MA2002B2023VulnerabilidadesAmenazas PDF

MA2002B
A. Martı́nez
Criptografı́a y Seguridad Informática

Bloque MA2002B, 4° Semestre
Profr. Alberto F. Martı́nez1
Escuela de Ciencias Aplicadas
Ingenierı́a en Ciencias de Datos y Matemáticas

Febrero-Junio de 2023
1 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática.
Parte I
Introducción a la seguridad informática.
2 / 45
Vulnerabilidades y amenazas.
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática.
1 Antecedentes.
2 Amenazas existentes.
3 CVE, Common Vulnerability Exposure.
4 NDS, National Database Security.
5 CVSS, Common Vulnerability Score System.
3 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática.
Antecedentes [1]. Un bug es un error de funcionamiento en un

sistema informático. Lo crı́tico de estos errores es que pueden ser
explotados por potenciales adversarios.
4 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática.
Antecedentes [2]. Prácticamente a inicios de la computación
moderna, se acuñó en la jerga de la computación el término bug. En
ese entonces, un bicho (¡¡¡¡literal!!!!) empezó a generar errores de
cómputo en la operación de unos relés. La cientı́fica y militar Grace
Hopper fue su descubridora.
5 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad Antecedentes [3]. Hasta la fecha, lejos de que el término bug haya
informática.
pasado de moda o sea una simple anécdota, se ha hecho cada vez
mas presente, en buena medida porque los programas de cómputo
modernos tienen miles de lı́neas de código, y donde muchos de sus
componentes no pocas veces dependen de terceros. Simplemente
que falle un componente (una biblioteca, un archivo de
configuración, un driver, o el firmware), el sistema informático que
dependa de ellos dejará de funcionar correctamente.
6 / 45
MA2002B
A. Martı́nez Antecedentes. De hecho, en un estudio de 2002 publicado por el

NIST se tiene que:
Introducción a la
seguridad
informática. Definition
“Con base en las encuestas de usuarios y desarrolladores de
software, los costos anuales de infraestructura inadecuada para
pruebas de software se estima en un rango de $22.2 a $59.5 mil
millones. Más de la mitad de estos costos corren a cargo de los
usuarios del software en forma de prevención de errores y actividades
de mitigación. Los costos restantes corren a cargo de los
desarrolladores de software y reflejan los recursos de prueba
adicionales que son consumidos debido a herramientas y métodos de
prueba inadecuados.”[4]
7 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática.
Antecedentes [1]. Las fallas de dichos componentes son oro molido

para cualquier cracker y ası́ poder obtener beneficios de ese bug. Lo
que puede convertir a esos bugs en una vulnerabilidad.
8 / 45
MA2002B
A. Martı́nez
El National Database Security (NDS) cita una definición de
Introducción a la vulnerabilidad como:
seguridad
informática.
Definition
“Una debilidad en la lógica computacional (p. ej., código) que se
encuentra en los componentes de software y hardware que, cuando
se aprovecha, tiene un impacto negativo en la confidencialidad, la
integridad o la disponibilidad. La mitigación de las vulnerabilidades
en este contexto generalmente implica cambios en la codificación,
pero también podrı́a incluir cambios en las especificaciones o incluso
en el desuso de las especificaciones (por ejemplo, la eliminación de
los protocolos afectados o la funcionalidad en su totalidad).”[5]
9 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática.
Amenazas existentes [6]. Una exposición es un error en un sistema

informático cuya consecuencia es la filtración de información
sensible.
10 / 45
MA2002B
A. Martı́nez
Introducción a la
Amenazas existentes. De acuerdo a Kaspersky:
seguridad
informática. Definition
”El código malicioso es el tipo de código informático o script de web
dañino diseñado para crear vulnerabilidades del sistema que
conducen a las puertas traseras, las infracciones de seguridad, la
información y el robo de datos, ası́ como a otros posibles daños a
los archivos y sistemas informáticos.”[7]
El código malicioso (malicious code) va mas allá del malware tı́pico
(focalizado en el software).
11 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática. Amenazas existentes [8]. Pero el uso del codigo malicioso no es solo
usarlo y listo. Para garantizar su éxito, los adversarios lo combinan
con una técnica llamada ingenierı́a social, que a grandes rasgos es
conseguir información mediante la manipulación/engaño de las
potenciales vı́ctimas para obtener sus datos sensibles. En la práctica,
uno o varios adversarios suplantan a un individuo o una institución
para obtener esos datos sensibles.
12 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática. Amenazas existentes [9]. Por ejemplo, un atacante puede usar un
correo electrónico con cierta apariencia de ”formalidad” y ası́ hacer
caer al usuario en un ataque llamado ransomware (secuestro de
información). Este tipo de correos con apariencia de correos
”oficiales”provenientes de un atacante que se hace pasar por
miembro de una institución (lo suplanta) es una variante de algo
que se conoce como phishing.
13 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática.
Amenazas existentes [9]. De manera mas formal, el phishing es un
mensaje engañoso (correo electrónico o mensajerı́a instantánea)
enviado a nombre de un organización a la cual los atacantes han
suplantado para obtener información sensible o retribución
económica.
14 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática. Amenazas existentes [10]. Para tener mayor éxito, el phishing se
combina con otro tipo de ataque llamada pharming, que no es mas
que la manipulación de tráfico hacia un sitio web mediante la
suplantación del mismo. Es decir, se redirige el tráfico del sitio
verdadero al sitio falso y por lo general se falsifica la página web
para hacer creer a la vı́ctima que está accediendo a la página
auténtica, cuando en realidad está accediendo a una página falsa.
15 / 45
MA2002B
A. Martı́nez
Amenazas existentes Botnet [11]. Es un conjunto de máquinas
Introducción a la
seguridad infectadas con código malicioso, donde dicho código malicioso es
informática.
controlado de manera remota por un atacante para utilizar a dichas
máquinas infectadas en ataques de naturaleza masiva. Desde el
punto de vista del atacante, es un ataque con poco esfuerzo ya que
el trabajo mas difı́cil es llevado a cabo por la red de equipos
infectados (zombies) mientras que el atacante es el controlador (bot
herder). Un atacante encuentra una vulnerabilidad que le permita
instalar el código malicioso -con ingenierı́a social de por medio- para
posteriormente tomar control del equipo infectado y al final
utilizarlo en un ataque masivo.
16 / 45
MA2002B
A. Martı́nez
Introducción a la
Amenazas existentes (D)DoS. Es un ataque que degrada o hace
seguridad
informática.
inaccesible uno o varios servicios de un sistema (equipo de cómputo,
sitio o red) a los usuarios que desean acceder a ellos de manera
legı́tima, caracterizado por el agotamiento de los recursos del
sistema atacado mediante la generación de peticiones de servicio o
memoria anómalos. El efecto sobre el usuario legı́timo es que dichos
servicios no serán accesibles o su desempeño será muy pobre
[12, 13]. La tı́pica frase ”la página está cargando muy lento”. No
confundir con el hecho de que un sitio se sature con usuarios
legı́timos.
17 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática.
Amenazas existentes. Algunas amenazas a redes de computadoras:
DNS Spoofing [14]. Se suplanta la dirección IP legı́tima de un
sitio por otra IP. Se usan diferentes técnicas para conseguirlo,
siendo una de ellas el cache poisoning.
DNS hijacking [15]. Se suplanta un servidor de nombres
recursivo por uno falso para ejecutar ataques tipo DNS
Spoofing.
18 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática.
Open Web Application Security Project (OWASP). Es una

organización y proyecto sin fines de lucro cuyo objetivo es promover
el desarrollo de sistemas informáticos con seguridad. Su sitio web es
https://owasp.org/.
19 / 45
MA2002B
Open Web Application Security Project (OWASP) [16]. OWASP provee esta
A. Martı́nez
lista en materia de vulnerabilidades mas crı́ticas (OWASP Top Ten):
Introducción a la
seguridad
Ruptura de control de accesos. Acceso no autorizado a información
informática. sensible, vulnerando los procesos involucrados (a través de fallas en su
implementación).
Fallas criptográficas. Uso no cuidadoso de la criptografı́a (algoritmos
obsoletos, contraseñas por defecto, baja entropı́a, etc.).
Injection. Muy común a SQL, correspondiente a no validación o
sanitización de los datos que se reciben en este tipo de entornos.
Diseño inseguro. Errores de diseño de origen, no confundir con
implementación insegura.
Malas configuraciones de seguridad. No hay existencia de hardening,
cuentas y passwords por defecto, uso de caracterı́sticas innecesarias en
aplicaciones, etc.
20 / 45
MA2002B Open Web Application Security Project (OWASP) [16]. OWASP provee esta
A. Martı́nez lista en materia de vulnerabilidades mas crı́ticas (OWASP Top Ten):
Componentes vulnerables y desactualizados.Uso de componentes en tales
Introducción a la
seguridad estados.Implica falta de actualización, mantenimiento y supervisión de lo
informática. que se usa.
Fallas en identificación y autenticación. Vulneración de los procesos de
autenticación. Implica contraseñas por defecto, intentos permitidos, reuso
de parámetros, entre otros.
Fallas de integridad de software y datos. Actualizaciones de fuentes no
verificadas, componentes adulterados.
Fallas en monitoreo y registro de seguridad. Potencial de no detectar
brechas de seguridad por falta de registro de actividades.
Falsificación de solicitudes en el lado del servidor. Se puede obtener una
solicitud fraudulenta que puede dirigirnos a un sitio desconocido al no
validarlo previamente, aún cuando teóricamente se están usando entornos
seguros de comunicaciones.
21 / 45
MA2002B Common Vulnerability Exposure (CVE) [6]. Para evitar algo ası́,
A. Martı́nez además de las medidas de mitigación existentes,se han unido
Introducción a la esfuerzos para reportar cualquier incidente que pueda conducir a
seguridad
informática.
vulnerabilidades. Uno de esos esfuerzos es el CVE
(https://cve.mitre.org/, migrando actualmente a
https://cve.org/), que es un registro público donde se reporta:
1 En qué consiste la vulnerabilidad de manera breve.
2 Estado. Público.
3 Tipo de problema generado.
4 Donde afecta (fabricante, producto y versiones).
5 Bibliografı́a. Acá se consultan los detalles.
Se puede ver un ejemplo aquı́:
https://www.cve.org/CVERecord?id=CVE-2022-0001. La
búsqueda se puede hacer desde aquı́: https://www.cve.org/. 22 / 45
MA2002B
A. Martı́nez
Common Vulnerability Exposure (CVE) [17]. Los reportes en el CVE
Introducción a la
seguridad
se manejan mediante identificadores. El formato del identificador es:
informática.
Definition
CVE-Año-Número.
Donde “Año” es el año de registro de la vulnerabilidad y “Número”
indica registro, con tamaño mı́nimo de 4 dı́gitos y el tamaño
máximo libre, dado que pueden reportarse miles de vulnerabilidades
durante un año. Este formato está vigente desde el primero de
Enero de 2014. Cabe resaltar que los registros previos a esa fecha
permanecen sin cambio. El identificador es único.
23 / 45
MA2002B
Common Vulnerability Exposure (CVE) [6]. Este registro es
A. Martı́nez
mantenido por MITRE y por las Autoridades de Numeración o
Introducción a la
seguridad
CNAs, que son:
informática.
Definition
“Las Autoridades de Numeración de CVE (CNA) son organizaciones
que identifican y distribuyen números de identificación de CVE a
investigadores y proveedores para su inclusión en anuncios públicos
de nuevas vulnerabilidades. Las CNA incluyen proveedores de
software, proyectos de código abierto, centros de coordinación,
proveedores de servicios de recompensas por errores y grupos de
investigación.” [6]
Los anteriores actores participan en una Junta CVE para acordar
aspectos de operación.
24 / 45
MA2002B
National Database Security [18]. De acuerdo a la página oficial de
A. Martı́nez
NDS, gestionada por el National Institute of Standards and
Introducción a la
seguridad
Technology, National Vulnerability Database (NVD) se define como:
informática.
Definition
“El NVD es el repositorio del gobierno de EE. UU. de datos de
gestión de vulnerabilidades basados en estándares representados
mediante el Protocolo de automatización de contenido de seguridad
(SCAP). Estos datos permiten la automatización de la gestión de
vulnerabilidades, la medición de la seguridad y el cumplimiento. El
NVD incluye bases de datos de referencias de listas de verificación
de seguridad, fallas de software relacionadas con la seguridad,
configuraciones incorrectas, nombres de productos y métricas de
impacto.”[18]
25 / 45
MA2002B
A. Martı́nez
National Database Security [19]. Los reportes que pueden
encontrarse en el NDS contienen lo siguiente:
Introducción a la
seguridad
informática.
1 Descripción de la vulnerabilidad. Incluye CVSS (versiones 2.0,
3.0, 3.1) y Vector String.
2 Bibliografı́a. Donde se puede encontrar mayor información de la
vulnerabilidad, ası́ como su solución y herramientas disponibles.
3 Common Weakness Enumeration (CWE). Es referente a
debilidades de seguridad en software que son frecuentes y que
facilita su asignación directa a la descripción.
4 Su influencia. Qué software es afectado por la vulnerabilidad.
Esto es facilitado mediante el Common Platform Enumeration
(CPE).
26 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática.
National Database Security. Las vulnerabilidades pueden encontrarse

en https://nvd.nist.gov/vuln/search. Un ejemplo es
https://nvd.nist.gov/vuln/detail/CVE-2022-0001
27 / 45
MA2002B
A. Martı́nez
Introducción a la
De acuerdo a [20], se manejan 2 criterios para tratar los reportes de
seguridad
informática.
vulnerabilidades. El primero es el usado por CVE, donde se manejan
los siguientes estados:
Reservado. Los detalles de la vulnerabilidad no son públicos.
Publicado. Los detalles de la vulnerabilidad son públicos.
Disputado. Las partes involucradas no están de acuerdo en que
sea una vulnerabilidad.
Rechazado. Puede deberse a que se retiró el registro.
asignación incorrecta o duplicada. Se ignora.
28 / 45
MA2002B
De acuerdo a [20]. El segundo es establecido en el NVD, donde se
A. Martı́nez
manejan los siguientes estados:
Introducción a la
seguridad
Recibido.
informática.
Análisis en espera.
Análisis en proceso.
Analizado. Se divide en 3 sub-estados
Inicial.
Modificado.
Re-análisis.
Modificado o enmienda.
Diferido. El NVD no planea hacer un análisis de la
vulnerabilidad reportada.
Rechazado. No se muestra en las búsquedas.
29 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática.
Common Vulnerability Score System (CVSS) [21]. Es un indicador
que nos permite determinar el grado de peligrosidad de una
vulnerabilidad en base a un grupo de métricas ponderadas. La
versión actual es la 3.1. Es sobre este indicador en el que se basa el
NVS.
30 / 45
MA2002B
Common Vulnerability Score System (CVSS) [21]. Existen diferentes
A. Martı́nez métricas. El primer grupo es el de las metricas base, donde se tienen
Introducción a la los siguientes puntos:
seguridad
informática. Vector de ataque (AV). De acuerdo a [22], es el medio escogido
por los atacantes para transmitir al activo objetivo un codigo
malicioso con tal de ganar cierto grado de control sobre el
mismo y generar beneficios a sus autores. De acuerdo a [21], se
tienen 4 vectores: Red (N), adyascente (A, dispositivo en una
misma red), local (L, directo en el equipo) o fı́sico (P,
interacción fı́sica).
Complejidad de ataque (AC). El trabajo que cuesta hacerlo.
Baja (L, ninguna dificultad) o alta (H, se requieren un conjunto
de condiciones y preparación previa para realizar el ataque).
Estas métricas son obligatorias para calcular el CVSS. 31 / 45
MA2002B
A. Martı́nez Common Vulnerability Score System (CVSS) [21]. Existen diferentes métricas. El
primer grupo es el de las metricas base, donde se tienen los siguientes puntos:
Introducción a la
seguridad Privilegios requeridos (PR). Si se requirieron permisos de administrador o
informática.
simplemente se ocupó una cuenta de un usuario. Se clasifica en ninguna
(N, ningún acceso), baja (L, acceso a una cuenta de usuario) y alta (H,
permisos de administrador).
Interacción de usuario (UI). Se activa solo o con un usuario de por medio.
Sus estados son ninguno(N, solo) o requerido (R, usuario).
Alcance (S). En donde afecta. No limitado al activo vulnerado, sino con
aquellos con quienes interactúa. Sus estados son sin-cambio(U, los efectos
son limitados a componentes concretos) o cambio(C, sus efectos alcanzan
otros componentes).
Estas métricas son obligatorias para calcular el CVSS.
32 / 45
MA2002B
Common Vulnerability Score System (CVSS) [21]. Existen diferentes
A. Martı́nez
métricas. El primer grupo es el de las metricas base, donde se tienen
Introducción a la
seguridad
los siguientes puntos:
informática.
Impacto a la confidencialidad (C). Información comprometida.
Se clasifica en ninguna (N, sin pérdida), baja (L, pérdida
limitada) o alta (H, pérdida severa).
Impacto a la integridad (I). Información alterada. Se clasifica
en ninguna (N, sin pérdida), baja (L, pérdida limitada) o alta
(H, pérdida severa).
Impacto a la disponibilidad (A). Activo no accesible. Se
clasifica en ninguna (N, sin impacto), baja (L, impacto
limitado) o alta (H, impacto severo).
Estas métricas son obligatorias para calcular el CVSS.
33 / 45
MA2002B
Common Vulnerability Score System (CVSS) [21]. El segundo grupo
A. Martı́nez
es el de las metricas temporales, donde se tienen los siguientes
Introducción a la
seguridad
puntos:
informática.
Madurez de la explotabilidad (E). Si existe o no un exploit. Se
clasifica en indefinido o sin información insuficiente (U), alto
(H), funcional (F), prueba-de-concepto (P) y no-probado o
teórico (X).
Nivel de remediación (RL). Si existe o no una solución a la
vulnerabilidad. Se clasifica en no-definido o sin evidencias (X),
no-disponible o simplemente no hay o es inaplicable (U),
solución alterna o workaround (W), arreglo temporal (T) y
arreglo oficial (O).
Estas métricas son opcionales para calcular el CVSS.
34 / 45
MA2002B
A. Martı́nez Common Vulnerability Score System (CVSS) [21]. El segundo grupo

Introducción a la
es el de las metricas temporales, donde se tienen los siguientes
seguridad
informática.
puntos:
Reporte de confianza (RC). Si el reporte confirma la existencia
de la vulnerabilidad, los detalles de dicha vulnerabilidad y si
dicho reporte proviene de una fuente confiable. Se clasifica en
no-definido o sin evidencias (X), confirmado o reproducible y
con detalles completos, generalmente avalados por el fabricante
(C), razonable o reproducible, pero con detalles parciales
disponibles para verificar (R) y desconocido o la vulnerabilidad
existe, pero no se pueden determinar las causas (U).
35 / 45
MA2002B
A. Martı́nez
Common Vulnerability Score System (CVSS) [21]. El tercer grupo es
Introducción a la
seguridad el de las metricas de entorno, donde se tienen los siguientes puntos:
informática.
Requerimientos de seguridad. Permite hacer ajustes
dependiendo del activo afectado. Se clasifica en no-definido o
sin evidencias, equivalente a medio (X), alto o consecuencias
catastróficas (H), medio o consecuencias serias (M), bajo o
consecuencias limitadas (L). Se incluye lo siguiente:
Requerimientos de confidencialidad (CR).
Requerimientos de integridad (IR).
Requerimientos de disponibilidad (AR).
36 / 45
MA2002B
A. Martı́nez Common Vulnerability Score System (CVSS) [21]. El tercer grupo es

Introducción a la
el de las metricas de entorno, donde se tienen los siguientes puntos:
seguridad
informática. Métricas de base modificadas. Ajusta las métricas base de
acuerdo al entorno afectado.
Modified Attack Vector (MAV)
Modified Attack Complexity (MAC)
Modified Privileges Required (MPR)
Modified User Interaction (MUI)
Modified Scope (MS)
Modified Confidentiality (MC)
Modified Integrity (MI)
Modified Availability (MA)
37 / 45
MA2002B
A. Martı́nez
Common Vulnerability Score System (CVSS). De acuerdo con [21]
Introducción a la
seguridad Si es de cero, el riesgo es nulo.
informática.
Si cae entre 0.1 y 3.9. El riesgo es bajo.
Si cae entre 4.0 y 6.9. El riesgo es medio.
Si cae entre 7.0 y 9.0. El riesgo es alto.
Si cae entre 9.1 y 10.0. El riesgo es crı́tico.
El cálculo de dicho score puede hacerse con la siguiente calculadora
proporcionada por el NIST [23] y también en [24]. También puede
complementarse con lo proporcionado en el National Vulnerability
Database del NIST [18].
38 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad Common Vulnerability Score System (CVSS) [21]. El Vector String
informática.
es una cadena de caracteres que nos ayuda a resumir la descripción
de la vulnerabilidad en base a las métricas del CVSS. Es decir,
ayuda a revisar cuáles fueron las métricas para obtener el valor del
CVSS. Se muestra el ejemplo tomado de la referencia
Definition
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N
39 / 45
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática.
Common Vulnerability Score System (CVSS) [21]. Nos vamos

directo a la página
https://www.first.org/cvss/specification-document,
sección 6, para revisarlo detalladamente.
40 / 45
Bibliografı́a I
MA2002B
A. Martı́nez Christopher McFadden.

The Origin of the Term ’Computer Bug’.
Introducción a la Consultado el 23/02/2021 en
seguridad https://interestingengineering.com/the-origin-of-the-term-computer-bug, 2020.
informática. Editor.
Grace Hopper: una historia sobre bugs y programación.
Consultado el 23/02/2021 en
https://www.welivesecurity.com/la-es/2016/09/14/grace-hopper-bugs-programacion/, 2016.
Jeff Williams; Arshan Dabirsiaghi.

The Unfortunate Reality of Insecure Libraries.
Consultado el 23/02/2021 en https://cdn2.hubspot.net/hub/203759/file-1100864196-pdf/docs/
Contrast_-_Insecure_Libraries_2014.pdf, 2014.
Gregory Tassey.
The Economic Impacts of Inadequate Infrastructure for Software Testing.
https://www.nist.gov/system/files/documents/director/planning/report02-3.pdf, 2002.
NIST.
Vulnerabilities.
Consultado el 23/05/2022 en https://nvd.nist.gov/vuln, 2022.
41 / 45
Bibliografı́a II
MA2002B
A. Martı́nez MITRE.
¿QUÉ ES CVE? EXPLICACIÓN DE LAS VULNERABILIDADES Y EXPOSICIONES COMUNES.
Introducción a la Consultado el 23/04/2022 en https://ciberseguridad.com/herramientas/marco-mitre-att-ck/
seguridad cve-vulnerabilidades-exposiciones-comunes/, 2018.
informática.
Kaspersky.
What is Malicious code?
https://www.kaspersky.com/resource-center/definitions/malicious-code, 2021.
Web Root.
What is Social Engineering? Examples & Prevention Tips.
https://www.webroot.com/us/en/resources/tips-articles/what-is-social-engineering, 2021.
Marcelo Rivero.
¿Qué es el Phishing?
Consultado el 23/02/2021 en https://www.infospyware.com/articulos/que-es-el-phishing/, 2021.
Kaspersky.
¿Qué es el pharming y cómo evitarlo?
Consultado el 23/02/2021 en https://latam.kaspersky.com/resource-center/definitions/pharming,
2021.
42 / 45
Bibliografı́a III
MA2002B
A. Martı́nez Kaspersky.
What is a Botnet?
Consultado el 23/02/2021 en https://www.kaspersky.com/resource-center/threats/botnet-attacks,
Introducción a la
2021.
seguridad
informática. Kaspersky.
¿Qué son los ataques DDoS?
Consultado el 23/02/2021 en https://latam.kaspersky.com/resource-center/threats/ddos-attacks,
2021.
Sephen Cobb.
10 cosas que debes saber sobre los ataques DDoS a Dyn del 21 de octubre.
https://www.welivesecurity.com/la-es/2016/10/26/ataques-ddos-a-la-iot-octubre/, 2016.
IONOS.
DNS spoofing: ası́ funciona y ası́ puedes protegerte.
https://www.ionos.mx/digitalguide/servidores/seguridad/dns-spoofing/, 2020.
IONOS.
DNS hijacking: la amenaza del sistema de nombres de dominio.
https://www.ionos.mx/digitalguide/servidores/seguridad/que-es-el-dns-hijacking/, 2020.
43 / 45
Bibliografı́a IV
MA2002B
A. Martı́nez Open Web Application Security Project.

OWASP Top Ten.
Introducción a la Consultado el 23/05/2022 en https://owasp.org/www-project-top-ten/, 2021.
seguridad
MITRE.
informática.
CVE ID syntax change.
Consultado el 23/04/2022 en https://cve.mitre.org/cve/identifiers/syntaxchange.html, 2018.
NIST.
General information.
Consultado el 23/05/2022 en https://nvd.nist.gov/general, 2022.
NIST.
Understanding vulnerability detail pages.
Consultado el 23/04/2022 en https://nvd.nist.gov/vuln/vulnerability-detail-pages, 2022.
NIST.
Vulnerability status.
Consultado el 23/04/2022 en https://nvd.nist.gov/vuln/vulnerability-status, 2022.
FIRST.
Common Vulnerability Scoring System version 3.1: Specification Document.
Consultado el 23/02/2021 en https://www.first.org/cvss/specification-document, 2019.
44 / 45
Bibliografı́a V
MA2002B
A. Martı́nez
Introducción a la
seguridad
informática. Grupo Atico34.
Vectores de ataque.
https://protecciondatos-lopd.com/empresas/vectores-ataque-ciberseguridad/, 2022.
National Institute of Standards and Technology.

Common Vulnerability Scoring System Calculator.
Consultado el 23/02/2021 en https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator, 2021.
First.
CVSS calculator 3.1.
Consultado el 23/02/2022 en https://www.first.org/cvss/calculator/3.1, 2022.
45 / 45

MA2002B2023VulnerabilidadesAmenazas PDF

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

MA2002B2023VulnerabilidadesAmenazas PDF

Cargado por

Copyright:

Formatos disponibles

MA2002B

Criptografı́a y Seguridad Informática

Profr. Alberto F. Martı́nez1

Escuela de Ciencias Aplicadas

Ingenierı́a en Ciencias de Datos y Matemáticas

Introducción a la seguridad informática.

Antecedentes [1]. Un bug es un error de funcionamiento en un

A. Martı́nez Antecedentes. De hecho, en un estudio de 2002 publicado por el

Antecedentes [1]. Las fallas de dichos componentes son oro molido

Amenazas existentes [6]. Una exposición es un error en un sistema

Open Web Application Security Project (OWASP). Es una

National Database Security. Las vulnerabilidades pueden encontrarse

A. Martı́nez Common Vulnerability Score System (CVSS) [21]. El segundo grupo

A. Martı́nez Common Vulnerability Score System (CVSS) [21]. El tercer grupo es

Common Vulnerability Score System (CVSS) [21]. Nos vamos

A. Martı́nez Christopher McFadden.

Jeff Williams; Arshan Dabirsiaghi.

A. Martı́nez Open Web Application Security Project.

National Institute of Standards and Technology.

También podría gustarte