

18
▪ Suplantación de identidad por ARP (Address Resolution Protocol):
Este tipo de suplantación de identidad podrá concretarse cuando el usurpador
ya haya logrado introducirse dentro de una red
privada. Por tanto, el riesgo es grande. El
intruso modificará las tablas ARP, asociando su
MAC a la red de la víctima. De esta forma podrá
interponerse entre los puntos de esa red
controlando el flujo de datos.

La modificación de tablas ARP no solo será

posible en redes locales, sino también en redes
inalámbricas o WLAN, en la cuales incluso el
cifrado mediante clave WPA (Wi-Fi Protected
Access) no ofrecerá ninguna protección. Y es que, para poder comunicarse en
redes locales con IPv4, todos los aparatos conectados necesitan resolver las
direcciones MAC, algo que solo permite la resolución con tablas ARP.

▪ Suplantación de identidad por e-mail (E-mail Spoofing o Phishing): Es

la suplantación de identidad más utilizada y se
realiza a través de correo electrónico, siendo una de
las mayores amenazas actuales. Es un ataque del
tipo ingeniería social, cuyo objetivo principal es
obtener de manera fraudulenta datos confidenciales
de un usuario, especialmente financieros,
aprovechando la confianza que éste tiene en los
servicios tecnológicos, el desconocimiento de la forma en que operan y la oferta
de servicios en algunos casos con pobres medidas de seguridad. Actualmente,
los ataques de phishing son bastante sofisticados, utilizando mensajes de
correo electrónico y falsos sitios Web, que suplantan perfectamente a los sitios
originales.

19
5) Troyanos (Troyan horse): Un caballo de Troya o troyano es un tipo de
programa malicioso que a menudo se camufla
como software legítimo. Los ciberladrones y los
hackers pueden emplear los troyanos para
intentar acceder a los sistemas de los usuarios.
Normalmente, algún tipo de ingeniería social
engaña a los usuarios para que carguen y
ejecuten los troyanos en sus sistemas. Una vez
activados, los troyanos pueden permitir a los
cibercriminales espiar, enviar, recibir, iniciar y eliminar archivos, robar datos
confidenciales y/o permitir el acceso al sistema por una puerta trasera. Estas
acciones pueden incluir las siguientes:
• Eliminación de datos
• Bloqueo de datos
• Modificación de datos
• Copia de datos
• Disminución del rendimiento de computadoras o redes de
computadoras
• Denegación de servicio DDoS (en inglés Denial of Service).

A diferencia de los virus y los gusanos informáticos, los troyanos no pueden

multiplicarse.

6) Gusanos (Worms): El principal objetivo de los

gusanos es propagarse y afectar al mayor número de
dispositivos posible. Para ello, crean copias de sí
mismos bajo mil y una formas diferentes, alojándolas
en diferentes ubicaciones de la computadora
afectada, que distribuyen posteriormente a través de
diferentes medios, como el correo electrónico o
programas P2P entre otros.
El otro importante objetivo de los gusanos, suele ser colapsar la computadora
y las redes informáticas, impidiendo así el trabajo a los usuarios. A diferencia
de los virus, los gusanos no infectan archivos.

20
7) Puerta trasera (BackDoor): Este concepto se refiere a un agujero de
seguridad, una puerta secreta, una manera de entrar a un sistema informático
sin ser detectado, y normalmente con fines delictivos, es decir, que una puerta
trasera o backdoor es una vulnerabilidad que permite entrar en un servidor,
página web, red local o empresarial sin ser
detectado y con ciertos privilegios para poder
hacer casi lo que se quiera. La inmensa
mayoría de las puertas traseras son errores
genuinos, es decir, o bien se generan por un
error del usuario o del programador, o de los
administradores de red. Esto es peligroso
porque el usuario desconoce que existe esa
puerta abierta sin protección.

En ocasiones, algunos programadores maliciosos dejan una puerta trasera

para así poder evitar los sistemas de seguridad de acceso para poder acceder
al sistema con total comodidad y sin conocimiento de los usuarios.

Entonces se puede decir que hay dos tipos de backdoor o puertas traseras: las
que se intentan instalar en nuestro sistema y las que ya existen en nuestro
sistema (en el sistema operativo o en aplicaciones conocidas).

El primer tipo de puerta trasera es fácilmente detectable por los antivirus

modernos, y se elimina con igual facilidad. En el caso de las puertas traseras
en aplicaciones lícitas, hemos de confiar en que la empresa desarrolladora
haga un buen uso de ellas, o bien la comunidad de desarrolladores si nos
referimos al software libre. Por ello la recomendación principal es mantener
los sistemas limpios, actualizados y con un buen antivirus instalado.

21
8) Redes de robots (Botnets): Son máquinas infectadas y controladas
remotamente, que se comportan como “zombis”, quedando incorporadas a
redes distribuidas de computadoras
llamadas bots, los cuales envían de
forma masiva mensajes de correo
“spam” o código malicioso con el
objetivo de atacar otros sistemas o de
utilizar los recursos informáticos de
otras computadoras. Se han detectado
redes de más de 200.000 nodos
enlazados y más de 10.000 formas
diferentes de patrones de bots.

Las organizaciones deberían revisar las computadoras de sus redes de

datos para detectar síntomas de infecciones relacionadas con este patrón,
para evitar ser la fuente de ataques hacia otras redes o sistemas. También
se requiere de la colaboración y aporte permanente de los usuarios finales,
de los proveedores de acceso a Internet y prestadores de servicios
conectados a Internet.

Las redes de bots son capaces de infectar prácticamente cualquier

dispositivo conectado a Internet ya sea directamente o vía Wi-Fi. Las PCs,
notebook, tablets, dispositivos móviles, DVRs, smartwatches, cámaras de
seguridad, electrodomésticos inteligentes, etc., cualquiera de ellos puede
ser víctima de una red de bots.

Como ejemplos se pueden mencionar el fraude publicitario de Facebook o

la red de bots de Twitter utilizada durante la campaña presidencial
estadounidense del año 2016 o sobrecargar un sitio web hasta el punto
que deje de funcionar y/o se deniegue el acceso al mismo (este tipo de
ataque se denomina ataque de denegación de servicio o DDoS).

En el año 2016, un ataque DDoS masivo afectó a la empresa Dyn, una de

las organizaciones que gestiona la infraestructura de Internet. Dicho
ataque utilizó una red de bots formada por cámaras de seguridad y DVRs.

22
 El ataque consiguió interrumpir el servicio de Internet de amplias zonas
del mundo, causando problemas a sitios web muy populares como Twitter
o Amazon.

9) Correo no deseado (Spam): El correo electrónico es una de las

herramientas de comunicación más utilizadas profesionalmente. Pero tiene un
inconveniente: el correo no deseado,
correo basura o spam, que inunda los
buzones, hace perder el tiempo y
genera peligros en la seguridad del
sistema. El correo no deseado es aquel
que se recibe en la bandeja de entrada
sin que lo haya solicitado.
Normalmente es publicitario. Pero
también puede llegar a ser peligroso si
contiene un enlace o un archivo
infectado. Eso sin contar mensajes trampa que quieren averiguar datos
sensibles como los números de cuenta o tarjeta de crédito. Si bien el término
spam en informático viene de un sketch humorístico de Monty Phyton, el spam
que se recibe a diario no tiene tanta gracia y consume tiempo de trabajo.
Se han presentado casos en los que los envíos se hacen a sistemas de telefonía
celular a través de mensajes de texto o a sistemas de faxes.

Para el año 2018, se tenía calculado que entre el 60 y el 70% de los correos
electrónicos eran “spam”, con contenidos comerciales o de material
pornográfico.

Según la compañía Symantec, el tipo de spam más común en el año 2016 fue
el relacionado con servicios financieros, con cerca del 30% de todo el spam
detectado.

23
10) Basura (Trashing): Un método cuyo nombre hace referencia al manejo
de la basura. No es una técnica relacionada
directamente con los sistemas de información, pues
los atacantes se valen de otra forma de ingeniería
social y para ello, el mecanismo utilizado, es la
búsqueda en las canecas de la basura o en los sitios
donde se desechan papeles y documentos de extractos bancarios, facturas,
recibos, borradores de documentos, etc., y posteriormente utilizarla según
convenga, elaborando un perfil l de la víctima para robar su identidad, o
teniendo acceso directamente a la información que se suponía confidencial.

11) Bomba lógica (Logic bombs): Las bombas lógicas, son pequeños
porciones de código fuente que son incluidos
dentro de otras aplicaciones que son
enviadas a la víctima, de tal manera, que el
usuario final no se da cuenta de que ha sido
infectado, ya que al estar completamente
inactivas pueden pasar desapercibidas por
algunos sistemas de seguridad y que tienen
como principal objetivo, realizar un ataque
malicioso a la parte lógica del computador,
es decir, borrar ficheros, alterar el sistema, e incluso inhabilitar por completo
el sistema operativo de un PC. Las bombas lógicas se diferencian de otros tipos
de software malicioso por su capacidad de permanecer suspendidas o
inactivas, hasta que se cumpla un período de tiempo determinado por su
desarrollador, en ese momento se activa y ejecuta la acción maliciosa para la
cual ha sido creada.

Estas son tan solo algunas de las amenazas que rondan por la red y que
pueden producir un gran dolor de cabeza si no prestamos especial atención a
una conducta correcta en cuanto al acceso a Internet, descarga de programas
o aplicaciones o tener buenos softwares anti malware y antivirus en nuestro
equipo.

24
Ingeniería Social o el arte de hackear
humanos: Se denomina ingeniería social
a la práctica de obtener datos
confidenciales mediante la manipulación
de usuarios con acceso a los sistemas
informáticos de una organización. Contra
lo que pudiera parecer, el punto más débil
en la seguridad de los sistemas
informáticos es el factor humano: suele
ser mucho más fácil obtener acceso a un
sistema gracias a la manipulación y el engaño de las personas que mediante
ataques informáticos de fuerza bruta.

Deberá tenerse en cuenta que, en cualquier sistema, las personas usuarias

siempre serán el eslabón más débil.

Tipos de ataques de ingeniería social

1) Hunting: se trata de obtener los datos con la menor exposición directa

posible y con el menor contacto personal. Se orientan a la obtención solamente
de un dato o una acción muy concreta (obtener una clave, desactivar una
configuración, etc.).

2) Farming: busca mantener el engaño el mayor tiempo posible, para

explotar al máximo los conocimientos, recursos o posición de la víctima.
Recurre a grupo de identidades previamente robadas para crear falsos perfiles
atractivos.

Según el famoso hacker Kevin Mitnick, la ingeniería social tiene su base en

cuatro principios básicos:

▪ Todos queremos ayudar.

▪ No nos gusta decir No.
▪ La primera actitud suele ser la de confiar en la otra persona.

25
 ▪ A todas las personas nos gusta ser alabadas.

Técnicas de Ingeniería Social:

1) Pretextos: Se crea un escenario ficticio para que la víctima revele una

información que, en circunstancias normales, no revelaría.

Normalmente la creación de escenarios ficticios requiere una investigación

previa de la víctima para conseguir datos personales sensibles y hacer así más
creíble la suplantación y hacer creer a la víctima que es legítima.

En ocasiones, todo lo que se necesita para crear un escenario pretextual, será

una voz que inspire autoridad, un tono serio y capacidad de improvisación.
Por ejemplo, el atacante puede fingir ser una persona empleada del banco, o
el director o directora de otra sucursal de la empresa y conseguir así datos
sensibles.

2) Mirar sobre el hombro (Shoulder surfing): Es un tipo de ataque

relacionado con la ingenuidad de los usuarios del sistema, pero también con
el control de acceso físico. Consiste en espiar
físicamente a las personas usuarias hasta poder
obtener las claves de acceso al sistema. El caso
típico es el de las personas usuarias que apuntan
sus contraseñas de acceso en un papel junto al
monitor o pegadas al teclado.

El shoulder surfing no siempre se ve beneficiado por la ingenuidad de los

simples usuarios de un sistema; en determinadas ocasiones son los propios
programadores, gente que teóricamente conoce algo más sobre seguridad que
el personal de administración o de atención al público, los que diseñan
aplicaciones muy susceptibles de sufrir ataques de este tipo. Por ejemplo, en
ciertas aplicaciones muestran claramente en pantalla las contraseñas al ser
tecleadas. Cualquier persona situada cerca de una persona que las está

26
utilizando puede leer claramente esa clave; un perfecto ejemplo de lo que NO
se debe hacer nunca.

3) Suplantación de identidad por e-mail (E-mail Spoofing o Phishing):

Como ya se indicó la suplantación de identidad más utilizada y se realiza a
través de correo electrónico, siendo una de las mayores amenazas actuales.
Está considerado como uno de los principales
ataques del tipo ingeniería social, cuyo objetivo
principal es obtener de manera fraudulenta datos
confidenciales de un usuario, especialmente
financieros, aprovechando la confianza que éste
tiene en los servicios tecnológicos, el
desconocimiento de la forma en que operan y la
oferta de servicios en algunos casos con pobres
medidas de seguridad.

Actualmente, los ataques de phishing son bastante sofisticados, utilizando

mensajes de correo electrónico y falsos sitios Web, que suplantan
perfectamente a los sitios originales.

27
Como evitar ser engañado al recibir
un correo electrónico: lo principal es
no asustarse y apurarse en tomar
una decisión. Si observamos bien
esta figura vemos que las direcciones
de los correos enviados de la
cabecera no corresponden a PayPal
sino a Service@intl-limited.com
customer-pznkjxut4444436@sax-
aa.com, o sea nada que ver con
PayPal. Como se pueden ver estos
datos, muy fácil colocando responder
al mensaje y ahí aparecen las
direcciones verdaderas, si en cambio
se hace click en Reactivar la cuenta
se cae en la trampa. Esta misma
acción generalmente se realiza
también con tarjetas de crédito y con
entidades bancarias.

4) Masquerading (mascarada): Consiste en suplantar la identidad de una

persona usuaria legítima de un sistema
informático, o del entorno del mismo.
Esta suplantación puede realizarse
electrónicamente (un usuario o usuaria
utiliza para acceder a una máquina un login
y password que no le pertenecen) o en
persona. El masquerading es más habitual en
entornos donde existen controles de acceso físico, y donde un intruso puede
‘engañar’ al dispositivo o persona que realiza el control. Dos ejemplos podrían
ser el acceso a un área restringida con una tarjeta de identificación robada
que un lector automatizado acepta, o con un carné falsificado que un guardia
de seguridad da por bueno.

28
5) Baiting: El baiting se podría traducir de forma más o menos libre como
cebar, o hacer picar el anzuelo o caer en la trampa. Se utiliza un dispositivo
de almacenamiento extraíble (CD, DVD, USB)
infectado con un software malicioso, dejándolo en un
lugar en el cual sea fácil de encontrar (por ejemplo,
baños públicos, ascensores, aceras, etc.) por parte de
la víctima o víctimas cuyos datos precisa el o la
atacante. Cuando la víctima encuentre dicho
dispositivo y lo introduzca en su computador, el software malicioso se
ejecutará de manera inadvertida y posibilitará que el hacker pueda acceder a
los datos del usuario o usuaria.

6) Scavening (basureo): Consiste en obtener información dejada en o

alrededor de un sistema informático tras la ejecución de un trabajo.

El Scavening puede ser:

• Físico, como buscar en cubos de basura (trashing,

traducido también por basureo) listados de
impresión o copias de documentos.
• Lógico, como analizar buffers de impresoras,
memoria liberada por procesos, o bloques de un
disco que el sistema acaba de marcar como libres,
en busca de datos.

7) Vishing: El vishing (de la unión de

voice + phishing, o suplantación de voz o
suplantación telefónica) consiste en
ofrecer a la víctima un número de
teléfono falso para comunicarse,
fingiendo ser el verdadero, y a
continuación obtener datos sensibles
como números de tarjetas de crédito o
claves y personas usuarias.

29
Modus Operandi:

▪ Se realizan llamadas automatizadas aleatoriamente hasta que alguien

contesta.
▪ Se informa al interlocutor o interlocutora de que su tarjeta de crédito
parece estar siendo utilizada de manera fraudulenta y de que es preciso
actualizar o confirmar sus datos personales.
▪ Se le facilita un número de teléfono para que realice estas gestiones.
▪ Al realizar la llamada, escucha al otro lado una grabación idéntica a la
de un servicio de atención telefónica estándar.
▪ Después, se le solicitan datos sensibles, como números de cuenta, de
tarjetas de crédito, fechas de expiración y claves y nombres de usuario.
▪ Una vez obtenidos estos datos, los o las ciberdelincuentes ya pueden
llevar a cabo operaciones fraudulentas con la tarjeta de la víctima.

La forma más sencilla de evitar el vishing es no ofrecer información sensible

sin comprobar las verdaderas identidades de nuestros interlocutores, y llamar
siempre a los números oficiales que tengamos de nuestras entidades.

30